入侵预防系统

维基百科,自由的百科全书
跳转至: 导航搜索

入侵預防系统英语Intrusion Prevention System,縮寫為IPS),又稱為入侵偵測與預防系統(intrusion detection and prevention systems,縮寫為IDPS),是計算機網路安全設施,是對防病毒软件(Antivirus Softwares)和防火墙的補充。入侵預防系統是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

網絡安全[编辑]

隨著計算機的廣泛應用和網絡的不斷普及,來自網絡內部和外部的危險和犯罪也日益增多。20年前,計算機病毒(電腦病毒)主要通過軟盤傳播。後來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟件的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟件。而今天,不僅病毒數量劇增,質量提高,而且通過網絡快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟件失效。

目前流行的攻擊程序和有害代碼如DoS(Denial of Service),分散式阻斷服務攻擊,暴力猜解(Brut-Force-Attack),端口掃瞄(Portscan),嗅探,病毒,蠕蟲垃圾郵件木馬等等。此外還有利用軟件的漏洞和缺陷鑽空子、幹壞事,讓人防不勝防。

網絡入侵方式越來越多,有的充分利用防火牆放行許可,有的則使防毒軟件失效。比如,在病毒剛進入網絡的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,於是這種全新的病毒就很快大肆擴散、肆虐於網絡、危害單機或網絡資源,這就是所謂Zero Day Attack。

防火牆可以根據英特網地址(IP-Addresses)或服務端口(Ports)過濾數據包。但是,它對於利用合法網址和端口而從事的破壞活動則無能為力。因為,防火牆極少深入數據包檢查內容。

每種攻擊代碼都具有只屬於它自己的特徵(signature),病毒之間通過各自不同的特徵互相區別,同時也與正常的應用程序代碼相區別。除病毒軟件就是通過儲存所有已知的病毒特徵來辨認病毒的。

在ISO/OSI網絡層次模型(見OSI模型)中,防火牆主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火牆和除病毒軟件二者在第四到第五層之間留下的空檔,幾年前,工業界已經有入侵檢測系統投入使用。入侵偵查系統在發現異常情況後及時向網絡安全管理人員或防火牆系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨後應運而生的入侵反應系統(IRS: Intrusion Response Systems)作為對入侵偵查系統的補充能夠在發現入侵時,迅速作出反應,並自動採取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。

入侵預防系統也像入侵偵查系統一樣,專門深入網絡數據內部,查找它所認識的攻擊代碼特徵,過濾有害數據流,丟棄有害數據包,並進行記載,以便事後分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網絡傳輸層的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、操作系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特徵,但是它並不僅僅依賴於已知病毒特徵。

應用入侵預防系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種,採取預防措施,先期阻止入侵,防患於未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火牆 和防病毒軟件的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據(forensic)。

入侵预防技术[编辑]

  • 异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
  • 在遇到动态代码(ActiveX,JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
  • 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。
  • 内核基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
  • 对Library、Registry、重要文件和重要的文件夹进行防守和保护。

入侵预防系统类型[编辑]

投入使用的入侵预防系统按其用途进一步可以划分为主机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。

网络入侵预防系统作为网络之间或网络组成部分之间的独立的硬件设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网络入侵预防系统借助病毒特征和协议异常,阻止有害代码传播。有一些网络入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。

根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向操作系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网络中重要的单个机器设备,如服务器路由器防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。

成熟的产品[编辑]

目前市场上成熟的入侵预防系统产品很多,主要有如下几种:

虽然它们在商业意义上都是已经充分成熟的产品,但是,至今却还没有一等一级的佼佼者。它们之间重要的差别大多数在于,有的偏于保守,只有它认为很重要的事件才采取行动;有的则过于敏感,就象名人的保镖一样,把每件鸡毛蒜皮的不正常小事(event)都当作攻击的苗头来看待(false positive),给安全管理人员留下大量的事件记载。 在选购入侵预防系统时还应该注意,比如在网络传输量很大时,它能不能正常运行,对已经确认的攻击能不能有效阻止,是不是方便使用,以及价格等等。尽量做到既不忽视它的作用,又要根据自己的需要,经过试用对比,仔细选取合适的产品。

主要厂商[编辑]

參見[编辑]