入侵防护系统(IPS)的原理?

通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

入侵防御系统（IPS）,属于网络交换机的一个子项目，为有过滤攻击功能的特种交换机。一般布于防火墙和外来网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）

总论

　　随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击作出响应的时间却越来越滞后。要解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这时一种新的技术出现了，它就是IPS(Intrusion Prevention System，入侵防护系统)。

　　第一章 IPS原理

　　防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而IPS则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

　　第二章 IPS工作原理

　1.　IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

　2，　针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

,3，　过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。

　　第三章 IPS的种类

　　1， 基于主机的入侵防护(HIPS)

　　HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品，因此它们在防范红色代码和Nimda的攻击中，起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

　2，在技术上，HIPS采用独特的服务器保护途径，利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用当中，通过拦截针对操作系统的可疑调用，提供对主机的安全防护;也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。

　　由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

　　3，基于网络的入侵防护(NIPS)

　　NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

　　NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类：一类是网络处理器(网络芯片)，一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。

　　在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击。

　　协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准(如RFC)，还基于协议的具体实现，这是因为很多协议的实现偏离了协议标准。通过协议分析，IPS能够针对插入(Insertion)与规避(Evasion)攻击进行检测。异常检测的误报率比较高，NIPS不将其作为主要技术。

　4，应用入侵防护(AIP)

　　NIPS产品有一个特例，即应用入侵防护(Application Intrusion Prevention，AIP)，它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。

　　NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防护功能。

　　第四章 IPS技术特征

　1，嵌入式运行：只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包，并对该数据流的剩余部分进行拦截。

　2，深入分析和控制：IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截。

　3，入侵特征库：高质量的入侵特征库是IPS高效运行的必要条件，IPS还应该定期升级入侵特征库，并快速应用到所有传感器。

　4.高效处理能力：IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。

　第五章　IPS面临的挑战

　1，　IPS 技术需要面对很多挑战，其中主要有三点：一是单点故障，二是性能瓶颈，三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中，而这就可能造成瓶颈问题或单点故障。如果IDS 出现故障，最坏的情况也就是造成某些攻击无法被检测到，而嵌入式的IPS设备出现问题，就会严重影响网络的正常运转。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。

2，　即使 IPS 设备不出现故障，它仍然是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率，IPS必须与数千兆或者更大容量的网络流量保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
3，　　误报率和漏报率也需要IPS认真面对。在繁忙的网络当中，如果以每秒需要处理十条警报信息来计算，IPS每小时至少需要处理 36,000 条警报，一天就是 864,000 条。一旦生成了警报，最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善，那么"误报"就有了可乘之机，导致合法流量也有可能被意外拦截。对于实时在线的IPS来说，一旦拦截了"攻击性"数据包，就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知，这个客户整个会话就会被关闭，而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。

4，　IPS厂商采用各种方式加以解决。一是综合采用多种检测技术，二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此，为了避免IPS重蹈IDS覆辙，厂商对IPS的态度还是十分谨慎的。例如，NAI提供的基于网络的入侵防护设备提供多种接入模式，其中包括旁路接入方式，在这种模式下运行的IPS实际上就是一台纯粹的IDS设备，NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。
5　　IPS的不足并不会成为阻止人们使用IPS的理由，因为安全功能的融合是大势所趋，入侵防护顺应了这一潮流。对于用户而言，在厂商提供技术支持的条件下，有选择地采用IPS，仍不失为一种应对攻击的理想选择。

第六章 入侵防护系统（IPS）的现状
1， IPS（入侵防御系统）目前到底处于什么状态呢？IPS(入侵防御系统)提出了多年，一直有个声音认为IPS会取代IDS(入侵检测系统)，但是几年过去了，情况并非如此，那么IPS目前到底处于什么状态呢?
　　据调查，目前59%的用户部署了IDS，27%的用户将IDS列入购买计划，62% 用户在关注IPS，并且7%的用户有意向购买IPS，这些数据表明，IDS和IPS 在国内都呈现出繁荣发展的前景。
　　这与几年前一些研究机构预计的“IPS将逐步取代IDS”的看法截然不同。IPS 既没有得到“一览众山小”的市场局面，IDS也没有“节节败退”，是什么原因使得人们的预测出现了如此大的偏差呢?要想找出其中的原因，不得不从研究历史出发，看看IDS和IPS都是如何发展的。
　2，需求决定IDS 不会消沉
　　安全防护是一个多层次的保护机制，它既包括企业的安全策略，又包括防火墙、防病毒、入侵检测等产品技术解决方案。而且，为了保障网络安全，还必须建立一套完整的安全防护体系，进行多层次、多手段的检测和防护。IDS正是构建安全防护体系不可缺少的一环。
　　虽然有很多用户对IDS是否具有存在价值表示过质疑，但到目前为止，更多的用户是在关注如何最大程度地发挥IDS的作用，来保障网络的安全。
　　据市场统计显示，2005 年 IDS 可以占到安全市场全年总额的11.2%，市场销售额达到5.5亿元。而2004年国内IDS产品全年销售额是3.8亿元，占中国网络安全市场全年市场份额的10.9%。2003年IDS的市场销售额是2.75亿元。可以看出，随着国内用户的成熟，IDS在网络安全市场中也是处在一个稳定的发展阶段。在这种情况下，谁能说IDS的市场会江山不再呢?
　　促使IDS得到广泛应用的另一个因素是，Slammer、冲击波等针对系统漏洞的攻击不断增多，新的软件漏洞不断被发现，一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中，从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短，用户需要一种可以检测攻击的有效工具，IDS就是其中的一种。
　3，　自身改进打破IDS 灭亡论
　　虽然前一时间IPS取代IDS的呼声日渐高涨，而且Gartner发表的“IDS将死”言论更是让这两种技术的争斗达到了白热化，但在国内，IDS还没有受到“灭亡论”的太大影响，这主要是因为IDS不断地进行着改造。目前的IDS技术是需要有比较大的改进才能满足客户的需要，可能需要细分市场做出不同的产品来满足不同的客户。
　　从安全厂商来看，安氏中国、绿盟科技、McAfee、天融信、方正、冠群金辰、联想、东软、中科网威、启明星辰等众多厂商都有多款百兆和千兆的IDS产品。从对这些主流IDS 产品的评测来看，IDS 产品在性能方面也是不断进步的。比如， 2002 年——2003年的百兆IDS产品，在64 字节100%压力下平均检测能力仅有40.2%，而2003年——2004年，部分百兆IDS产品检测能力已达到100%，这标志着百兆IDS 产品在性能方面已经成熟。
　　而千兆IDS 产品的性能也有了长足的发展，捕获数据包的能力每秒67 万——85万，最高可达140多万，对大流量网络的适应能力明显增强。还有在功能方面，部分IDS产品几年前就具备了网络流量分析、页面重组、内容恢复、事件回放等功能，如今不仅功能更为完善多样，而且功能的模块化也更有利于用户根据实际需要进行定制和应用。
　　近年来，IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中，我们都能发现IDS的身影。某证券公司的IT主管谈到：“随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，对于内部违规行为却无能为力。而IDS可以审计跟踪内部违反安全策略的行为。另外，IDS可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。”
　4，IDS 缺陷成就IPS
　　不过我们同时也看到，也有很多用户反应IDS带来的麻烦大于贡献。有用户反映，IDS的误报率太高，只要一开机，警报便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理IDS，这在缺乏IT人才的企业中是很不现实的。
　　想要解决误报和漏报的问题，要综合运用多种检测机制，包括特征对比、协议异常分析等技术，同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。未来的IDS还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应IPv6 的技术要求。
　　很多用户希望IDS能够增加主动阻断攻击的能力，在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风，而是与当前的安全形势息息相关。
　　系统漏洞屡屡被攻击，主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高，几乎每周都会有系统缺陷被发现;另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展，用户需要一种能够实时阻断攻击的安全技术。从工作原理上来看，IDS技术属于被动式的反应式技术，这种技术在安全威胁传播速度较慢时并没有显现出太大问题，随着威胁传播速度的加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，于是喊着主动防御口号的IPS得到了一定的市场机会。
5，　IPS 靠主动防御抢占市场
　　混合威胁不断发展，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护来有效保证其网络安全。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击。在当前混合威胁盛行的时代，只有深层防护才可以确保网络的安全。而IPS(入侵防护系统)则是提供深层防护体系的保障。IPS的出现可谓是企业网络安全的革命性创新。
　　从技术的同源性上来看， IPS 和IDS之间有着千丝万缕的必然联系，IPS可以被视作是增加了主动阻断功能的IDS。例如McAfee 的IntruShield以在线方式接入网络时就是一台IPS，而以旁路方式接入网络时就是一台IDS。但是，IPS绝不仅仅是增加了主动阻断的功能，而是在性能和数据包的分析能力方面都比IDS有了质的提升。
　　由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper的工程师介绍，Juniper在IDP(Juniper将自己的入侵防护产品命名为IDP)中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。Juniper还在不断增加IDP能够解析的协议数量，最近将支持50种协议增加到60多种，不断为防止新型攻击开发新的检测方法。
　　除了检测机制外，IPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS同时都在 IPS中提供了调优机制，使IPS 通过自学习提高检测的准确性。
　　引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，使关键资源得到主动防护。Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，每周都会发布攻击签名和基于严重等级的紧急签名更新，Juniper提供的攻击签名是基于弱点和安全漏洞，而不仅仅是黑客已经使用并且造成破坏的安全弱点。
　　McAfee公司北亚区技术总监陈联认为，目前严重的安全事件大多数是由缓冲区溢出所导致，所以McAfee在自己的实验里加强了对溢出型漏洞的研究和跟踪，并且把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中。这项缓冲区溢出分析技术使得Mc A f e e 的 I P S设备能够检测七层的数据包，实现对应用的主动保护。
　　赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征，将其加入到漏洞签名库中，IPS就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC(微软操作系统的一个漏洞)漏洞。赛门铁克通过研究并提取RPC漏洞的特征，组成特征签名并将其推送给IPS设备。在公布漏洞和病毒爆发的一段间隔里，用户只需将漏洞特征签名自动下载，就可以在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。
　6，主动防御是安全根本
　　绝大多数IDS系统都是被动的，而不是主动性的。在攻击实际发生之前，IDS往往无法预先发出警报。IPS则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。
　　现在谈主动防御的很多，这也是IPS市场启动的根源。但是有专家认为，入侵防护应该是由多种安全设备组成的安全体系共同来实现，而不是由IPS这种设备单独来完成，IPS只是主动防护的一部分，而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS，应用级的IDS产品能够重组信息流，跟踪应用会话过程，并准确描述和识别攻击，而应用级的防火墙能够阻断向应用层发起的攻击，保护Web应用。
7，　IDS、 IPS还将并驾齐驱
　　在主动防御渐入人心之时，担当网络警卫的IDS的报警作用更加重要。尽管IDS功过参半，但是IDS的报警功能仍是主动防御系统所必需的，也许IDS的产品形式会消失，但是IDS的检测功能并不会因形式的消失而消失，只是逐渐被转化和吸纳到其他的安全设备当中。
　　IDS 与IPS 技术还会并驾齐驱很长一段时间。据市场研究公司InfoneticsResearch发布的数据显示，到2006年，全球IDS/ IPS 市场收入将超过13 亿美元。
　　其实IDS的发展道路可以借鉴防火墙的发展。防火墙早期从包过滤，应用代理发展起来，是从网络层应用及应用层解释开始，一步步关心起具体的协议;包过滤更关注分组的包头，应用代理关心分组的有效载荷，状态检测开始关注分组之间的关系;从安全设备发展的角度，这些并未发展到头，因为对有效载荷的分析还比较弱。IDS从特征匹配开始到协议分析，走得也是这条路;只是IDS走到协议分析，也算是比较深入了，但网络上的应用太复杂了，技术挑战性太大。依照当前的用法与定位，IDS长期很难生存，但它对分组有效载荷的分析有自己的优势，这种技术可以用于所有的网络安全设备。而IPS其实解决的也是边界安全问题，其实已开始象是防火墙的升级版了。
　　国外也已经有报道提到IDS进入网络分析，协助网管软件进行工作，可能是一条比较好的道路(但随着IPv6的发展，如果网上全是IPSec包，不知道监听这条路怎么走下去)。
　　厂商们可以通过IDS产品进入用户的网络，并随着应急服务以及安全培训逐步介入用户网络的运营，从长期而言(只要核心能力建设起来)可以进入安全运营外包市场(针对大客户)或者安全服务(针对大中客户)。因此，IDS其实应该发展成服务而非产品模式，这点又与防火墙有极大不同。
　　由此来看，IDS和IPS 将会有着不同的发展方向和职责定位。IDS 短期内不会消亡，IPS也不会完全取代IDS的作用。虽然IPS市场前景被绝大多数人看好，市场成熟指日可待，但要想靠蚕食IDS市场来扩大市场份额，对于IPS来说还是很艰难的，如果真是这样，恐怕IPS 要尝尝青涩苹果的滋味了。