浅析网络攻击原理及防御系统.docxVIP

浅析网络攻击原理及防御系统 0 传统入侵防御技术 先进有效攻击逐渐增多。在攻击过程中，它结合了许多技术手段，如社会工程、时差攻击、僵尸网络、aet（高级逃避攻击技术）等。传统入侵防御采用的是基于已知漏洞签名的深度包检测技术, 对于新型高级攻击的防护无能为力。网络入侵防御需要增加先进的威胁检测和拦截能力, 下一代网络入侵防御应运而生。 1 技术的通过—下一代网络入侵防御概述 入侵防御系统 (IPS) 的概念是在2002年由某个国际网络安全组织提出的, IPS是一种主动的、积极的入侵防范、阻止系统。对于七层网络模型, IPS能够提供从网络层到应用层的细粒度深层防御。通常部署在网络的进出口处, 对流经网络的数据进行实时的深度检测, 当检测到攻击后, 它会自动地将攻击包丢掉或采取措施将攻击源阻断。传统IPS的应用提高了网络防护的智能性和主动性。 目前, 传统的网络安全模型正面临着风险。有针对性的威胁日益复杂, 发展方向是有针对性的将恶意程序安装到用户电脑, 它采用先进的技术如AET躲避检测, 通过僵尸网络实施多级攻击 Gartner在2011年10月发布了《定义下一代网络入侵防御》的报告, 报告指出网络IPS需要进一步发展, 以应对网络通信、应用程序和安全态势的变化。并提出了下一代网络入侵防御系统 (Next-Generation Network Intrusion Prevention System, 即NGIPS) 的概念。Gartner认为网络入侵防御实现了不同信任级别的网络间的实时安全检测的联机控制功能。使用NGIPS术语用来表示网络入侵防御系统必须要演变, 才能应对业务流程使用IT的方式和攻击试图破坏业务系统的方式的转变。 2 应用程序的安全防护 Gartner认为, 在原有的第一代IPS功能基础上, 下一代网络IPS至少还应具备应用感知和全栈可视、环境感知、内容感知、敏捷引擎等4大功能 (1) 标准第一代IPS功能。 下一代网络IPS是在传统IPS基础上发展起来的, 因此, 下一代网络IPS的首要功能特征是支持面向漏洞签名和威胁的签名机制, 能够成功检测并阻挡已知漏洞的攻击, 并且快速研发及发布新的特征码。 (2) 应用感知和全栈可视。 能识别应用程序, 执行应用层的安全策略, 不仅限于基于端口、协议、服务的策略配置。在识别恶意应用程序的基础上阻止攻击。 下一代网络IPS需要知道在网络上有哪些应用程序在使用, 使用的带宽是多少, 在不同的位置有哪些风险和威胁与应用程序相关联。只有通过了解应用程序的使用要求和智能实施细粒度的控制, 围绕获批准的通信和文件传输机制, 减轻通过变化端口应用交付的风险。 (3) 环境感知。 通过上下文信息关联改善安全规则的制定。环境感知能够提供综合的网络安全相关信息, 如发动攻击的IP地址, IP地址的信誉等级、本身被攻击的应用程序弱点等。有助于IPS引擎更快速更准确的做出决策, 还可减少误报。许多攻击来自于从恶意网站下载一个完全不起眼的软件如PDF文件, 位图, 微软Office文档, 或Java存档文件。如果没有潜在的威胁, 系统漏洞, 用户行为, 以及许多其他的上下文信息, 网络IPS设备几乎没办法检测复杂的多方位攻击 (4) 内容感知。 能够辨识出内嵌于各种内容中的安全威胁, 即能够对入站的包、文件和可执行文件进行检查和分类, 如PDF和Office文件以及出站通信, 并可实时做出通过、隔离及丢弃等决定。 (5) 敏捷引擎。 支持通过更新来获得防御新威胁所需的信息及技术。IT环境是高度动态的, 随着网络攻击不断升级, 网络安全防御要不断跟进。下一代网络IPS还要满足私有和公有云架构的需求, 保护浮动虚拟基础设施。 为了应对复杂多变的网络流量, 除了参考Gartner的定义外, 部分IPS厂商还将僵尸网络、APT攻击的防护和虚拟化等新功能加入到下一代IPS产品中。 3 应用层安全技术 随着互联网技术的广泛应用, 网络安全问题也受到越来越多的关注, 除下一代网络IPS外, 各厂商还推出了一系列网络安全产品, 如数据丢失防护设备、统一威胁管理设备、web安全网关、下一代防火墙等。这些产品功能和采用的技术与下一代网络IPS类似, 但他们都不是下一代网络IPS。 (1) 传统IPS 从Gartner定义可以知道, 下一代网络IPS除了具备传统IPS功能外, 还增加了其它新功能。例如, 下一代网络IPS具有应用感知功能, 与第一代IPS相比, 可辨识的流量类型更广, 对应用程序存取的控管程度更深;传统IPS防御规则调整周期较长, 而下一代网络IPS具有环境感知功能, 可以自动调整防御规则。二者最大的差异在于应用层识别能力, 如图1所示。在攻击事件发生后, 下一代网络IPS能够提供封包来源