入侵防禦系統

網路交換機的一個子項目

入侵防禦系統(IPS),屬於網路交換機的一個子項目,為有過濾攻擊功能的特種交換機。一般佈於防火牆和外來網路的設備之間,依靠對數據包的檢測進行防禦(檢查入網的數據包,確定數據包的真正用途,然後決定是否允許其進入內網)

系統介紹


全球最佳的新一代IPS (NGIPS): HP TippingPoint
TippingPoint的主動式入侵防禦系統能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟體、VOIP攻擊以及點到點應用濫用。通過深達第七層的流量偵測,TippingPoint的入侵防禦系統在發生損失之前阻斷惡意流量。利用TippingPoint提供的數字疫苗服務,入侵防禦系統能得到及時的特徵、漏洞過濾器、協議異常過濾器和統計異常過濾器更新從而主動地防禦最新的攻擊。此外,TippingPoint的入侵防禦系統是目前能夠提供微秒級時延、高達5G的吞吐能力和帶寬管理能力的最強大的入侵防禦系統。
通過全面的數據包偵測,TippingPoint的入侵防禦系統提供吉比特速率上的應用、網路架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力,TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源,從而確保網路資源的合理配置並保證關鍵業務的性能。
TippingPoint 應用情境:
1、網路忽快忽慢,不知原因
2、經常ADlock,無法登入網域
3、防火牆常被塞爆
4、上微軟Patch(補丁)卻沒時間重開機
5、希望虛擬化環境中,提供IPS保護
6、希望管理上網行為

特點及規格


TippingPoint 基於 ASIC 入侵檢測防禦引擎
UnityOne 無可比擬的性能、穩定性和準確率都是透過 TippingPoint 的工程師和科學家所開發的專利技術發展出來的。這些優勢展現於 TippingPoint 的 TSE 威脅防禦引擎( Threat Suppression Engine )上。 UnityOne 是由最新型的網路處理器技術組成的一個高度專業化的硬體式入侵檢測防禦平台。 TippingPoint 擁有整套自行開發的 FPGA(Layer 7) 及Layer 4 (ASIC) 模塊。 TSE(威脅防禦引擎 ) 是一個能實現所有入侵檢測防禦所需要的全部功能的硬體線速引擎,主要功能包括 IP 碎片重組、 TCP 流重組、攻擊行為統計分析、網路流量帶寬管理、惡意封包阻擋、流量狀態追蹤和超過 170 種的應用層網路通訊協議分析。
TSE 重組與檢測數據包的內容並分析至網路的應用層。當每一個新的數據包隨著數據流到達 TSE 時,就會重新檢測這個數據流是否含有有害的內容,如果實時檢測出這個數據包含有害內容,那麼這個數據包以及隨後而來屬於這個數據流的數據包將會被阻擋。這樣可以正確地保證攻擊不會到達攻擊目的地。
這種領先的 IPS 技術只有結合高速的網路處理器及定製化的 ASIC 晶元才有可能實現。這種高度專業的流量分類技術可以使IPS 在具有千兆處理速度的同時處理延遲不到一微秒 (Latency under Microsecond) ,且具有高度的檢測和阻擋準確性。不像軟體式的或其它競爭對手宣稱擁有千兆處理速度的入侵防禦系統,其處理性能會受到 Filter 安裝多寡而受到嚴重的影響,同時處理延時卻高達數秒甚至數十秒之多。 UnityOne 具有高度擴充能力的硬體防護引擎可以允許上萬筆的 Filter 同時運行而不影響其性能與準確性。
UnityOne 運用 TSE 突破性的擴充性與高性能,實時偵測通訊協議異常與流量統計異常,防護 DDoS 攻擊以及阻擋或限制未經授權的應用程序的帶寬。
入侵防禦系統
入侵防禦系統
TippingPoint 三大入侵防禦功能
UnityOne 提供業界最完整的入侵偵測防禦功能,遠遠超出傳統 IPS 的能力。 TippingPoint 定義的三大入侵偵測防禦功能包括:應用程序防護、網路架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防禦各種形式的網路攻擊行為,如:病毒、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。
應用程序防護 -UnityOne 提供擴展至用戶端、伺服器、及第二至第七層的網路型攻擊防護,如:病毒、蠕蟲與木馬程序。利用深層檢測應用層數據包的技術, UnityOne 可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術,輕易的穿透防火牆。而 UnityOne 運用重組 TCP 流量以檢視應用層數據包內容的方式,以辨識合法與惡意的數據流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦,然而 UnityOne 運用漏洞基礎的過濾機制,可以防範所有已知與未知形式的攻擊。
網路架構防護徠 - 路由器、交換器、 DNS 伺服器以及防火牆都是有可能被攻擊的網路設備,如果這些網路設備被攻擊導致停機,那麼所有企業中的關鍵應用程序也會隨之停擺。而 UnityOne 的網路架構防護機制提供了一系列的網路漏洞過濾器以保護網路設備免於遭受攻擊。此外, UnityOne 也提供異常流量統計機制的過濾器,對於超過”基準線”的正常網路流量,可以針對其通訊協議或應用程序特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防 DDoS 及其它溢出式流量攻擊所造成的網路斷線或阻塞。
性能保護 - 是用來保護網路帶寬及主機性能,免於被非法的應用程序佔用正常的網路性能。如果網路鏈路壅塞,那麼重要的應用程序數據將無法在網路上傳輸。非商用的應用程序,如點對點文檔共享 (P2P) 應用 或實時通訊軟體 (IM) 將會快速的耗盡網路的帶寬,因此 UnityOne 提供帶寬保護 (Traffic / Rate Shaping) 的功能,協助企業仔細的辨識出非法使用的應用程序流量並降低或限制其帶寬的使用量。
入侵防禦系統
入侵防禦系統
入侵防禦系統
入侵防禦系統
TippingPoint 三大入侵偵測防禦機制
TippingPoint 的 UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制:弱點過濾器,攻擊特徵過濾器和流量異常過濾器。 TippingPoint 可以同時運作這三個機制的能力就是來自於這組特別開發的 ASIC 。
弱點過濾器 主要是保護操作系統與應用程序。這種過濾器行為就像是一種網路型的虛擬軟體補丁程序,保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。新的漏洞一旦發現開始被駭客攻擊利用,弱點過濾器就會被實時啟動,進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息,從而可以完整地檢測應用層的流量。過濾規則可以指定特別的條件,如檢測應用程序的運作流程(如:緩衝區溢出的應用程序異常)或通訊協議的規範(如: RFC 異常)。
流量異常過濾器 是用來偵測在流量模式方面的變化。這些過濾機制可以調整與學習 UnityOne 所在的特別環境中“正常流量”的模式。一旦正常流量被設定為基準,這些過濾機制將依據可調整的門限閥值來偵測統計異常的網路流量。流量異常過濾機制可以有效的阻擋分散式的阻斷服務的攻擊 (DDOS) 、未知的蠕蟲、異常的應用程序流量與其它零時差閃電攻擊。此外 UnityOne 一個重要的特殊功能是可以依據應用程序的種類、通訊協議與 IP 進行最合適網路流量分配。
攻擊特徵過濾器 主要是針對不需要利用安全漏洞的攻擊方式,如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特徵,且可以偵測並製作出防禦的特徵資料庫。目前 TippingPoint 擁有一個專業團隊 7X24 全年無休地分析來自於全球的各種攻擊威脅,並與 SANS 、 CERT 、 SECURITEAM 等知名的信息安全團隊合作,在第一時間透過在線更新,讓全球每個角落的 UnityOne 配備最新的攻擊特徵資料庫。
TippingPoing 數字疫苗在線更新機制
蘇州眾里數碼會和HP在企業信息安全這塊一起努力。在每周提供 SANS漏洞分析的同時, TippingPoint 的安全團隊也同步製作出針對漏洞的過濾器資料庫並混入到數字疫苗( Digital Vaccines )中,數字疫苗不只針對特定的攻擊製作過濾器,還包括對變種攻擊與零時差閃電攻擊進行阻擋。為了擁有最大的安全涵蓋範圍,數字疫苗除了每周定時在線更新過濾器資料庫外,並隨時對有嚴重威脅的漏洞或攻擊生成新的過濾器,數字疫苗也會自動地部署新的過濾器至全球的 UnityOne IPS 上。
為了防禦最新的弱點與攻擊,最新的過濾器會持續的更新至 IPS 上。每一條過濾都可以被視為網路上的虛擬軟體補丁程序,以保護內部的主機免於被攻擊。任何企圖運用於特定漏洞的有害流量將會被實時偵測與阻擋。換句話說,這個方式就是運用一個虛擬的修丁程序來保護上千個未修補漏洞的系統。
TippingPoint 的安全專家是被世界公認的,全球超過二十五萬個安全管理者及專家都訂閱了 TippingPoint 所編輯的SAN @RISK 分析報告。相同的分析也運用到數字疫苗的開發上,優先製作出保護 TippingPoint 客戶的最佳過濾器。
TippingPoint 擁有最完整的可靠性機制
UnityOne 的設計理念是,無論是網路發生什麼故障、設備內部與系統發生什麼錯誤、甚至設備完全失去電源,保證網路永不斷線、並保證維持線速的運作。 UnityOne 運用系統內部備份機制與網路狀態備份機制,並相互補充的模式來確保最大的網路可用性。
UnityOne 有多種內建的備份機制:一、所有的設備都具有兩個相互備份,可熱插拔的電源適配器。二、看門狗計時器(watchdog timers )會持續的監控安全與管理引擎,一旦系統錯誤被偵測到, UnityOne 可以自動或手動的切換成 Layer 2的設備,確保網路不斷線。此外, TippingPoint 還提供了一個外接式電源適配器( Zero Power High Availability ),當整個機房或數據中心失去電源時,所有的流量會自動切換 (Power Bypass) 由這個設備運作。

概念


( Intrusion Prevention System)是電腦網路安全設施,是對防病毒軟體(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。入侵預防系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

網路安全


隨著電腦的廣泛應用和網路的不斷普及,來自網路內部和外部的危險和犯罪也日益增多。20年前,電腦病毒主要通過軟盤傳播。後來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟體。而今天,不僅病毒數量劇增,質量提高,而且通過網路快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟體失效。
目前流行的攻擊程序和有害代碼如 DoS (Denial of Service 拒絕服務),DDoS (Distributed DoS 分散式拒絕服務),暴力拆解(Brut-Force-Attack),埠掃描(Portscan),嗅探,病毒,蠕蟲,垃圾郵件,木馬等等。此外還有利用軟體的漏洞和缺陷鑽空子、幹壞事,讓人防不勝防。
網路入侵方式越來越多,有的充分利用防火牆放行許可,有的則使防毒軟體失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,於是這種全新的病毒就很快大肆擴散、肆虐於網路、危害單機或網路資源,這就是所謂Zero Day Attack。
防火牆可以根據IP地址(IP-Addresses)或服務埠(Ports)過濾數據包。但是,它對於利用合法IP地址和埠而從事的破壞活動則無能為力。因為,防火牆極少深入數據包檢查內容。即使使用了DPI技術(Deep Packet Inspection 深度包檢測技術),其本身也面臨著許多挑戰。
每種攻擊代碼都具有隻屬於它自己的特徵 (signature), 病毒之間通過各自不同的特徵互相區別,同時也與正常的應用程序代碼相區別。殺毒軟體就是通過儲存所有已知的病毒特徵來辨認病毒的。
在ISO/OSI網路層次模型(見OSI模型) 中,防火牆主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補防火牆和除病毒軟體二者在第四到第五層之間留下的空檔,幾年前,工業界已經有入侵偵查系統(IDS: Intrusion Detection System)投入使用。入侵偵查系統在發現異常情況后及時向網路安全管理人員或防火牆系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨後應運而生的入侵響應系統(IRS: Intrusion Response Systems) 作為對入侵偵查系統的補充能夠在發現入侵時,迅速作出反應,並自動採取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。
入侵預防系統也像入侵偵查系統一樣,專門深入網路數據內部,查找它所認識的攻擊代碼特徵,過濾有害數據流,丟棄有害數據包,並進行記載,以便事後分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特徵,但是它並不僅僅依賴於已知病毒特徵。
應用入侵預防系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種,採取預防措施,先期阻止入侵,防患於未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火牆 和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據 (forensic)。

產生原因


A:串列部署的防火牆可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
B:旁路部署的IDS可以及時發現那些穿透防火牆的深層攻擊行為,作為防火牆的有益補充,但很可惜的是無法實時的阻斷。
C:IDS和防火牆聯動:通過IDS來發現,通過防火牆來阻斷。但由於迄今為止沒有統一的介面規範,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火牆聯動在實際應用中的效果不顯著。
這就是IPS產品的起源:一種能防禦防火牆所不能防禦的深層入侵威脅(入侵檢測技術)的在線部署(防火牆方式)安全產品。由於用戶發現了一些無法控制的入侵威脅行為,這也正是IDS的作用。
入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網路中的實時狀況,並提供相應的解決、處理方法,是一種側重於風險管理的安全產品。
入侵防禦系統(IPS)對那些被明確判斷為攻擊行為,會對網路、數據造成危害的惡意行為進行檢測和防禦,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重於風險控制的安全產品。
這也解釋了IDS和IPS的關係,並非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什麼地方部署什麼樣的安全產品,通過IDS的廣泛部署,了解了網路的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。

入侵預防技術


* 異常偵查。正如入侵偵查系統, 入侵預防系統知道正常數據以及數據之間關係的通常的樣子,可以對照識別異常。
* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。
* 有些入侵預防系統結合協議異常、傳輸異常和特徵偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。
* 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。入侵預防系統可以截獲有害的系統請求。
* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。

系統類型


投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統
(HIPS: Hostbased Intrusion Prevension System)和網路入侵預防系統
(NIPS: Network Intrusion Prevension System)兩種類型。
網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包進行深層檢查,然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常,阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答,然後,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點,單機入侵預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火牆等等。這時,它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說,單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然後幹壞事。然而,即使它僥倖突破防火牆等各種防線,得以到達目的地,但是由於有了入侵預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。
2000年:Network ICE公司在2000年9月18日推出了業界第一款IPS產品—BlackICE Guard,它第一次把基於旁路檢測的IDS技術用於在線模式,直接分析網路流量,並把惡意包丟棄。 2002~2003年:這段時期IPS得到了快速發展。當時隨著產品的不斷發展和市場的認可,歐美一些安全大公司通過收購小公司的方式獲得IPS技術,推出自己的IPS產品。比如ISS公司收購Network ICE公司,發布了Proventia;NetScreen公司收購OneSecure公司,推出NetScreen-IDP;McAfee公司收購Intruvert公司,推出IntruShield。思科賽門鐵克、TippingPoint等公司也發布了IPS產品。
2005年9月綠盟科技發布國內第一款擁有完全自主知識產權的IPS產品,2007年聯想網御、啟明星辰天融信等國內安全公司分別通過技術合作、OEM等多種方式發布各自的IPS產品。

評價


針對越來越多的蠕蟲、病毒、間諜軟體、垃圾郵件、DDoS等混合威脅及黑客攻擊,不僅需要有效檢測到各種類型的攻擊,更重要的是降低攻擊的影響,從而保證業務系統的連續性和可用性。
一款優秀的網路入侵防護系統應該具備以下特徵:
●滿足高性能的要求,提供強大的分析和處理能力,保證正常網路通信的質量;
●提供針對各類攻擊的實時檢測和防禦功能,同時具備豐富的訪問控制能力,在任何未授權活動開始前發現攻擊,避免或減緩攻擊可能給企業帶來的損失;
●準確識別各種網路流量,降低漏報和誤報率,避免影響正常的業務通訊;
●全面、精細的流量控制功能,確保企業關鍵業務持續穩定運轉;
●具備豐富的高可用性,提供BYPASS(硬體、軟體)和HA等可靠性保障措施;
●可擴展的多鏈路IPS防護能力,避免不必要的重複安全投資;
●提供靈活的部署方式,支持在線模式和旁路模式的部署,第一時間把攻擊阻斷在企業網路之外,同時也支持旁路模式部署,用於攻擊檢測,適合不同客戶需要;
●支持分級部署、集中管理,滿足不同規模網路的使用和管理需求。

產品示例


網路入侵防護系統是網路入侵防護系統同類產品中的精品典範,該產品高度融合高性能、高安全性、高可靠性和易操作性等特性,產品內置先進的Web信譽機制,同時具備深度入侵防護、精細流量控制,以及全面用戶上網行為監管等多項功能,能夠為用戶提供深度攻擊防禦和應用帶寬保護的完美價值體驗。
入侵防護
實時、主動攔截黑客攻擊、蠕蟲、網路病毒、後門木馬、D.o.S等惡意流量,保護企業信息系統和網路架構免受侵害,防止操作系統和應用程序損壞或宕機。
Web安全
基於網際網路Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅。
流量控制
阻斷一切非授權用戶流量,管理合法網路資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
上網監管
全面監測和管理IM即時通訊、P2P下載、網路遊戲、在線視頻,以及在線炒股等網路行為,協助企業辨識和限制非授權網路流量,更好地執行企業的安全策略。

系統現狀


IPS,最近幾年越來越受歡迎,特別是當供應商應對NAC市場的早期挑戰時,如感知部署和可用性難點。目前,大多數大型的組織都全面部署了IPS,但是在使用NAC之前,這些解決方案都被一定程度的限制以防止公司網路中發生新的攻擊。你可以配置所有的IPS探測器來中斷網路中惡意或其它不需要的流量。比如,假設一個特定的終端發起一個針對公司數據中心的應用伺服器的攻擊,並且IPS檢測到該流量是惡意的,那麼IPS可以通過所配置的策略來中斷流量。雖然這個響應是充分的,但是,在某些情況下,你可能想進一步阻止網路以後的攻擊。NAC可以幫助你從IPS設備中獲取信息,並在被攻擊或發生意外事件時使用這些信息來處理終端用戶的訪問。