网络层及web应用层的安全技术研究(二)

三．入侵检测机制及入侵防御系统的工作过程

 3.1 入侵防御系统的概念及其特点

  入侵防御系统作为新生事物, 目前还没有一个统一完善的定义。在本文中, 我们定义入侵防御系统( IPS) 为任何能够检测已知和未知攻击并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备。Gartner 对于 IPS 进行了进一步的解释: “IPS 必须结合使用 个算法阻塞恶意行为, 可以基于特征阻塞已知攻击, 同时还可以利用防病毒和 IDS 使用的那些方法———至少支持策略、行为和基于异常的检测算法。这些算法必须在应用层操作, 作为对标准的、网络层防火墙处理的补充。它也必须具备区别攻击事件和正常事件的智能。

IPS 与防火墙和 IDS 不同, 它是一个能够对入侵进行检测和响应的“主动防御”系统[ 5] 。我们通过对目前研究成果的归纳总结, 得出入侵防御系统具有以下四个特点:

( 1) 完善的分析机制。入侵防御系统的一个首要要求就是必须具备内在的智能。它能够使用一些异常检测组件区别恶意和正常的行为, 这些组件应该根据一系列成熟且动态变化

的标准、容忍度和静态特征全面地分析系统或者通信行为。这

个分析引擎不仅仅具有大量的规则, 同时它是自适应且动态变化的。

这个分析必须是足够成熟的分类和检测活动。对于一个真正的入侵防御系统来说, 仅仅阻塞恶意代码或通信流量是不

够的, 它必须能够识别恶意行为的特性并为管理人员提供一些识别入侵本质的帮助。

( 2) 状态信息的保持。入侵防御系统必须对它所处的环境有一定的意识。IPS 不能仅仅盲目的接受或者拒绝, 它要识别其所运行的环境。IPS 通过维护网络或操作系统的状态信息来实现对环境的理解。状态信息必须反馈给分析引擎。当检测和识别引擎正在分析信息时, 它必须考虑信息所处的状态。

( 3) 自动响应。除了检测和识别可疑行为, 入侵防御系统能够对检测到的情况作出响应。这个机制要求系统有能力自动地阻止恶意代码进入安全区域或阻止恶意代码的执行。防御方式可以进行配置, 使其具有多个实现的层次, 然而最重要的是它必须能够自动的发挥作用。

( 4) 快速的响应。自动的响应方式引起了响应速度的改善。IPS 可以实时或接近实时的方式积极地行使和加强保护。也就是说, 当恶意事件正在发生时, 它必须积极地行使关键的检测和保护功能。

3.2 入侵防御系统的分类、部署方式及工作原理

对于入侵防御系统而言, 目前有两种常见的分类方法, 分别是: 基于攻击时间线( by Attack Timeline) 和基于操作平台 ( by Platform)。入侵防御系统的部署方式和工作原理与所选择的操作平台有密切的关系, 因此以下我们针对 NIPS 和 HIPS 进行讨论。NIPS 通常是在线安装, 可以实时地对流量进行控制。其部署的位置一般在边界网关防火墙的后面、DMZ 区的前面、内部服务器的前面和 VPN 端点的后面, 相应位置的流量必须完全流经它, 由它决定是否能够通过。

    HIPS 通过安装软件代理程序到服务器、工作站和重要的主机上, 处于操作系统内核与应用程序之间, 与操作系统紧密结合, 提供对主机的保护。各个软件代理统一由中心控制器进行管理, 包括代理程序的安装、卸载、升级、事件报告和相互通信等。

3.3 入侵防御系统的具体实现

两种不同平台上的 IPS, 其工作原理也有较大差异。我们分析了目前已有的一些 IPS及相关研究成果, 对 IPS 的一般工作原理进行了系统归纳, 具体如下:

( 1) 基于网络的入侵防御系统。NIPS 采取在线安装的方式嵌入到网络流量中, 通过一个网络端口接收来自外部系统的流量, 经过自身过滤器的检查, 把已确认其中不包含异常活动或可疑内容的流量通过另外一个端口转发到内部系统中, 而那些恶意的数据包及来自同一会话中的其他后续数据包将被

NIPS 丢弃。其具体工作原理如图 2 所示。

陨孕杂 引擎 大规模并行深层检查

ASIC

数据 过滤器 员 命中

流入的 流出的

进行分类 过滤器 圆 命中 过或

数据流 数据流

未通过

丢弃并记录 流状态信息 过滤器晕 命中 丢弃并记录

图 员  晕陨孕杂 的工作原理

                    图2

当数据包进入 NIPS 时, 分类引擎会根据报头和流信息如源 IP 地址和目的 IP 地址、端口号和应用域对每个数据包进行分类, 接着不同类型的数据包将被送到相应的过滤器进行过滤。这些过滤器引擎是专业化定制的集成电路, 可以深层检查数据包的内容, 如果攻击者利用从数据链路层到应用层的漏洞发起攻击, NIPS 能够从数据流中检查出这些攻击并加以阻止。并且所有相关的过滤器都是并行使用的, 能够同时执行数千次的数据包过滤检查。如果任何数据包符合匹配要求, 则该数据包将被标为命中, 被标为命中的数据包将被丢弃, 与之相关的流状态信息也会更新, 指示 NIPS 丢弃该数据流中剩余的所有内容。这种并行过滤处理可以确保数据包能够不间断地快速通过系统, 提高了 NIPS 的系统性能。

( 2) 基于主机的入侵防御系统。操作系统内核控制着对如内存、I/O 设备和 CPU这些系统资源的访问, 一般禁止用户的直接访问。为了使用系统资源, 用户程序向内核发起请求或

进行系统调用, 由内核进行相应的操作。任何恶意代码都需要执行系统调用获得对特权资源或服务的访问。因此, HIPS 的

代理程序就位于操作系统内核和应用程序之间, 以软件的形式

嵌入到应用程序对操作系统的调用当中, 在底层截取系统调用

如磁盘读写请求、网络连接请求, 尝试改变注册表和内存写等操作, 然后使用根据策略定义的访问控制列表检查这些系统调

用, 允许或者阻止对系统资源的访问, 如图 3 所示。