随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。
威胁触目惊心
根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。
其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。
上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。
就像“911”之后的美国,人们突然发现,以前大家对安全问题的看法已经不适合新形势的需要了,原本人们认为固若金汤的美国本土,被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观,但上面列举的这些触目惊心的危害清楚地表明,在层出不穷的攻击手段面前,我们的网络安全保护措施已经落后了。
现有技术不够用!
事实上,“911”美国遭受恐怖主义袭击后,在防护手段方面的变化,也映射出网络安全产品发展的脉络。
在“911”前,机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件,并通过金属探测门,防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。
通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:
入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门,就像恐怖分子可以伪造身份证件上飞机一样;
防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设,就像恐怖分子可以收买机场人员一样;
传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策,就像金属探测器检测不出来非金属的攻击武器,易燃易爆品一样。
正因如此,在网络世界里,人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头,实时观察旅客的行为,以发现安全问题。IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。
但是,人们也逐渐意识到IDS所面临的问题。
较高的漏报率和误报率。这已经是世界性难题,就像机场的监控录像不能监控到每个角落,不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。
IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后,警察通过备份的监控录像查找可疑分子,为破案提供线索。
IPS填补了空白
在后“911”时代,人们发现机场的安检措施变了,对登机的旅客除了检查身份证件外,还要检查指纹,仔细搜身,连鞋子都要脱了检查;甚至连饮料瓶都要旅客喝一口,以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。
安检措施的改进,对应于网络安全防范,就是加强现有的防火墙和IDS等保护功能,同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术,我们称之为入侵防御系统。
IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的主流网络安全技术不能完成更多内容检查的不足,填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。
IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。
防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。
每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
IPS和防火墙相比,除了能检查身份证件,IPS还能检查旅客的指纹,能搜身,这样抓获恐怖分子的机会就会大大增加。
IPS和IDS相比,除了能记录下来部分旅客在机场时的活动情况,以预备真出了事后为警察提供线索,还能在机场识别出恐怖分子,不让其上机,让恐怖活动不能得逞。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]