NIPS必須基于特定的硬件平臺,才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺通?梢苑譃槿悾阂活愂蔷W(wǎng)絡處理器(網(wǎng)絡芯片),一類是專用的FPGA編程芯片,第三類是專用的ASIC芯片。
在技術(shù)上,NIPS吸取了目前NIDS所有的成熟技術(shù),包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應用的技術(shù),具有準確率高、速度快的特點。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征,還要檢查當前網(wǎng)絡的會話狀態(tài),避免受到欺騙攻擊。
協(xié)議分析是一種較新的入侵檢測技術(shù),它充分利用網(wǎng)絡協(xié)議的高度有序性,并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析,來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進入成熟應用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理,以此分析這些協(xié)議的數(shù)據(jù)包,來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于協(xié)議標準(如RFC),還基于協(xié)議的具體實現(xiàn),這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標準。通過協(xié)議分析,IPS能夠針對插入(Insertion)與規(guī)避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術(shù)。
應用入侵防護(AIP)
NIPS產(chǎn)品有一個特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基于主機的入侵防護擴展成為位于應用服務器之前的網(wǎng)絡設備。AIP被設計成一種高性能的設備,配置在應用數(shù)據(jù)的網(wǎng)絡鏈路上,以確保用戶遵守設定好的安全策略,保護服務器的安全。NIPS工作在網(wǎng)絡上,直接對數(shù)據(jù)包進行檢測和阻斷,與具體的主機/服務器操作系統(tǒng)平臺無關。
NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機上。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能。
IPS技術(shù)特征
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠?qū)崿F(xiàn)實時的安全防護,實時阻攔所有可疑的數(shù)據(jù)包,并對該數(shù)據(jù)流的剩余部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經(jīng)被攔截,根據(jù)攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特征庫:高質(zhì)量的入侵特征庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器。
高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力,對整個網(wǎng)絡性能的影響保持在最低水平。
IPS面臨的挑戰(zhàn)
IPS 技術(shù)需要面對很多挑戰(zhàn),其中主要有三點:一是單點故障,二是性能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網(wǎng)絡中,而這就可能造成瓶頸問題或單點故障。如果IDS 出現(xiàn)故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現(xiàn)問題,就會嚴重影響網(wǎng)絡的正常運轉(zhuǎn)。如果IPS出現(xiàn)故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業(yè)網(wǎng)絡提供的應用。
即使 IPS 設備不出現(xiàn)故障,它仍然是一個潛在的網(wǎng)絡瓶頸,不僅會增加滯后時間,而且會降低網(wǎng)絡的效率,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡流量保持同步,尤其是當加載了數(shù)量龐大的檢測特征庫時,設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數(shù)高端 IPS 產(chǎn)品供應商都通過使用自定義硬件(FPGA、網(wǎng)絡處理器和ASIC芯片)來提高IPS的運行效率。
誤報率和漏報率也需要IPS認真面對。在繁忙的網(wǎng)絡當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條。一旦生成了警報,最基本的要求就是IPS能夠?qū)瘓筮M行有效處理。如果入侵特征編寫得不是十分完善,那么"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對于實時在線的IPS來說,一旦攔截了"攻擊性"數(shù)據(jù)包,就會對來自可疑攻擊者的所有數(shù)據(jù)流進行攔截。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分,其結(jié)果可想而知,這個客戶整個會話就會被關閉,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡的合法訪問都會被"盡職盡責"的IPS攔截。
IPS廠商采用各種方式加以解決。一是綜合采用多種檢測技術(shù),二是采用專用硬件加速系統(tǒng)來提高IPS的運行效率。盡管如此,為了避免IPS重蹈 IDS覆轍,廠商對IPS的態(tài)度還是十分謹慎的。例如,NAI提供的基于網(wǎng)絡的入侵防護設備提供多種接入模式,其中包括旁路接入方式,在這種模式下運行的 IPS實際上就是一臺純粹的IDS設備,NAI希望提供可選擇的接入方式來幫助用戶實現(xiàn)從旁路監(jiān)聽向?qū)崟r阻止攻擊的自然過渡。
IPS的不足并不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對于用戶而言,在廠商提供技術(shù)支持的條件下,有選擇地采用IPS,仍不失為一種應對攻擊的理想選擇。
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |