IPS(⼊侵防御系统)
⼀、⽹络安全
在ISO/OSI⽹络层次模型(见OSI模型)中,防⽕墙主要在第⼆到第四层起作⽤,它的作⽤在第四到第七层⼀般很微弱。⽽除病毒软件主要在第五到第七层起作⽤。为了弥补防⽕墙和除病毒软件⼆者在第四到第五层之间留下的空档,⼏年前,⼯业界已经有⼊侵侦查系统(IDS:Intrusion Detection System)投⼊使⽤。⼊侵侦查系统在发现异常情况后及时向⽹路安全管理⼈员或防⽕墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡⽺补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作⽤。随后应运⽽⽣的⼊侵响应系统(IRS:Intrusion Response Systems)作为对⼊侵侦查系统的补充能够在发现⼊侵时,迅速作出反应,并⾃动采取阻⽌措施。⽽⼊侵预防系统则作为⼆者的进⼀步发展,汲取了⼆者的长处。
⼊侵预防系统也像⼊侵侦查系统⼀样,专门深⼊⽹络数据内部,查它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进⾏记载,以便事后分析。除此之外,更重要的是,⼤多数⼊侵预防系统同时结合考虑应⽤程序或⽹路传输中的异常情况,来辅助识别⼊侵和攻击。⽐如,⽤户或⽤户程序违
反安全条例、数据包在不应该出现的时段出现、作业系统或应⽤程序弱点的空⼦正在被利⽤等等现象。⼊侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应⽤⼊侵预防系统的⽬的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻⽌⼊侵,防患于未然。或者⾄少使其危害性充分降低。⼊侵预防系统⼀般作为防⽕墙和防病毒软件的补充来投⼊使⽤。在必要时,它还可以为追究攻击者的刑事责任⽽提供法律上有效的证据(forensic)。
产⽣原因
A:串⾏部署的防⽕墙可以拦截低层攻击⾏为,但对应⽤层的深层攻击⾏为⽆能为⼒。
B:旁路部署的IDS可以及时发现那些穿透防⽕墙的深层攻击⾏为,作为防⽕墙的有益补充,但很可惜的是⽆法实时的阻断。
C:IDS和防⽕墙联动:通过IDS来发现,通过防⽕墙来阻断。但由于迄今为⽌没有统⼀的接⼝规范,加上越来越频发的“瞬间攻击”(⼀个会话就可以达成攻击效果,如SQL注⼊、溢出攻击等),使得IDS与防⽕墙联动在实际应⽤中的效果不显著。
这就是IPS产品的起源:⼀种能防御防⽕墙所不能防御的深层⼊侵威胁(⼊侵检测技术)的在线部署
(防⽕墙⽅式)安全产品。由于⽤户发现了⼀些⽆法控制的⼊侵威胁⾏为,这也正是IDS的作⽤。
⼊侵检测系统(IDS)对那些异常的、可能是⼊侵⾏为的数据进⾏检测和报警,告知使⽤者⽹络中的实时状况,并提供相应的解决、处理⽅法,是⼀种侧重于风险管理的安全产品。windows自动更新有用吗
⼊侵防御系统(IPS)对那些被明确判断为攻击⾏为,会对⽹络、数据造成危害的恶意⾏为进⾏检测和防御,降低或是减免使⽤者对异常状况的处理资源开销,是⼀种侧重于风险控制的安全产品。
公交卡充值这也解释了IDS和IPS的关系,并⾮取代和互斥,⽽是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地⽅部署什么样的安全产品,通过IDS的⼴泛部署,了解了⽹络的当前实时状况,据此状况可进⼀步判断应该在何处部署何类安全产品(IPS等)。
署何类安全产品(IPS等)。
⼊侵预防技术
•异常侦查。正如⼊侵侦查系统, ⼊侵预防系统知道正常数据以及数据之间关系的通常的样⼦,可以对照识别异常。•在遇到动态代码(ActiveX, JavaApplet,各种指令语⾔ languages等等)时,先把它们放在沙盘内,观察其⾏为动向,如果发现有可疑情况,则停⽌传输,禁⽌执⾏。
梦见别人跟我借钱•有些⼊侵预防系统结合协议异常、传输异常和特征侦查,对通过⽹关或防⽕墙进⼊⽹路内部的有害代码实⾏有效阻⽌。
•核⼼基础上的防护机制。⽤户程序通过系统指令享⽤资源(如存储区、输⼊输出设备、中央处理器等)。⼊侵预防系统可以截获有害的系统请求。
•对Library、Registry、重要⽂件和重要的⽂件夹进⾏防守和保护。
⼊侵预防系统类型
360杀毒卸载不了投⼊使⽤的⼊侵预防系统按其⽤途进⼀步可以划分为:
单机⼊侵预防系统(HIPS: Hostbased Intrusion Prevension System)
⽹路⼊侵预防系统(NIPS:Network Intrusion Prevension System)
⽹络⼊侵预防系统作为⽹路之间或⽹路组成部分之间的独⽴的硬体设备,切断交通,对过往包裹进⾏深层检查,然后确定是否放⾏。⽹路⼊侵预防系统藉助病毒特征和协议异常,阻⽌有害代码传播。有⼀些⽹路⼊侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使⽤这些回答信息⽽请求连接,这样就能更好地确认发⽣了⼊侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运⾏的特点,单机⼊侵预防系统监视正常程序,⽐如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统⽂件,建⽴对外连接时,进⾏有效阻⽌,从⽽保护⽹路中重要的单个机器设备,如伺服器、路由器、防⽕墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机⼊侵预防系统能使⼤部分钻空⼦⾏为⽆法得逞。我们知道,⼊侵是指有害代码⾸先到达⽬的地,然后⼲坏事。然⽽,即使它侥幸突破防⽕墙等各种防线,得以到达⽬的地,但是由于有了⼊侵预防系统,有害代码最终还是⽆法起到它要起的作⽤,不能达到它要达到的⽬的。
2000年:Network ICE公司在2000年9⽉18⽇推出了业界第⼀款IPS产品—BlackICE Guard,它第⼀次把基于旁路检测的IDS技术⽤于在线模式,直接分析⽹络流量,并把恶意包丢弃。 2002~2003年:这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可,欧美⼀些安全⼤公司通过收购⼩公司的⽅式获得IPS技术,推出⾃⼰的IPS产品。⽐如ISS公司收购Network ICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;McAfee公司收购Intruvert公司,推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。
2005年9⽉绿盟科技发布国内第⼀款拥有完全⾃主知识产权的IPS产品,2007年联想⽹御、启明星⾠、天融信等国内安全公司分别通过技术合作、OEM等多种⽅式发布各⾃的IPS产品。
⼆、如何评价⼊侵防护系统
于和伟主演的电视剧针对越来越多的蠕⾍、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及⿊客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从⽽保证业务系统的连续性和可⽤性。
⼀款优秀的⽹络⼊侵防护系统应该具备以下特征:
●满⾜⾼性能的要求,提供强⼤的分析和处理能⼒,保证正常⽹络通信的质量;
●提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能⼒,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
●准确识别各种⽹络流量,降低漏报和误报率,避免影响正常的业务通讯;
●全⾯、精细的流量控制功能,确保企业关键业务持续稳定运转;
●具备丰富的⾼可⽤性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
●具备丰富的⾼可⽤性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
●可扩展的多链路IPS防护能⼒,避免不必要的重复安全投资;
●提供灵活的部署⽅式,⽀持在线模式和旁路模式的部署,第⼀时间把攻击阻断在企业⽹络之外,同
时也⽀持旁路模式部署,⽤于攻击检测,适合不同客户需要;
●⽀持分级部署、集中管理,满⾜不同规模⽹络的使⽤和管理需求。
三、产品⽰例
⽹络⼊侵防护系统是⽹络⼊侵防护系统同类产品中的精品典范,该产品⾼度融合⾼性能、⾼安全性、⾼可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度⼊侵防护、精细流量控制,以及全⾯⽤户上⽹⾏为监管等多项功能,能够为⽤户提供深度攻击防御和应⽤带宽保护的完美价值体验。
⼊侵防护
实时、主动拦截⿊客攻击、蠕⾍、⽹络病毒、后门⽊马、D.o.S等恶意流量,保护企业信息系统和⽹络架构免受侵害,防⽌操作系统和应⽤程序损坏或宕机。
Web安全
基于互联⽹Web站点的挂马检测结果,结合URL信誉评价技术,保护⽤户在访问被植⼊⽊马等恶意代码的⽹站时不受侵害,及时、有效地第⼀时间拦截Web威胁。
流量控制
阻断⼀切⾮授权⽤户流量,管理合法⽹络资源的利⽤,有效保证关键应⽤全天候畅通⽆阻,通过保护关键应⽤带宽来不断提升企业IT产出率和收益率。
王者荣耀典韦上⽹监管
全⾯监测和管理IM即时通讯、P2P下载、⽹络游戏、在线视频,以及在线炒股等⽹络⾏为,协助企业辨识和限制⾮授权⽹络流量,更好地执⾏企业的安全策略。
四、⼊侵防御系统现状
IPS,最近⼏年越来越受欢迎,特别是当供应商应对NAC市场的早期挑战时,如感知部署和可⽤性难点。⽬前,⼤多数⼤型的组织都全⾯部署了IPS,但是在使⽤NAC之前,这些解决⽅案都被⼀定程度的限制以防⽌公司⽹络中发⽣新的攻击。你可以配置所有的IPS探测器来中断⽹络中恶意或其它不需要的流量。⽐如,假设⼀个特定的终端发起⼀个针对公司数据中⼼的应⽤服务器的攻击,并且IPS检测到该流量是恶意的,那么IPS可以通过所配置的策略来中断流量。虽然这个响应是充分的,但是,在某些情况下,你可能想进⼀步阻⽌⽹络以后的攻击。NAC可以帮助你从IPS设备中获取信息,并在被攻击或发⽣意外事件时使⽤这些信息来处理终端⽤户的访问。
发布评论