入侵防御系统IPS技术及发展障碍解析.docVIP

　　入侵防御系统IPS技术及发展障碍解析～教育资源库 　　随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求，用户需要看到哪种蠕虫或后门木马。 　　这就需要厂商在规则库的更新和维护上投入更多的资源，不光是跟踪官方公布的漏洞和最常见的攻击程序等，还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上，更新速度要达到每天更新，现有的IDS规则更新体系已经满足不了IPS要求。 　　威胁触目惊心 　　根据公安部一份信息网络安全状况调查显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中，发生网络安全事件的比例为58％。 　　其中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79％，拒绝服务、端口扫描和篡改网页等网络攻击事件占43％，大规模垃圾邮件传播造成的安全事件占36％。特别地，计算机病毒的感染率为87.9％，比上一年增加了2％。 　　上述调查对象都是国内信息安全投入比较高的大行业，防火墙、入侵检测、防病毒等常见安全产品基本都已部署，但仍然遭受了触目惊心的安全危害。 　　就像911之后的美国，人们突然发现，以前大家对安全问题的看法已经不适合新形势的需要了，原本人们认为固若金汤的美国本土，被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观，但上面列举的这些触目惊心的危害清楚地表明，在层出不穷的攻击手段面前，我们的网络安全保护措施已经落后了。 　　现有技术不够用！ 　　事实上，911美国遭受恐怖主义袭击后，在防护手段方面的变化，也映射出网络安全产品发展的脉络。 　　在911前，机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件，并通过金属探测门，防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。 　　通常，人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足和弱点： 　　入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门，就像恐怖分子可以伪造身份证件上飞机一样； 　　防火墙不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设，就像恐怖分子可以收买机场人员一样； 　　传统防火墙不具备对应用层协议的检查过滤功能，无法对Web攻击、FTP攻击等做出响应，防火墙对于病毒蠕虫的侵袭也是束手无策，就像金属探测器检测不出来非金属的攻击武器，易燃易爆品一样。 　　正因如此，在网络世界里，人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头，实时观察旅客的行为，以发现安全问题。IDS可以弥补防火墙的不足，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。 　　但是，人们也逐渐意识到IDS所面临的问题。 　　较高的漏报率和误报率。这已经是世界性难题，就像机场的监控录像不能监控到每个角落，不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。 　　IDS是以被动的方式工作，只能检测攻击，而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后，警察通过备份的监控录像查找可疑分子，为破案提供线索。 　　IPS填补了空白 　　在后911时代，人们发现机场的安检措施变了，对登机的旅客除了检查身份证件外，还要检查指纹，仔细搜身，连鞋子都要脱了检查；甚至连饮料瓶都要旅客喝一口，以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。 　　安检措施的改进，对应于网络安全防范，就是加强现有的防火墙和IDS等保护功能，同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术，我们称之为入侵防御系统。 　　IPS是在应用层的内容检测基础上加上主动响应和过滤功能，弥补了传统的主流网络安全技术不能完成更多内容检查的不足，填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。 　　IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。 　　IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。 　　IPS实现实时检查和阻