入侵防御系统IPS技术及发展障碍解析
2008-04-02 10:58:45来源:互联网 阅读 ()
【编者按】
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。
威胁触目惊心
根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。
其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。
上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。
就像“911”之后的美国,人们突然发现,以前大家对安全问题的看法已经不适合新形势的需要了,原本人们认为固若金汤的美国本土,被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观,但上面列举的这些触目惊心的危害清楚地表明,在层出不穷的攻击手段面前,我们的网络安全保护措施已经落后了。
现有技术不够用!
事实上,“911”美国遭受恐怖主义袭击后,在防护手段方面的变化,也映射出网络安全产品发展的脉络。
在“911”前,机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件,并通过金属探测门,防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。
通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:
入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门,就像恐怖分子可以伪造身份证件上飞机一样;
防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设,就像恐怖分子可以收买机场人员一样;
传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策,就像金属探测器检测不出来非金属的攻击武器,易燃易爆品一样。
正因如此,在网络世界里,人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头,实时观察旅客的行为,以发现安全问题。IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。
但是,人们也逐渐意识到IDS所面临的问题。
较高的漏报率和误报率。这已经是世界性难题,就像机场的监控录像不能监控到每个角落,不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。
IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后,警察通过备份的监控录像查找可疑分子,为破案提供线索。
IPS填补了空白
在后“911”时代,人们发现机场的安检措施变了,对登机的旅客除了检查身份证件外,还要检查指纹,仔细搜身,连鞋子都要脱了检查;甚至连饮料瓶都要旅客喝一口,以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。
安检措施的改进,对应于网络安全防范,就是加强现有的防火墙和IDS等保护功能,同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术,我们称之为入侵防御系统。
IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的主流网络安全技术不能完成更多内容检查的不足,填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。
IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。
防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。
本新闻共4页,当前在第1页 1 2 3 4
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:路由器的安全性与可靠性的问题
下一篇:路由器安全有关的目录
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash