浅谈IPS在广电业务运营支撑系统应用.pdfVIP

第八届京、津、沪、渝暨全国城市有线电视技术研讨会论文集 -285一 浅谈IPS在广电业务运营支撑系统中的应用 天津广播电视网络有限公司褚道明郭宝印张永利 摘要：业务运营支撑系统的安全问题至关重要。本文介绍了IPS的基本原理和应用，讨论了如何利用其加强业务安全系 统的安全防护。并对实用中的问题进行了总结。 关键词：入侵防御(IPS)入侵检测(iDS)运营支撑系统(BOSS)网络安全用户管理系统(SMS) 1 前言广电业务运营支撑系统面临的安全问题 随着数据通信技术、网络技术的不断发展，广电行业为用户提供的服务越来越多。为了满足多业务综 合运营的需求，帮助降低运营成本，提高运营收益，业务运营支撑系统(BOSS)逐步开始在各个广电运营商 中部署。作为核心支撑系统，其系统安全问题至关重要。 现阶段广电BOSS系统主要由SMS系统、宽带系统、HFC业务系统、新业务系统、网上营业厅系统组 成，包括业务管理、客户管理、计费账务、资源管理、统计报表、用户自主服务等功能，其中储存并传输着大 量的有价值的信息。 当前业务运营支撑系统所面临的安全挑战主要集中在网络安全方面，一方面其中储存和传输的大量 数据有可能被窃取盗用、暴露或者篡改，另一方面其自身与各种网络和系统都存在着接口，系统本身容易 受到攻击。 2 IPS的基本原理和应用 2．1 IPS的概念 入侵防御系统(简称“IPS”)是一种对网络传输流量和网络行为进行实时监测，在发现可疑问题时主动 采取中断、调整、隔离等相应措施的网络安全设备。它既能及时发现又能实时阻断各种入侵行为，与防火 墙、访问控制等传统安全技术相比，具有本质区别，是一种积极主动的网络防护技术，它所提供的保护措施 更加主动和安全。根据部署方式分为基于网络、基于主机、应用人侵防护三种类型。 2．2基本组成与结构 总体来说当前各个厂商的IPS由硬件平台，专用操作系统，安全防护引擎，安全管理系统四部分组成。 根据不同的应用需求采用不同性能的硬件与系统平台搭配。 安全防护系统的体系结构分为：信息收集模块，内容分析模块，入侵响应模块，数据记录模块。信息收 集模块将通过网络的流量进行整理并收集网络行为，并将各种事件信息发送给内容分析模块做检测，内容 分析模块将检测结果发给入侵响应模块，入侵响应模块对其中的非法部分作出拦截，数据记录模块时刻储 存的整个处理过程所产生的记录和日志。 2．3工作原理 IPS采用嵌入式方式来工作，通过串联在需要保护的网络中，在一个端口检查并过滤网络流量，再通过 另外一个端口将安全数据发送到目的端。如果有问题的数据流被发现，IPS将会采取相应的措施来处理。 分析其特征和安全性，只有完全通过探测器检查的数据包才能通过，任何恶意的数据流都会被截获，而有 一286- 第八届京、津、沪、渝暨全国城市有线电视技术研讨会论文集 可能成为威胁的流量将会被进一步的分析和处理，所有以上的工作都会被记录在系统日志中备案。IPS工 作原理如图1所示。 对于不同的攻击行为，IPS需要不同的探测器。每种探测器都设有相应的过滤规则，这些规则的定义非 图1 IPS原理图 常广泛。在对数据流进行分类时，防御引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域 中进行上下文分析，以提高准确性。 2．4检测技术 了一些新的检测技术，为了提高其网络多层防御能力，综合应用多种检测机制，才能够实现深度检测。 (1)基于特征的匹配 入侵行为具有明显的技术特征，总结其入侵时的技术特征，建立入侵特征库，检查数据包的内窍并与 特征库中的规则进行匹配，检测准确率高，技术成熟，但是不能发现未知攻击，且需要不断更新特征库。 (2)协议分析技术 充分利用网络协议的技术细节，总结各种协议的特点，对数据包进行分解，根据协议特点比对数据承 载的高层应用进行分类并检查，对可以数据包进行更进一步的特征比对，从而降低误报率，提高安全工作 效率。 (3)智能检测技术 利用人工智能和神经网络等技术来构建具有学习能力的专家系统，实现知识库的不断升级，使系统自 身的防御能力不断提高，同时利用数据挖掘的方法，实现入侵检测性能的提升和精确性。 2．5 IPS与lDS的区