（计算机系统结构专业论文）ips入侵预防系统研究与设计.pdf

山东大学硕士学位论文 摘要 入侵预防系统( i p s ，i n t r u s i o np r e v e n t i o ns y s t e m ) 是近两年新兴起的一种 网络安全技术。i p s l e 防火墙和入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 具有更高的主动性，具备一定程度的智能性，能够保护计算机网络系统免受未知 类型的攻击。本文对i p s 的研究与设计进行了探讨，分析了i p s 的基本原理、i p s 的安全策略、所采用的关键技术、i p s 的优势和存在的问题，并对一种基本的基于 网络的入侵预防系统( n i p s ) 的设计与实现作了研究。 i p s 基于p d r r 动态网络安全模型，体现了动态防御、整体防御、纵深防御的思 想。i p s 实现了将访问控制和分析检测两个模块紧耦合在一个系统中，两个模块可 以密切合作，实现了两种技术的优势互补，提高了总体的安全性能，将网络安全 提升到一个更高的层次。 i p s 的目标是防护，检测的目的也是为了防护，这与i d s 检测的目的是为了审计 不同。i p s 采用嵌入式在线运行方式，从而能够实时阻断入侵者的攻击，i p s 的响 应比i d s 更为主动化。 i p s 采用动态访问控制策略，t i p i p s 安全控制策略是动态的，实时变化的，能够 随着网络环境的变化而不断变化，具备一定的自适应能力。i p s 不需要人工的干预 ，能够自动更新访问控制规则库，自动阻截攻击，具有较高的主动性和针对性。 n i p s 解决了数据包内容的深度检测可能产生的负载问题，提高了系统的效率。 并可以做到对网络数据作出基于流的行为分析，而不仅仅是单数据包的分析，从 而提高了检测的深度和广度。 i p s 可以采用比i d s 更为高级的检测技术，如文章中所介绍的行为分析技术、深 度内容搜索技术、基于应用程序的分析技术、弱点保护技术、协议分析技术、基 于攻击模式的检测技术等等。文章中n i p s 的设计与实现主要考虑了两大基础检测 技术的实现：深度内容搜索技术和行为分析技术，这两项技术实现了i p s 的基础同 时也是主体的检测功能，其它检测技术的实现大多要建立在这两项技术基础之上。 关键词：入侵预防系统、动态安全策略、行为分析、特征分析、弱点保护 山东大学硕士学位论文 a b s t r a c t i n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) i san e wn e t w o r ks a f e t yt e c h n o l o g yd e v e l o p e di n r e c e n ty e a r s i p si sm o r ei n t e l l i g e n ta n da c t i v et h a nf i r e w a l la n di n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) ，a n dc a rp r o t e c tc o m p u t e ra n dn e t w o r kf i o mu n k n o w na t t a c k t h i s a r t i c l em a k e ss o m er e s e a r c ho ni p s ，a n a l y s e si t sb a s i cp r i n c i p l e ，s e c u r i t yp o l i c y , k e y t e c h n o l o g i e s ，a d v a n t a g e s a n d d i s a d v a n t a g e s ，a n dd e s i g n m e t h o do fab a s i c n e t w o r k - b a s e di n t r u s i o np r e v e n t i o ns y s t e m ( n w s ) i p si sb a s e do np d r rd y n a m i cn e t w o r ks e c u r i t ym o d e l p d r rp r o v i d e sd y n a m i c ， e n t i r ea n dd e e pd e f e n s e i p si n t e g r a t e sa c c e s sc o n t r o lt e c h n o l o g ya n dd e t e c t i o n t e c h n o l o g ya st w om o d u l e si no n es y s t e m n 圮t w om o d u l e sc a nm a k eu pf o re a c ho t h e r , p r o v i d eh i g h e rs e c u r i t yf o ri n t e m e t t h e t a r g e to fi p si sp r e v e n t i o n , s ot h ep u r p o s eo fd e t e c t i o ni sp r e v e n t m nt o o ，b u t i d si sd i f f e r e n t ，t h eo n eo fi d si sa u d i t i p si so n - l i n e ，e m b e d d e di nt h en e t w o r ks t r e a m ， s oi tc a ni n t e r d i c ti n t r u s i o ni m m e d i a t e l y i p si sm o l ea c t i v et h a ni d s i p su s e sd y n a m i cs e c u r i t yp o l i c y i tm e a n st h ep o l i c yi sd y n a m i c ，c h a n g e a b l e ，a n d s e l f a d a p t a b l et ot h ed y n a m i cn e t w o r ke n v i r o n m e n t i p si si n d e p e n d e n to nt h ep e o p l e ，i s m o r ea c t i v ea n da i m e d i tc a l lr e f r e s hi t sr u l el i b r a r i e sa n dp r e v e n tt h ei n v a s i o n s a u t o m a t i c a l l y n i p ss u c c e s s f u l l yr e s o l v et h ep a y l o a dm a t t e rr e s u l t e df r o md e e pd e t e c t i o n , r a i s e s d e t e c t i o ne f f i c i e n c y n i p sc a nm a k ea n a l y s i so nb o t l las i n g l ep a c k a g ea n dt h ed a t a s t r e a m s ；t h i se n l a r g e st h ed e p t ha n dw i d t ho f d e t e c t i o n i p sh a sh i g h e r - l e v e ld e t e c t i o nt e c h n o l o g yt h a ni d s ，s u c ha sb e h a v i o ra n a l y s i s ，d e 印 c o n t e n ts e a r c h , a n a l y s i sb a s e do na p p l i c a t i o n s ，d e f e c tp r o t e c t i o n , p r o t o c o la n a l y s i s ， d e t e c t i o nb a s e do na t t a c kp a t t e r n i nt h i sa r t i c l e ，t h ed e s i g no fn i p sf o c u s e so nt w o b a s i cd e t e c t i o nt e c h n o l o g i e s ：d e e pc o n t e n ts e a r c ha n db e h a v i o ra n a l y s i s t h e s et w o t e c h n o l o g i e si m p l e m e n tb a s i ca n dm a i nd e t e c t i o nf u n c t i o no fi p s ；o t h e rd e t e c t i o n t e c h n o l o g i e sa r eb a s e do nt h e s et w oo n e s k e y w o r d s ：i n t r u s i o np r e v e n t i o ns y s t e m ，d y n a m i cs u r i t yp o l i c y , b e h a v i o r a n a l y s i s ， c h a r a c t e r i s t i ca n a i y s j s ，d e f e c tp r o t e c t i o n 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本 文的研究作出重要贡献的个人和集体，均已在文中以明确方式标 明。本声明的法律责任由本人承担。 论文作者签名：受幺垄日期： p 。6 呼f ) 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意 学校保留或向国家有关部门或机构送交论文的复印件和电子版，允 许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部 或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他 复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 。 论文作者签名：退! 塾导师签名：赵盘日期：碰! ：! ! 山东大学硕士学位论文 第1 章引言 1 1 背景介绍 信息技术的飞速发展将人类社会带入了信息时代。计算机网络融入到人类社 会的方方面面，包括政务、国防、金融、工商、能源、交通、公用事业等关乎国 计民生的重要部门以及数以亿万计的普通家庭用户。计算机网络已经成为一个国 家、一个企业发展的最重要的基础设施之一与此同时，计算机网络本身的安全 问题也日益严重。 传统上网络系统的安全主要由防火墙和入侵检测0 1 两大支柱技术来保障，这 两大技术对网络系统的安全都曾经起到重大的作用，为维护网络系统的安全做出 过巨大的贡献。另一方面，网络攻击技术也在不断的发展，出现了小分片攻击、 慢扫描、分布式拒绝服务攻击、加密攻击伽等新的攻击技术，甚至还出现了专门 攻击防火墙与入侵检测系统等网络安全软件的攻击程序肼，这一切都对传统的网 络安全技术提出了挑战，对网络安全技术的发展提出了新的要求。 同时，防火墙和入侵检测系统自身也存在一些固有的弱点，使得自身的发展 受到限制。如防火墙本身容易受到攻击，且对于内部网络出现的问题经常束手无 、 策，据统计大于3 5 的网络攻击是针对具有防火墙的系统，且有近7 0 的攻击是 从内部进行的明；防火墙的安全策略是静态的，不能够适应实时变化的动态网络 安全环境的需要等嘲i d s 入侵检测系统是保障网络正常运行的重要工具，具有识 别入侵特征和安全审记等功能，入侵检测系统可以检测出已知的和未知的入侵， 是一种主动式安全检测技术。人们一度曾经寄希望于入侵检测系统可以一劳永逸 的解决网络入侵问题，但事实结果确并不理想。入侵检测系统可以分为两大类， 异常入侵检测系统和误用入侵检测系统，由于检测误差的存在，异常入侵检测系 统会产生较高的误报率，从而产生大量的警报，使真正的入侵信息淹没在虚假的 警报信息中；而误用入侵检测系统会出现较高的漏报率，不能检测到未知的入 侵；同时，由于入侵检测系统必须要对网络中所有通过的数据包进行检测，而检 测本身又是一个非常耗时的过程，这就使得入侵检测系统本身的负载量非常大， 导致检测效率的下降和引起网络性能的瓶颈；另外，入侵检测系统虽然具有响应 模块，但入侵检测系统的响应技术的发展严重滞后，大量的入侵信息不能够自动 处理，必须要人工干预，人工处理的速度很慢，效果很差，这也影响了人们对 山东大学硕士学位论文 i d s 性能的信心姗。 目前第三种重要的网络安全技术一一入侵预防系统i p s ( i n t r u s i o n p r e v e n t i o ns y s t e m ) 已经产生。2 0 0 3 年世界著名市场调研公司g a r t n e r m 在对网络 安全市场调查之后，发表评论认为，i p s 入侵预防系统将会成为下一代的网络安 全技术。i p s 具备一定程度的智能处理功能，能够防御住未知的攻击，是一种比 防火墙和i d s 更为主动的防御系统嗍。 1 2 研究内容与意义 入侵防御系统是继防火墙、入侵检测等传统安全防护技术之后的新一代防御 技术，入侵防御系统融合被动性的访问控制技术和主动性的分析检测技术，在整 个网络安全防护体系中将防护、检测、响应融为一体，使网络防护向动态防护、 纵深防护、整体防护的目标前进，i p s 系统具有更高的适应性、主动性、智能性 和实时性，能够为主机和网络的安全提供更为可靠的安全保障。 i p s 作为近两年新兴起的一种网络安全技术，目前它还处于前期的研究和开发 阶段。本文首先对i p s 的基础技术作了一定的研究，提出并分析了动态访问控制 策略的概念与实现，研究了一些在i p s 系统中的应用技术，并分析了i p s 系统的优 势和可能存在的问题；然后对于具体的结构设计与部分的实现问题作了探讨，提 出了一种基于网络的入侵预防系统n i p s 的结构，并着重论述了n i p s 的访问控制和 分析检测两个模块在实现中的一些基本问题。 1 3 本文的组织结构 第一章：前言。讨论了网络安全的现状、论文的写作背景、课题的研究意义 以及任务。 第二章：p d r r 动态网络安全模型。论述了p d r r 动态网络安全模型的原理， p d r r 动态网络安全模型是i p s 入侵预防系统的重要理论基础，i p s 系统较好的体现 t p d r r 模型的“在统一的安全策略指导下，将防护、检测、响应，恢复等环节融 为一个整体”的理念。 第三章：i p s 入侵预防系统研究。本章论述了i p s 系统的基本原理、分类、作 为一种网络安全技术的优势和可能潜在的问题，并提出和研究了作为一种新兴事 2 山东大学硕士学位论文 物，i p s 系统可以采用的一些新的技术，如动态访问控制策略，基于流的行为分析 技术、深度的内容搜索技术、基于特定应用的分析技术、弱点保护技术、协议分 析技术、基于攻击模式的检测技术等。 第四章：i p s 入侵预防系统的设计与实现。本章提出了一种n i p s 的体系结 构，然后探讨了其中两大模块：访问控制模块和分析检测模块的构成与一些实现 问题。 第五章：结论与展望。本章最后对全文的观点进行了总结，并对i p s 入侵预防 系统的发展前景以及未来的发展方向作了展望。 山东大学硕士学位论文 第2 章p d r r 动态网络安全模型 传统的网络安全模型，基本原理都是建立在基于权限管理的访问控制理论基础 上的，都是静态的，如b e l l - l a p a d u l a 模型、b i b a 模型、信息流控制的格模型、i r i s 授权模型、数据隐藏模型、消息过滤模型等。 但是随着网络的深入发展，静态的网络安全模型已经不能适应当前的分布 式、动态变化、发展迅速的i n t e r n e t 网络环境。针对日益严重的网络安全问题和 越来越突出的安全需求，代表“动态安全模型”的“p d r r 模型”应运而生。 在研究信息安全及网络战防御理论的过程中，美国国防部提出了信息保障 ( i n f o r m a t i o na s s u r a n c e ，i a ) 的概念，并给出了包含保护( p r o t e c t i o n ) 、检测 ( d e t e c t i o n ) 、响应( r e s p o n s e ) 3 个环节的动态安全模型，日p p 2 d r 模型，后来又 增加了恢复( r e s t o r e ) 环节，形成了p d r r 模型嗍。p d r r 模型结构图如下； 图2 - 1p d r r 模型示意图 p d r r 模型包含4 个主要部分：p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、 r e s p o n s e ( 响应) 、r e c o v e r y ( 恢复) 。 p d r r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，综合运用防护、检 测、响应、恢复四种工具，全方位的确保被保护系统的安全。首先利用防护工具 ( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 对被保护系统提供 基础的防护；同时，利用检测工具( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态；通过适当的响应( r e s p o n s e ) 将系统调整到“最安 全”和“风险最低”的状态；通过恢复操作将受到攻击影响的系统恢复到原始的 4 山东大学硕士学位论文 健康状态。防护、检测、响应和恢复组成了一个完整的、动态的安全循环周期 m o j 安全策略( p o l i c y ) 是指在一个特定的环境里，为保证提供一定级别的安全保 护所奉行的基本思想，所遵循的基本原则。“可信计算机系统评估准则” “1 t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) 中定义安全策略为“一 个组织为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总 和”。p d r r 模型中，安全策略己经从以前的被动保护转到了主动防御因此， p d r r 的安全策略是对整个局部网络实施的分层次、多级别的包括安全审计、入侵 检测、告警和修复等应急反应功能的实时处理系统策略。 p d r r 模型的第一个环节是防护( p r o t e c t i o n ) 。防护是预先阻止攻击可以发生 的条件产生，让攻击者无法顺利地入侵，防护可以减少大多数的入侵事件。防护 可以分为三大类：网络安全防护、系统安全防护和信息安全防护。常用的防护技 术【删有；缺陷扫描、访问控制、防火墙、防病毒技术、数据加密、鉴别技术等。 p d r r 模型的第二个环节就是检测( d e t e c t i o n ) 上面提到防护系统除掉入侵 事件发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入 侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全策略的第二 个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统 ( i d s ) 。检测和防护不同，防护主要修补系统和网络的缺陷，增加系统的安全性 能，从而消除攻击和入侵的条件；而检测并不是根据网络和系统的缺陷，而是根 据入侵事件的特征去检测。在p d r r 模型中，防护和检测之间有互补关系，如果防 护部分做得好，绝大多数攻击事件都被阻止，那么检测部分的任务就少了反过 来，如果防护部分做得不好，那么检测部分的任务将会加重。 p d r r 模型中的第三个环节就是响应( r e s p o n s e ) 。响应就是已知一个攻击( 入 侵) 事件发生之后，进行处理。在一个大规模的网络中，响应这个工作都是有一 个特殊部门负责，那就是计算机响应小组。世界上第一个计算机响应小组 c e r t ( c o m p u t e re m e r g e n c yr e s p o n s et e a m ) 1 3 9 位于美国卡内基梅隆大学( c m u ) 的软件研究所( s e i ) ，于1 9 8 9 年建立，是世界上最著名的计算机响应小组。从 c e r t 建立之后，世界各国以及各机构也纷纷建立自己的计算机响应小组。我国第 一个计算机紧急响应小组c c e r t ，于1 9 9 9 年建立，主要服务于中国教育和科研 山东大学硕士学位论文 网。响应的主要工作也可以分为两种。第一种是紧急响应；第二种是其他事件处 理。紧急响应就是当安全事件发生时采取应对措施，其他事件主要包括咨询、培 训和技术支持等。 恢复( r e s t o r e ) 是p d r r 模型中的最后一个环节。恢复是事件发生后，把系统 恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为两个方面：“系 统恢复”和“信息恢复”系统恢复指的是修补该事件所利用的系统缺陷，不让 黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁 等。系统恢复的另一个重要工作是除去后门。一般来说，黑客在第一次入侵的时 候都是利用系统的缺陷。在第一次入侵成功之后，黑客就在系统打开一些后门， 如安装一个特洛伊木马。所以，尽管系统缺陷已经打补丁，黑客下一次还可以通 过后门进入系统。系统恢复都是根据检测和响应环节提供有关事件的资料进行 的。信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于黑客入侵造 成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归 档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系。数据备份 做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级 别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效 率。 6 山东大学硕士学位论文 第3 章i p s 入侵预防系统研究 3 1i p s 系统基础 3 1 1i p $ 基本原理 一 传统的防火墙技术是基于第三层的路由访问控制，是串联在网络中的；入侵 检测系统则通过网络监控和审核跟踪来评估系统所面临的危险，是并联在网络中 的“”。而i p s 一方面采用与防火墙类似的过滤技术，也是串联在网络中的，但是 它不仅仅工作在网络层，还涵盖了上面各层，因此能够实现比防火墙更细粒度的 访问控制( 图3 1 ) “”；另一方面i p s 采用基于对应用层数据内容与数据行为进行分 析的检测技术，其中的行为分析技术与i d s 的基于异常行为特征库的匹配检测方 法“”不同，i p s 的检测分析技术同时检测正常与异常两类行为，并且不仅仅检测单 包的行为而更重要的是检测基于流的行为；i p s 系统实现了将传统的两大网络安 全技术一一访问控制技术和分析检钡4 技术统一在一个完整的系统里，形成了一个 密切联系的紧耦合系统，从而可以实现对网络流量进行“实时”的放行或拦截控 制；i p s 将传统的静态访问控制发展为动态的访问控制，从而可以实现更高的效率 和更高的安全性；i p s 系统的检测模块负载远比i d s 要小，从而可以具有比i d s 更高 的检测效率。i p s 系统将访问控制和分析检测功能紧耦合在一个系统里，在实践上 实现了p d r r 动态网络安全模型的防护、检测和响应的有机统一，进一步提高了网 络防护的智能性和主动性。 图3 一li p s 的在线安装位置 7 山东大学硕士学位论文 3 。i 2i p s 系统的分类 根据配置位置的不同，i p s 与i d s 相似也可分成基于主机的入侵预防系统 ( h i p s ，h o s t b a s e di n t r u s i o np r e v e n t i o ns y s t e m ) 和基于网络的入侵预防系 统( n i p s ，n e t w o r k - b a s e di n t r u s i o np r e v e n t i o ns y s t e m ) ，另外还有一种应用 入侵防护系统a i p ( a p p l i c a t i o ni n t r u s i o np r e v e n t i o ns y s t e m ) “”。h i p s 位于 一台主机上，主要用于预防入侵者对关键资产，如对关键服务器、数据库的攻 击；n i p s 贝u 用于预防对关键网段的攻击，常常配置在路由器、网关等网络节点上 ：a i p 是把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备，它被设 计成一种高性能的设备，配置在应用数据的网络链路上，对具体的某些应用服务 进行防护，具有很强的针对性。 h i p s 可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发 起的恶意入侵。阻断诸如缓冲区溢出、改变登录口令、改写动态链接库以及其他 试图从操作系统夺取控制权的入侵行为；还能够防范未知攻击，如针萍 w e b 页 面、应用和资源的未授权的任何非法访问等，整体提升主机的安全水平在技术 实现上，h i p s 可以采用包过滤、包实时检测、系统( 状态与功能模块) 监测、特 定应用保护等技术组成分层防护体系，最大限度地保护服务器的敏感内容。h i p s 与具体的主机服务器操作系统平台紧密相关。 n i p s 通过对流经的网络流量进行控制和检测，来提供对网络系统的安全保护 “”。在检测功能方面，由于i p s 采用在线连接方式，所以一旦辨识出入侵行为， n i p s 就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线与嵌入 式连接在网络内，n i p s 需要具备很高的性能，以免成为网络的瓶颈，因此n i p s 宣 采用并行机制实现，来提高n i p s 的效能。在软件实现上，n i p s 可以采用多线程机 制，用不同的线程来实现不同的功能模块。在硬件实现上，n i p s 可以采用高速的 并行芯片，部署子交换机等网络节点上，来确保有较高的吞吐率。本文的研究重 点是i p s 内部的原理与实现技术，因此对i p s 的硬件实现不作探讨。 n i p s 根据所采用的技术又可分为：安全专家型和安全检查员型两种基本类 型。其中安全专家型主要采用行为分析技术，又可称为行为分析型。安全检查员 型主要采用深度内容搜索技术，又可称为内容搜索型。事实上同时采用行为分析 山东大学硕士学位论文 和深度内容搜索两种技术的混合型更为现实可行 应用入侵预防设备( a i p ) 可以把主机入侵预防c h i p ) 的功能延伸到驻留在应 用服务器之前的网络设备a i p 设备是部署在应用数据通路中的一种高性能设备， 旨在确保用户遵守已确立的安全策略，保护应用环境的完整性。它会检查出站的 应用流量，根据响应得出结论，从而尽量降低i t 部门配置及管理更新的工作量。 譬如，某个应用的h t m l 表格索要信用卡号码，这样一来a i p 会核查提供的号码以确 保其不超过1 5 位。提供号码过长会导致缓冲器溢出，而字母数字混合的号码也会 导致应用系统出错。a i p 设备能够防止诸多入侵，其中包括c o o k i e 篡改、s q l 代码 嵌入、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配以及已 知漏洞。a i p 是一种可以在一定程度上替代主机入侵预防系统的技术，作为h i p 产 品以外的另一种技术。a i p 设备是专门针对特定应用的安全研制的专用设备。仅仅 向i t 部门报告已发现的威胁并不够应用入侵预防更进一步，它可以防止已发 现的攻击进入关键服务器。针对大部分攻击是通过服务器端d 8 0 ( h t t p ) 或4 4 3 ( s s l ) 进来的，因而a i p 部署于面向w e b 、依赖h t t p 或s s l 协议的应用系统当中 根据访问控制策略的时效性的不同，i p s 可以分为静态i p s 和动态i p s 。静态 i p s 的访问控制模块的安全控制策略是静态的、不变化的；动态i p s 的访问控制模 块的安全控制策略是动态的，实时变化的。显然，静态i p s 只具有理论研究价值， 而不具有实用价值，动态i p s 是真正的研究方向。 根据分析检测技术n 町的不同，i p s 可以分为异常入侵防护系统和误用入侵防护 系统。其中异常入侵防护系统采用异常入侵检测技术，误用入侵防护系统采用误 用入侵检测技术这和i d s 入侵检测系统的入侵检测功能相似。异常入侵检测指 的是根据非正常行为( 网络或系统) 和使用计算机资源非正常情况检测入侵行为， 异常入侵检测原理需要建立网络或系统的正常行为模式库，通过检测网络或系统 的实际行为模式与正常行为模式之间的差异来检测是否存在入侵。异常入侵检测 可以检测到未知的入侵模式，但是实现复杂，且准确率难以有效保证。误用入侵 检测指根据已知的入侵模式来检测入侵，这依赖于入侵模式库，如果模式库中没 有最新出现的模式，则不能检测到该类入侵。但是误用入侵检测的准确率高，实 9 山东大学硕士学位论文 现简单。 3 1 3i p s 的主要技术特征 嵌入式在线运行模式。采用在线方式检测数据包，对攻击数据包依据安全 策略在第一时间直接由访问控制模块自动处理( 中断联机、丢弃数据包、 记录数据包等动作) ，同时维持正常的数据包通过，保证正常的数据流量。 i p s 采用这种嵌入式模式运行，根据需要可将其嵌入到服务器、关键主机、 路由器、以太网交换机上。 完善的安全策略。为达到主动防御的目的，i p s 必须具备完善的安全策略 ，具备深入的分析能力，根据攻击类型确定哪些流量应该被拦截，以及给 出相应的响应要求。 高质量的入侵特征库。信息系统综合威胁不断发展，需要多层、深度的 防护才能有效，为达到高效检测的目的，i p s 必须建立丰富且尽可能完备 的入侵特征库。 高效处理数据包的能力。鉴于i p s 的部署位置，它的运行效率对所要保障 的系统有着至关重要的影响，所以i p s 一般应具有高效的数据包处理能力。 i p s 采用各种先进的软件和专用硬件技术来提高检测效率 强大的响应功能。i p s 强大的响应功能是它区别于i d s 的最显著的特点，也 是其进行主动防御的保障。它的响应是主动性的响应，i p s 根据检测结果 阻断入侵或延时入侵过程以降低损失。此外，i p s 还可以根据策略配置， 分别采用实时、近期和长期的响应行为。 3 1 4i p s 的优势 主动、实时预防攻击。实时检测与主动防御是i p s 最为核心的设计理念， 也是其区别于防火墙和i d s 的立足之本。i p s 具有强有力的实时阻断功 能，能够预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何 损失： 深层防护。强大的安全都是基于深度防御的概念，i p s 能够提供基于数据 包内容深度检测的安全。还可以对网络数据流进行重组进行协议分析等检 测，还可以作出基于流的行为检测。 内外兼防。i p s 不但可以防止来自于外部的攻击，还可以防止发自于内部 l o 山东大学硕士学位论文 的攻击 提高了检测入侵的效率。i p s 将分析检测模块配置在访问控制模块之后， 访问控制模块会预先阻断所有危险连接的攻击和不允许的连接访问，从 而极大的减少了后面的检测模块的负载量。 有效的降低了检测入侵的误报率和漏报率 提高了应对入侵的自动化程度。i p s 的检测模块在检测到入侵之后会反馈 入侵信息给访问控制模块，访问控制模块在收到信息后会实时自动阻断 入侵者的攻击而不需要人工干预。 3 1 5i p s 存在的问题 从技术的角度讲，i p s 可能会引起以下两大类技术问题： 从访问控制的效果看，i p s 会存在两类控制问题：一类是，曾经的网络入侵 者，如a ，在一个可以承受的较长时间范围内没有再度入侵的企图，而可能对i p s 的被保护系统有正常访问的要求，但是i p s 仍然保持对a 的访问禁止，这种情况称 为“无效控制”；另一类问题与i p s 的动态访问策略有关一个网络入侵者，如 b ，在发动第一次攻击后，间歇一段不长的时间第二次发动攻击，但是如果i p s 系 统此时已经解除了在受到第一次攻击时的对入侵者的控制，此时就不得不进行第 二次控制，如果入侵者发动间歇性的持续性攻击，那么i p s 系统将会进行反复的 “控制一解除一控制一解除一”，情况严重时可能进入一种死循环，从而使 i p s 系统自身崩溃，这种情况称为“失效控制”。 从分析检测的效果看，i p s 会存在两类检测问题；一是未能检测到已知的入 侵，从而未能对入侵进行实时的拦截。二是把非入侵判断为入侵，从而阻断了合 法用户的正常连接。前者称为“漏警”，后者称为“误警”这与i d s 的“漏 报”和“误报”。”是相似的概念。但是与i d s 不同，i d s 分为两类，异常检测i d s 会产生较高的误报率，滥用检测i d s 会产生较高的漏报率；i p s 由于同时具备分析 检测和访问控制两项功能，并且两项功能互相影响和控制，提高了各自的效率， 因此能够产生比i d s 系统更低的误警率和漏警率。 另一方面，从应用的角度讲，i p s 可能会引起以下问题： 山东大学硕士学位论文 单点故障( s i n g l e - p o i n tf a u l t ) 或单点失效问题。i p s 的阻断能力决定其必 须采用网络嵌入的在线( i nl i n e ) 运行模式，在线运行对阻断攻击相当有 效，但若i p s 发生故障，不仅会影响安全保障能力，更主要的是将中断网 络连接，产生由i p s 造成的拒绝服务问题，直接影响被保护目标的正常运 转。为此，i p s 的设计可以采用失效开放( f a i l o p e n ) 机制，保证在防护 系统出现故障时网络仍正常可用，但此时可能没有了检测和阻断功能。另 外，如果i p s 本身受到攻击，并且被攻陷的话，也会引起整个网络失去保 护，这就要求i p s 本身必须要具有一定的自我抗攻击能力。 性能瓶颈问题。i p s 以嵌入式部署，在进行大规模的检测时，负载很大， 不可避免会给传输带来延时。当前网络流量日益增大，为避免成为网络性 能的瓶颈。i p s 必须具有高速的处理数据的能力，这将取决于它的软件和 专用硬件加速装置。软件和算法上，通过信息融合和主动数据库、模块互 动等技术来提高分析速度；硬件上，可以采用网络处理器( 网络芯片) 、 专用芯片f p g a 编程芯片和专用的a s i c 芯片等来提高口s 的运行效率。 攻击阻断的管理问题。主动阻断攻击是i p s 的重要技术优势，但若处理不 好也会引起重要问题。如误警引起的非法阻截，i p s 本身无法恢复，可能 需要人工的干预；另外，在人工干预之后，可能会引起i p s 再次进行非法 阻截，因为i p s 本身的算法是一定的，做出的判断也会相同。 3 2 l p s 的访问控制策略 传统的防火墙技术的访问控制策略是静态的、不变的，不能够实时的应对动 态的、不断变化的网络环境。如果要求必须改变网络控制功能中的某些功能时， 不得不依靠人工的干预，工作的效率、智能性和准确性都欠缺。i p s 系统发展了 传统的访问控制技术，将访问控制策略由静态的不变的发展为动态的可变的。 i p s 系统的访问控制策略的具体分类如下： 3 2 1 静态与动态访问控制策略 从访问控制规则是否可以变化的角度，i p s 的访问控制策略可以分为：“静态 访问控制策略”与“动态访问控制策略”。采用静态访问控制策略的i e s 的访问控 制规则是静态的不变的，改变时需要人工的干预；采用动态访问控制策略的i p s 山东大学硕士学位论文 的访问控制规则是动态的可变的，其变化有i p s 系统自身控制。显然，动态访问 控制策略是i p s 系统设计时的首选。 3 2 2 永久性，实时与限时访问控制策略 从访问控制时间的角度，动态i p s 的访问控制策略又可以分为：永久性访问 控制策略、实时访问控制策略和限时访问控制策略。永久性访问控制策略的访问 控制时间是永久性的，可以认为是一个超过有效度的非常大的时间值；实时访问 控制策略的访问控制时间根据所受到的网络攻击的类型与网络系统的状态实时变 化，通常选择在网络攻击结束，网络系统恢复到一个较安全的状态后的一个较短 的时间范围内，实时自动解除控制；限时访问控制策略的访问控制时间也是根据 所受到的网络攻击的类型与网络系统的状态而变化，但是它的控制时间通常选择 的比较长，通常该策略的时间的选择应达到一个目的：那就是“使入侵者没有第 二次入侵的机会”。从理论上看，限时访问控制策略是三种策略中的最佳策略， 永久性访问控制策略会把一个入侵者作为永久性的入侵者，而实时访问控制策略 则把入侵者一概作为一次性入侵者，显然两者都是不合理的。 限时访问控制策略又可分为“固定时间访问控制策略”和“可变时间访问控 制策略”固定时间访问控制策略，将对所有的被限制流进行相同时间的访问限 制，优点是实现方法简单，缺点是缺乏合理性，没有对不同的攻击类型与危害作 出区分，极有可能会引起上面所提到的失效控制和无效控制两类问题，从而严重 影响i p s 的效率；可变时访问控制策略更为合理，然而在实现上复杂，需要针对不 同的入侵类型作出判断，需要解决危险的评估问题，另外也增大了系统的工作量。 限时访问控制策略的“时间粒度的选择”是一个不得不考虑的问题。时间粒 度太大，“失效的控制”会不断增加，控制效率会不断下降。随着时间粒度的不 断增大，限时访问控制策略趋向于永久性访问控制策略。时间粒度太小，“无效 的控制”可能会增加，也会导致控制效率的下降，如果碰到间歇性持续攻击者， 时间粒度小的i p s 基本可以认为是完全失效。随着时间粒度的不断减小，限时访 问控制策略趋向于实时访问控制策略。永久性访问控制策略与实时访问控制策略 在数学理论上可以认为是时间访问控制策略的两个极端。 3 3 3 明确禁止与明确允许访问控制策略 从权限控制的角度分，i p s 的访问控制策略可以分为：“明确允许策略”和“ 山东大学硕士学位论文 明确禁止策略”嘲。这与传统的防火墙的访问策略分类相同。在明确允许策略 中，除非明确不允许，否则将允许某种服务，在这种情况下，防火墙的默认设置 为允许所有的服务，它能给用户提供最多的服务，但它给入侵者提供了更多绕过 防火墙的机会，因而防火墙的安全性比较低。在明确禁止策略中，除非明确允 许，否则将禁止某种服务，在这种情况下，防火墙的默认设置为阻塞所有的信 息，这是当前广泛采用的策略，该策略对用户的限制较多，但它的安全性比较 高。明确允许和明确禁止策略在i p s 的系统的实现中有更为深层次的表现。 3 3i p s 的分析检测技术 理论上在分析检测技术这一块，原有的i d s 系统的检测技术可以适用于i p s 。 但是这些i d s 的检测技术在运用于入侵预防系统时会有完全不同的表现，i p s 在 使用这些检测技术时，检测的内容，效率等等都会与i d s 有很大的不同，主要的原 因是由于访问控制技术在i p s 内部的出现，解决了分析检测的负载难题，从而使得 i p s 的分析检测功能有足够的能力去进行更为深度的和更为复杂的检测。 另外i p s 可以使用一些更为高级的技术，如基于流的行为分析技术、深度内 容搜索技术、基于特定应用的分析技术、弱点保护技术、协议分析技术、基于攻 击模式的检测技术等下面将逐一介绍这些技术。 3 3 1 基于行为的分析技术 基于行为的分析技术是指基于对网络连接及数据传送的行为是正常还是异常 进行分析检测的技术。网络行为从检测的角度可分为“正常行为”和“异常行为 ”两种，还可以从数量的角度分为“基于流的行为”和“基于单包的行为”。其 中“流”是指来自同一个地址的连续数据包的集合；流又可分为。上行流”和。 下行流”区分上行流和下行流，使i p s 不仅能检测到来自外部的入侵，而且能检 测来自内部的攻击。如何判断一个网络行为是正常行为还是异常行为，方法是根 据实践建立正常行为规则库和异常行为规则库。如以下两种行为可以被视为异常 行为：对于一个单数据包如果s y n 与f i n 标志同时被置1 ，这是一种异常行为，基 本上可以断定是入侵，因为这违犯了t c p 包的使用规则，这是一种异常的基于单包 的行为的实例；又如，如果一个流内连续出现多个内容相同的数据包，这也可以 断定为入侵，黑客工具阿拉丁u d p 洪水攻击器的原理就是向目标持续发送大小、 1 4 山东大学硕士学位论文 内容均固定的u d p 包来阻塞网络带宽，实现d o s ( 拒绝服务攻击) 的目的，这是一 种异常的基于流的行为的实例。 采用基于流的检测技术是i p s 提高检测效率的最重要的一个手段。因为通常一 个流要么是入侵，要么不是入侵，如果能够在一个流的前几个数据包就确定这个 流不是入侵的话，那么这个流后面的所有数据包就不必检测了；同理，如果能够 在一个流的前几个数据包就确定这个流是入侵的话，那么这个流后面的所有数据 包也不必检测了，直接阻断该访问流就可以了这在检测一些规模很大的流时尤 其有用，能够极大的减d , i p s 的工作负荷，提高i p s 的工作效率。合法的大规模流 如看在线电影，来自合法站点的大规模数据上传下载等情况，非法的大规模流如 d d o s 分布式拒绝服务攻击、协作攻击、采用t c p u d p 洪水之类的攻击等。另外，象 洪水类攻击一样，大规模的入侵流很容易被检测出来，这是基于流的行为分析技 术的一个优势。 3 3 2 基于深度内容搜索的分析技术 基于深度内容搜索的分析技术从实现的角度又可以分成很多种。常用的方法 有： a 、入