入侵防御系统在局域网安全系统中的应用.docVIP

入侵防御系统在局域网安全系统中的应用 　　摘要:该文介绍入侵防护系统(IPS)的技术与原理,在局域网中的入侵防护系统的部署与实施方式及其使用效果,入侵防御系统的发展趋势。 　　关键词:安全检测与监控技术;入侵防护系统;部署;发展趋势 　　中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)15-3899-02 　　 　　Intrusion Prevention System in the Local Area Network Security System 　　WU Zhao-xiong, LIANG Shen-qing, ZHU Xuan 　　(Guang Dong Province Meteorological Information Center, Guangzhou 510080, China) 　　Abstract: This article introduce the technic and principle of the Intrusion Prevention Systems(IPS),how to deploy and actualize the IPS in the local area network and it’s effect,the Development trends of the IPS. 　　Key words: security detection and monitoring technology; Intrusion Prevention Systems; deployment; development trends 　　 　　1 引言 　　 　　20世纪90 年代以来,网络技术高速发展,同时带来了日益严重的安全问题。网络安全事件的发生频率呈扩大趋势,大规模的网络蠕虫和DOS、DDOS 等暴力类型攻击逐渐成为Internet上的主要攻击手段。此外,随着黑客入侵水平的提高,入侵行为也不再是单一的行为,应对、协同式、集成式攻击的入侵行为时,庞大的网络数据超出了服务器的处理能力,单个的安全组件设备就显得十分力单势薄。而且这些组件只能针对独立的入侵行为,难以防范大规模的、有组织的协同入侵行为和集成式攻击。在大规模系统中,各安全组件缺乏协同工作和互动的防御机制。所以构建一种高性能的、能紧密联合各项安全组件和安全技术如防火墙技术、入侵检测技术、内容过滤技术、反病毒技术等,能够对安全事件进行动态响应的网络安全框架结构是当前的迫切需要。因此,本文提出一种新型的入侵防御系统正是解决以上不足之处的有效途径。 　　 　　2 入侵防御系统IPS介绍 　　 　　2.1 入侵防护系统(IPS) 　　IPS[1]是英文“Intrusion Prevention System”的缩写,中文意思是入侵防护系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加IDS的技术,已 　　经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 　　与入侵检测系统不同,前者的产品目标是实时发现并准确判断网络中存在的攻击,并及时予以阻断,而后者的产品目标是全面检测网络中的实时网络数据,及时发现入侵和异常,并将事件的详细信息和处理建议以报警方式呈现给管理员。 　　2.2 入侵防护系统基本原理 　　IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器[2],能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。 　　IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。过滤器引擎集合了流水和大规模并行处理硬