入侵防御系统的研究和分析.pdfVIP

全国网络与信息安全技术研讨会’2口甜 入侵防御系统的研究与分析 聂林，张玉清 中科院研究生院国家计算机网络入侵防范中心，北京100039 摘要：入侵防御系统作为一种新出现的网络安全技术，目前已成为人们研究的热点。首先介绍了入侵防御系统的概念并总结 了特点。然后对其分类、部署方式及工作原理进行了深入的探讨，同时比较了基于网络和基于主机两类入侵防御系统的特性并 对其实现方法进行了讨论。最后针对入侵防御系统面I临的问题，对其发展趋势进行了展望。 关键词：入侵防御系统；网络安全；在线；主动防御 1引言 随着计算机和网络技术的迅猛发展，我国信息化建设取得了巨大的成就，国民经济建设和人们的生产生 活对于信息系统的依赖也越来越大。与此同时，网络安全事件的发生频率呈扩大趋势，尤其是大规模蠕虫和 DoS攻击，给国家和社会带来了极大的危害。针对这种状况，人们研究并提出了防火墙和IDS等安全措施。 它们的使用确实在一定程度上缓解了安全事件的威胁。但是，传统的防火墙和IDS有着自身的明显不足Ⅲ。 根据VANDYKE Prevention 已经不能满足当前网络安全的需求。在此背景下，人们提出入侵防御系统(intrusionSystem，简称 理的安全事件，从而减少因安全事件而受到的损失，增强系统和网络的性能和可用性。 本文深入研究了IPS的特点、分类、部署方式和工作原理，比较了基于网络和基于主机两类IPS的特点， 并分析了它们的实现，针对IPS面临的问题，对其发展趋势进行了展望。 2入侵防御系统的概念及其特点 入侵防御系统作为新生事物，目前还没有一个统一完善的定义【3】。在本文中，我们定义入侵防御系统f口s1 为任何能够检测已知和未知攻击并且在没有人为的干预下能够自动阻止攻击的硬件或者软件设备。Gartner 对于IPS进行了进一步的解释：“IPS必须结合使用多个算法阻塞恶意行为，可以基于特征阻塞已知攻击，同 时还可以利用防病毒和IDS使用的那些方法一至少支持策略、行为和基于异常的检测算法。这些算法必须在 应用层操作，作为对标准的、网络层防火墙处理的补充。它也必须具备区别攻击事件和正常事件的智能【41。” IPS与防火墙和IDS不同，它是一个能够对入侵进行检测和响应的“主动防御”系统口】。我们通过对目 前研究成果的归纳总结，得出入侵防御系统具有以下四个特点。 (1)完善的分析机制 入侵防御系统的一个首要要求就是必须具备内在的智能。它能够使用一些异常检测组件区别恶意和正常的 行为，这些组件应该根据一系列成熟且动态变化的标准、容忍度和静态特征全面的分析系统或者通信行为。 这个分析引擎不仅仅具有大量的规则，同时它是自适应且动态变化的。 这个分析必须是足够成熟的分类和检测活动。对于一个真正的入侵防御系统来说，仅仅阻塞恶意代码或 者通信流量是不够的。它必须能够识别恶意行为的特性并且为管理人员提供一些识别入侵本质的帮助。 (2)状态信息的保持 入侵防御系统必须对它所处的环境有一定的意识。IPS不能仅仅盲目的接受或者拒绝，它要识别其所运 行的环境。IPS通过维护网络或者操作系统的状态信息来实现对环境的理解。 状态信息必须反馈给分析引擎。当检测和识别引擎正在分析信息时，它必须考虑信息所处的状态。 (3)自动响应 奎国网络与信息安全技术研讨全’2b鲜 ·29 除了检测和识别可疑行为，入侵防御系统能够对检测到的情况做出响应。这个机制要求系统有能力自动 的阻止恶意代码进入安全区域或者阻止恶意代码的执行。防御方式可以进行配置，使其具有多个实现的层次． 然而最重要的是它必须能够自动的发挥作用。 (d)快速的响应 自动的响应方式5}起了响应速度的改善。IPS可以以实时或者接近实时的方式积极的彳了使汞叻¨强保护。。 也就是说，当恶意事件正在发生时，它必须积极的行使关键的检测和保护功能。 3入侵防御系统的分类、部署方式及工作原理 3．1入侵防御系统的分类 attack 对于入侵防御系统面言，目前有两种常见的分