網(wǎng)絡(luò)層及web應(yīng)用層的安全技術(shù)研究(二)

三．入侵檢測機制及入侵防御系統(tǒng)的工作過程

 3.1 入侵防御系統(tǒng)的概念及其特點

  入侵防御系統(tǒng)作為新生事物, 目前還沒有一個統(tǒng)一完善的定義。在本文中, 我們定義入侵防御系統(tǒng)( IPS) 為任何能夠檢測已知和未知攻擊并且在沒有人為的干預(yù)下能夠自動阻止攻擊的硬件或軟件設(shè)備。Gartner 對于 IPS 進(jìn)行了進(jìn)一步的解釋: “IPS 必須結(jié)合使用 個算法阻塞惡意行為, 可以基于特征阻塞已知攻擊, 同時還可以利用防病毒和 IDS 使用的那些方法———至少支持策略、行為和基于異常的檢測算法。這些算法必須在應(yīng)用層操作, 作為對標(biāo)準(zhǔn)的、網(wǎng)絡(luò)層防火墻處理的補充。它也必須具備區(qū)別攻擊事件和正常事件的智能。

IPS 與防火墻和 IDS 不同, 它是一個能夠?qū)θ肭诌M(jìn)行檢測和響應(yīng)的“主動防御”系統(tǒng)[ 5] 。我們通過對目前研究成果的歸納總結(jié), 得出入侵防御系統(tǒng)具有以下四個特點:

( 1) 完善的分析機制。入侵防御系統(tǒng)的一個首要要求就是必須具備內(nèi)在的智能。它能夠使用一些異常檢測組件區(qū)別惡意和正常的行為, 這些組件應(yīng)該根據(jù)一系列成熟且動態(tài)變化

的標(biāo)準(zhǔn)、容忍度和靜態(tài)特征全面地分析系統(tǒng)或者通信行為。這

個分析引擎不僅僅具有大量的規(guī)則, 同時它是自適應(yīng)且動態(tài)變化的。

這個分析必須是足夠成熟的分類和檢測活動。對于一個真正的入侵防御系統(tǒng)來說, 僅僅阻塞惡意代碼或通信流量是不

夠的, 它必須能夠識別惡意行為的特性并為管理人員提供一些識別入侵本質(zhì)的幫助。

( 2) 狀態(tài)信息的保持。入侵防御系統(tǒng)必須對它所處的環(huán)境有一定的意識。IPS 不能僅僅盲目的接受或者拒絕, 它要識別其所運行的環(huán)境。IPS 通過維護(hù)網(wǎng)絡(luò)或操作系統(tǒng)的狀態(tài)信息來實現(xiàn)對環(huán)境的理解。狀態(tài)信息必須反饋給分析引擎。當(dāng)檢測和識別引擎正在分析信息時, 它必須考慮信息所處的狀態(tài)。

( 3) 自動響應(yīng)。除了檢測和識別可疑行為, 入侵防御系統(tǒng)能夠?qū)�檢測到的情況作出響應(yīng)。這個機制要求系統(tǒng)有能力自動地阻止惡意代碼進(jìn)入安全區(qū)域或阻止惡意代碼的執(zhí)行。防御方式可以進(jìn)行配置, 使其具有多個實現(xiàn)的層次, 然而最重要的是它必須能夠自動的發(fā)揮作用。

( 4) 快速的響應(yīng)。自動的響應(yīng)方式引起了響應(yīng)速度的改善。IPS 可以實時或接近實時的方式積極地行使和加強保護(hù)。也就是說, 當(dāng)惡意事件正在發(fā)生時, 它必須積極地行使關(guān)鍵的檢測和保護(hù)功能。

3.2 入侵防御系統(tǒng)的分類、部署方式及工作原理

對于入侵防御系統(tǒng)而言, 目前有兩種常見的分類方法, 分別是: 基于攻擊時間線( by Attack Timeline) 和基于操作平臺 ( by Platform)。入侵防御系統(tǒng)的部署方式和工作原理與所選擇的操作平臺有密切的關(guān)系, 因此以下我們針對 NIPS 和 HIPS 進(jìn)行討論。NIPS 通常是在線安裝, 可以實時地對流量進(jìn)行控制。其部署的位置一般在邊界網(wǎng)關(guān)防火墻的后面、DMZ 區(qū)的前面、內(nèi)部服務(wù)器的前面和 VPN 端點的后面, 相應(yīng)位置的流量必須完全流經(jīng)它, 由它決定是否能夠通過。

    HIPS 通過安裝軟件代理程序到服務(wù)器、工作站和重要的主機上, 處于操作系統(tǒng)內(nèi)核與應(yīng)用程序之間, 與操作系統(tǒng)緊密結(jié)合, 提供對主機的保護(hù)。各個軟件代理統(tǒng)一由中心控制器進(jìn)行管理, 包括代理程序的安裝、卸載、升級、事件報告和相互通信等。

3.3 入侵防御系統(tǒng)的具體實現(xiàn)

兩種不同平臺上的 IPS, 其工作原理也有較大差異。我們分析了目前已有的一些 IPS及相關(guān)研究成果, 對 IPS 的一般工作原理進(jìn)行了系統(tǒng)歸納, 具體如下:

( 1) 基于網(wǎng)絡(luò)的入侵防御系統(tǒng)。NIPS 采取在線安裝的方式嵌入到網(wǎng)絡(luò)流量中, 通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量, 經(jīng)過自身過濾器的檢查, 把已確認(rèn)其中不包含異常活動或可疑內(nèi)容的流量通過另外一個端口轉(zhuǎn)發(fā)到內(nèi)部系統(tǒng)中, 而那些惡意的數(shù)據(jù)包及來自同一會話中的其他后續(xù)數(shù)據(jù)包將被

NIPS 丟棄。其具體工作原理如圖 2 所示。

隕孕雜 引擎 大規(guī)模并行深層檢查

ASIC

數(shù)據(jù) 過濾器 員 命中

流入的 流出的

進(jìn)行分類 過濾器 圓 命中 過或

數(shù)據(jù)流 數(shù)據(jù)流

未通過

丟棄并記錄 流狀態(tài)信息 過濾器暈 命中 丟棄并記錄

圖 員  暈隕孕雜 的工作原理

                    圖2

當(dāng)數(shù)據(jù)包進(jìn)入 NIPS 時, 分類引擎會根據(jù)報頭和流信息如源 IP 地址和目的 IP 地址、端口號和應(yīng)用域?qū)γ總�數(shù)據(jù)包進(jìn)行分類, 接著不同類型的數(shù)據(jù)包將被送到相應(yīng)的過濾器進(jìn)行過濾。這些過濾器引擎是專業(yè)化定制的集成電路, 可以深層檢查數(shù)據(jù)包的內(nèi)容, 如果攻擊者利用從數(shù)據(jù)鏈路層到應(yīng)用層的漏洞發(fā)起攻擊, NIPS 能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。并且所有相關(guān)的過濾器都是并行使用的, 能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。如果任何數(shù)據(jù)包符合匹配要求, 則該數(shù)據(jù)包將被標(biāo)為命中, 被標(biāo)為命中的數(shù)據(jù)包將被丟棄, 與之相關(guān)的流狀態(tài)信息也會更新, 指示 NIPS 丟棄該數(shù)據(jù)流中剩余的所有內(nèi)容。這種并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng), 提高了 NIPS 的系統(tǒng)性能。

( 2) 基于主機的入侵防御系統(tǒng)。操作系統(tǒng)內(nèi)核控制著對如內(nèi)存、I/O 設(shè)備和 CPU這些系統(tǒng)資源的訪問, 一般禁止用戶的直接訪問。為了使用系統(tǒng)資源, 用戶程序向內(nèi)核發(fā)起請求或

進(jìn)行系統(tǒng)調(diào)用, 由內(nèi)核進(jìn)行相應(yīng)的操作。任何惡意代碼都需要執(zhí)行系統(tǒng)調(diào)用獲得對特權(quán)資源或服務(wù)的訪問。因此, HIPS 的

代理程序就位于操作系統(tǒng)內(nèi)核和應(yīng)用程序之間, 以軟件的形式

嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中, 在底層截取系統(tǒng)調(diào)用

如磁盤讀寫請求、網(wǎng)絡(luò)連接請求, 嘗試改變注冊表和內(nèi)存寫等操作, 然后使用根據(jù)策略定義的訪問控制列表檢查這些系統(tǒng)調(diào)

用, 允許或者阻止對系統(tǒng)資源的訪問, 如圖 3 所示。