入侵防御技术原理分析

摘要：随着互联网的普及和网络技术的飞速发展，网络安全漏洞不断被发现，黑客的入侵技巧和破坏能力不断提高，网络受到越来越多的攻击，怎样防止入侵，保护网络安全问题也成了大家关注社会问题。本文首先分析了常规的网络入侵方法，然后详细阐述了入侵防御技术的原理，并结合实际的网络拓扑结构对近年来的一种新技术――入侵防护系统进行了分析。

关键词：网络安全；入侵检测；入侵防御

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)06-1pppp-0c

1 引言

随着社会对互联网依赖性的增强，计算机网络安全问题也逐渐成为人们普遍关注的重要问题之一。当前，计算机网络的安全已成为一个社会化、国际化的问题。近年来，大量的网站和服务器被入侵，大规模网络攻击的不断出现，充分说明了我们在加深对互联网的依赖程度的同时，互联网也变得更加的不安全了。

入侵防御是一种新的计算机安全技术，它与只检测和报告已经发生攻击行为的入侵检测技术不同，它采取积极主动的措施阻止从外部对IT资源的攻击，将损失降到最小。由于现存安全技术有各种各样的局限性，入侵防御技术越来越受到政府部门和企事业单位的重视。入侵防御技术在逻辑上可以看成是基于特征匹配的安全技术（如入侵检测和病毒防治）与源于网络的保护方案（如防火墙技术）的总和。

2 常规网络入侵方法介绍

(1)DoS（Denial of Service）入侵

拒绝服务攻击（DoS攻击）是目前为人所熟知的一种攻击。拒绝服务攻击从根本上可以分为两种类型：一是使系统崩溃或瘫痪，使目标系统重启，以至于不能够提供相应的服务；二是通过要目标系统发送大量的无效的数据包耗尽系统资源，以至于系统不能够响应正常的请求，从而实现拒绝服务攻击。

(2)特洛伊木马入侵

在目标计算机机中种植特洛伊木马也是当今流行的一种网络入侵方式。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。木马通常不容易被发现，因为它一般是以一个正常的应用程序的身份在系统中运行的。

(3)蠕虫入侵

一个蠕虫通常具备三个基本功能：传播、隐藏和目标执行。传播功能使得其可以在很短的时间内通过网络迅速繁殖，隐藏功能则使得蠕虫在侵入目标系统后能够不被发现，例如从系统进程列表上隐藏自己，或更名为操作系统某个系统进程的名称等等。执行功能可以使其实现对主机的恶意控制操作。

(4)WEB欺骗

Web欺骗也是近年来较为流行的一种网络供给手段，其基本原理是通过假冒人们所信任的Web站点，使得用户访问其假冒站点，从而达到监听用户通讯，非法获取敏感信息的目的。

(5)局域网ARP欺骗

ARP(Address Resolution Protocol)地址解析协议是局域网通信的基础协议。ARP欺骗利用了ARP协议的存在的安全缺陷，即接收ARP计算机不需要发出ARP请求。

3 入侵防御原理

由于网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面网络感染病毒、遭受攻击的速度日益加快，另一方面网络受到攻击做出响应的时间却越来越滞后。要解决这一矛盾，传统的防火墙或入侵检测技术显得力不从心，被动防御技术对新的攻击方法往往不能正确识别，从而陷入被动的地位，这就需要引入一种全新的技术――入侵防护系统(Intrusion Prevention System，IPS)。

IPS是一种主动的、积极的入侵防范、阻止系统遭受攻击的软件系统。它不仅具备侦测与预防的能力，更重要的是有响应与管理的能力。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。但是它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤，最大程度地保证系统的安全。IPS是通过直接嵌入到网络流量中来实现这一功能的，即通过一个端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。网络拓扑结构如图1。

图1 入侵检测系统网络拓扑

从图1可以看出入侵检测系统在网络拓扑中，数据包到达目标地址前必须经过入侵检测系统的检测，当检测到攻击时，入侵检测系统将攻击数据包丢弃，从而阻止入侵。入侵检测系统与路由器的协同工作方式如下：首先，要求路由器的访问控制列表应该对所传输IP数据包的目的地址和源地址同时进行检测，若发现应该禁止通信的数据流则截断通信，以增强对访问的控制功能。当入侵检测系统发现本网主机或网络设备遭到拒绝服务等攻击行为时，入侵检测模块通过入侵发现报文迅速通知入侵响应子系统，入侵响应子系统根据知识库的规则，构造出针对性的主动响应报文，主动响应报文首先发送到本地主动节点（本网的路由器），通过网络管理系统和安全策略库，有针对性地动态调整本地路由器的安全策略（如设置访间控制列表等），抑制对本地服务的攻击。然后本网的路由器可向传送此类数据包的相邻路由器进行预警通告，请求截断此类数据包，并通过回溯方式向上一级路由器进行通告，直至入浸源的接入路由器。这样就可以将分散的攻击源化整为零，从攻击源点逐个抑制，瓦解拒绝服务等攻击，保护关键系统服务和通信网络的带宽资源。

如果有攻击者利用Lyaer2(数据链路层)至Lyaer7(应用层)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止，传统的防火墙只能对Lyaer3(网络层)或Lyaer4(传输控制层)进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一个字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节的检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源PI地址和目的PI地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包则需要接受进一步的检查。IPS的基本工作原理如图2所示。工作过程如下：

图2 IPS的基本工作原理

(1)根据数据包头和流信息，如源目的地址，源目的端口和应用层关键的信息，每个数据包都会被分类，同时协议类型和流量统计等信息都送到流处理模块分析、审计。

(2)根据数据报的分类，相关的过滤器将被调用，用于检查数据包的流状态信息。

(3)所有相关过滤器都是并行使用，如果任何数据报符合过滤规则，则数据包中的match位置1.macth位置1的数据报将被丢弃，与之相关的流信息将更新，指示系统删除关于该数据流的信息。

针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。

如果在网络边界检查到攻击包的同时将其直接抛弃，则攻击包将无法到达目标，从而可以从根本上避免黑客的攻击。这样，在新漏洞出现后，只需要撰写一个过滤规则，就可以防止此类攻击的威胁了。

入侵防御技术具有防御反应快不易受欺骗攻击影响等优点，但要在实际网络环境下配置使用，还要解决以下的问题：

(1)误报问题一直是入侵检测的难题，由于IPS检测到攻击后会丢弃数据包，因此发生误报的直接后果是合法的数据包被丢弃，会给门常的网络应用带来比较严重的影响要在实际环境中应用IPS系统，必须提高IPS的检测准确率，减少误报到一个可容忍的范围内。

(2)由于IPS处于数据包的转发通道内，对数据包的检测处理会加大数据包转发的延迟，这种延迟的影响在需要对多个数据包进行重组或进行协议分析时会变得更加明显因此，还必须提高IPS的处理能力及检测效率，将数据包转发延迟减小到用户能够接受的大小。

(3)由于调整了在网络拓扑内的位置，IPS系统无法监测到所监控网络内部的部分流量，因此不能检测及防御在网络内部发生的入侵攻击。

4 总结

本文对入侵防御技术的原理进行了详细的讨论，入侵防御技术提供的实时、主动的防护能力，能够有效的阻断攻击，保证合法流量的正常传输，这对于保障系统的运行连续性和完整性有着极为重要的意义。最后文章结合实际网络环境下的使用情况，指出了入侵防御技术的一些问题，有待于进一步解决。

参考文献：

[1]Intrusion Prevention Systems(IPS).www.nss.co.uk/.

[2]DeerkAktins.网络安全专业参考手册[M].北京:机械工业出版社,1998.

[3]龚检,王倩.计算机网络安全导论[M].南京:东南大学出版社,2000.

[4](美)Eric Maiwald,著.天宏工作室,译.网络安全实用指南.清华大学出版社,2003,第1版.

收稿日期：2008-01-08