IDS，IPS的工作原理和機制本文首先分別介紹了入侵檢測機制IDS（IntrusionDetectionSystem）和入侵防御機制IPS（IntrusionPreventionSystem）的工作原理和實現(xiàn)機制。然后深入討論了IDS和IPS的區(qū)別和各自的應用場景等。概述防火墻是實施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預先發(fā)出警報。而IPS則傾向于提供主動防護，其設(shè)計宗旨是預先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。IDS基本定義當越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時候，網(wǎng)絡(luò)安全作為一個無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時，目前的網(wǎng)絡(luò)環(huán)境也變得越來越復雜，各式各樣的復雜的設(shè)備，需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成重大的安全隱患。在這種情況下，入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）就成了構(gòu)建網(wǎng)絡(luò)安全體系中不可或缺的組成部分。IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入Intrusion侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。IDS的起源1980年，JamesP.Anderson的《計算機安全威脅監(jiān)控與監(jiān)視》(《ComputerSecurityThreatMonitoringandSurveillance》)第一次詳細闡述了入侵檢測的概念;提出計算機系統(tǒng)威脅分類;提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想;此報告被公認為是入侵檢測的開山之作。1984年到1986年，喬治敦大學的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個實時入侵檢測系統(tǒng)模型--IDES(入侵檢測專家系統(tǒng))。1990年，加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(NetworkSecurityMonitor)該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機的IDS。1988年之后，美國開展對分布式入侵檢測系統(tǒng)(DIDS)的研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品。從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。入侵檢測的原理入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。這個檢測過程是不斷循環(huán)進行的。而事后入侵檢測則是由具有網(wǎng)絡(luò)安全專業(yè)知識的網(wǎng)絡(luò)管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。入侵檢測的通信協(xié)議IDS系統(tǒng)組件之間需要通信，不同的廠商的IDS系統(tǒng)之間也需要通信。因此，定義統(tǒng)一的協(xié)議，使各部分能夠根據(jù)協(xié)議所制訂的標準進行溝通是很有必要的。IETF目前有分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，這在前面入侵檢測的分類中已經(jīng)提到。下面只對統(tǒng)計分析的模型做以介紹。種統(tǒng)計模型為：入侵檢測5種統(tǒng)計模型為：操作模型：該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標相比較得到，固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，舉例來說，在短時間內(nèi)多次失敗的登錄很有可能是嘗試口令攻擊；方差：計算參數(shù)的方差并設(shè)定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常；多元模型：即操作模型的擴展，它通過同時分析多個參數(shù)實現(xiàn)檢測；馬爾柯夫過程模型：即將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，如果在狀態(tài)矩陣中該轉(zhuǎn)移的概率較小則該可能是異常事件；時間序列分析：即將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力有時也會給入侵者以機會，因為入侵者可以通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。3）完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被修改成類似特洛伊木馬的應用程序方面特別有效。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是有入侵行為導致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應。IDS趨勢從現(xiàn)實來看，市場上所大行其道的ids產(chǎn)品價格從數(shù)十萬到數(shù)百萬不等，這種相對昂貴的奶酪被廣為詬病，所導致的結(jié)果就是：一般中小企業(yè)并不具備實施ids產(chǎn)品的能力，它們的精力會放在路由器、防火墻以及3層以上交換機的加固上；大中型企業(yè)雖然很多已經(jīng)上了IDS產(chǎn)品，但IDS天然的缺陷導致其似乎無所作為。但還不能就此喜新厭舊，因為ids是必需的一個過程，具有IDS功能IPS很可能在幾年后徹底取代單一性ids的市場主導地位，從被動應戰(zhàn)到主動防御是大勢所趨。IPSIPS工作原理IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer2(介質(zhì)訪問控制)至Layer7(應用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer3或Layer4進行檢查，不能檢測應用層的內(nèi)容。防火墻的包過濾技術(shù)不會針對每一字節(jié)進行檢查，因而也就無法發(fā)現(xiàn)攻擊活動，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術(shù)對于IPS具有重要意義，因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查，會導致系統(tǒng)性能大打折扣。IPS的種類*基于主機的入侵防護(HIPS)HIPS通過在主機/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應用程序?；谥鳈C的入侵防護能夠保護服務(wù)器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龍淵服務(wù)器核心防護都屬于這類產(chǎn)品，因此它們在防范紅色代碼和Nimda的攻擊中，起到了很好的防護作用?；谥鳈C的入侵防護技術(shù)可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務(wù)器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機的安全水平。在技術(shù)上，HIPS采用獨特的服務(wù)器保護途徑，利用由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當中，通過攔截針對操作系統(tǒng)的可疑調(diào)用，提供對主機的安全防護;也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴謹?shù)陌踩刂茩C制。由于HIPS工作在受保護的主機/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機/服務(wù)器操作系統(tǒng)平臺緊密相關(guān)，不同的平臺需要不同的軟件代理程序。*基于網(wǎng)絡(luò)的入侵防護(NIPS)NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡(luò)會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計成類似于交換機的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個網(wǎng)絡(luò)端口。NIPS必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：一類是網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應用的技術(shù)，具有準確率高、速度快的特點。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當前網(wǎng)絡(luò)的會話狀態(tài)，避免受到欺騙攻擊。協(xié)議分析是一種較新的入侵檢測技術(shù)，它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進入成熟應用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于協(xié)議標準(如RFC)，還基于協(xié)議的具體實現(xiàn)，這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標準。通過協(xié)議分析，IPS能夠針對插入(Insertion)與規(guī)避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術(shù)。*應用入侵防護(AIP)NIPS產(chǎn)品有一個特例，即應用入侵防護(ApplicationIntrusionPrevention，AIP)，它把基于主機的入侵防護擴展成為位于應用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計成一種高性能的設(shè)備，配置在應用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機/服務(wù)器操作系統(tǒng)平臺無關(guān)。NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。IPS技術(shù)特征嵌入式運行：只有以嵌入模式運行的IPS設(shè)備才能夠?qū)崿F(xiàn)實時的安全防護，實時阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進行攔截。深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應該被攔截。入侵特征庫：高質(zhì)量的入侵特征庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特征庫，并快速應用到所有傳感器。高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對整個網(wǎng)絡(luò)性能的影響保持在最低水平。IPS面臨的挑戰(zhàn)IPS技術(shù)需要面對很多挑戰(zhàn)，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設(shè)計要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問題或單點故障。如果IDS出現(xiàn)故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設(shè)備出現(xiàn)問題，就會嚴重影響網(wǎng)絡(luò)的正常運轉(zhuǎn)。如果IPS出現(xiàn)故障而關(guān)閉，用戶就會面對一個由IPS造成的拒絕服務(wù)問題，所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應用。即使IPS設(shè)備不出現(xiàn)故障，它仍然是一個潛在的網(wǎng)絡(luò)瓶頸，不僅會增加滯后時間，而且會降低網(wǎng)絡(luò)的效率，IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步，尤其是當加載了數(shù)量龐大的檢測特征庫時，設(shè)計不夠完善的IPS嵌入設(shè)備無法支持這種響應速度。絕大多數(shù)高端IPS產(chǎn)品供應商都通過使用自定義硬件(FPGA、網(wǎng)絡(luò)處理器和ASIC芯片)來提高IPS的運行效率。誤報率和漏報率也需要IPS認真面對。在繁忙的網(wǎng)絡(luò)當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理36,000條警報，一天就是864,000條。一旦生成了警報，最基本的要求就是IPS能夠?qū)瘓筮M行有效處理。如果入侵特征編寫得不是十分完善，那么"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對于實時在線的IPS來說，一旦攔截了"攻擊性"數(shù)據(jù)包，就會對來自可疑攻擊者的所有數(shù)據(jù)流進行攔截。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分，其結(jié)果可想而知，這個客戶整個會話就會被關(guān)閉，而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問都會被"盡職盡責"的IPS攔截。IDS和IPS的區(qū)別IPS對于初始者來說，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。IPS檢測攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡(luò)。目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時候該選擇入侵防御產(chǎn)品呢?從產(chǎn)品價值角度講：入侵檢測系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。入侵防御系統(tǒng)關(guān)注的是對入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測產(chǎn)品可以實施的安全策略不同，入侵防御系統(tǒng)可以實施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產(chǎn)品所做不到的。從產(chǎn)品應用角度來講：為了達到可以全面檢測網(wǎng)絡(luò)安全狀況的目的，入侵