下一代网络入侵防御研究

贾 雷

（延安职业技术学院 陕西 716000）

0 引言

先进的有针对性的攻击逐渐兴起, 在攻击过程中融合社会工程学、零时差攻击、僵尸网络、AET（高级规避攻击技术）等多种技术手段。传统入侵防御采用的是基于已知漏洞签名的深度包检测技术，对于新型高级攻击的防护无能为力。网络入侵防御需要增加先进的威胁检测和拦截能力，下一代网络入侵防御应运而生。

1 下一代网络入侵防御概述

入侵防御系统（IPS）的概念是在2002年由某个国际网络安全组织提出的，IPS是一种主动的、积极的入侵防范、阻止系统。对于七层网络模型，IPS能够提供从网络层到应用层的细粒度深层防御。通常部署在网络的进出口处，对流经网络的数据进行实时的深度检测，当检测到攻击后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。传统IPS的应用提高了网络防护的智能性和主动性。

目前，传统的网络安全模型正面临着风险。有针对性的威胁日益复杂，发展方向是有针对性的将恶意程序安装到用户电脑，它采用先进的技术如AET躲避检测，通过僵尸网络实施多级攻击[1]。有数据表明，有针对性的攻击正在不断的扩大范围，重点推出针对行业和企业的攻击，在远端操控隐蔽行动。例如，从一个单一的命令和控制服务器的数据显示，一个攻击组织成功破解32个行业的70家公司。

Gartner在2011年10月发布了《定义下一代网络入侵防御》的报告，报告指出网络IPS需要进一步发展，以应对网络通信、应用程序和安全态势的变化。并提出了下一代网络入侵防御系统（Next-Generation Network Intrusion Prevention System，即NGIPS）的概念。Gartner 认为网络入侵防御实现了不同信任级别的网络间的实时安全检测的联机控制功能。使用NGIPS术语用来表示网络入侵防御系统必须要演变，才能应对业务流程使用IT的方式和攻击试图破坏业务系统的方式的转变。

2 下一代网络入侵防御的功能

Gartner认为，在原有的第一代IPS功能基础上，下一代网络IPS至少还应具备应用感知和全栈可视、环境感知、内容感知、敏捷引擎等4大功能[1]。

（1）标准第一代IPS功能。

下一代网络IPS是在传统IPS基础上发展起来的，因此，下一代网络IPS的首要功能特征是支持面向漏洞签名和威胁的签名机制，能够成功检测并阻挡已知漏洞的攻击，并且快速研发及发布新的特征码。

（2）应用感知和全栈可视。

能识别应用程序，执行应用层的安全策略，不仅限于基于端口、协议、服务的策略配置。在识别恶意应用程序的基础上阻止攻击。

下一代网络IPS需要知道在网络上有哪些应用程序在使用，使用的带宽是多少，在不同的位置有哪些风险和威胁与应用程序相关联。只有通过了解应用程序的使用要求和智能实施细粒度的控制，围绕获批准的通信和文件传输机制，减轻通过变化端口应用交付的风险。

（3）环境感知。

通过上下文信息关联改善安全规则的制定。环境感知能够提供综合的网络安全相关信息，如发动攻击的IP地址，IP地址的信誉等级、本身被攻击的应用程序弱点等。有助于IPS引擎更快速更准确的做出决策，还可减少误报。许多攻击来自于从恶意网站下载一个完全不起眼的软件如PDF文件，位图，微软Office文档，或Java存档文件。如果没有潜在的威胁，系统漏洞，用户行为，以及许多其他的上下文信息，网络IPS设备几乎没办法检测复杂的多方位攻击[2]。如果IPS系统具有实时文件信誉、站点IP地址信誉或它的地理位置等信息，及时阻断率会明显提升。如果IPS系统还具有系统信息，如连接的属性，客户端系统漏洞，或正常的系统行为模式，及时阻断率则会进一步上升。该功能也可以扫描自身网络中主机所开启的服务，透过这些服务，下一代网络IPS能动态调整需要开启的防御规则，提升系统防护能力。

（4）内容感知。

能够辨识出内嵌于各种内容中的安全威胁，即能够对入站的包、文件和可执行文件进行检查和分类,如PDF和Office文件以及出站通信，并可实时做出通过、隔离及丢弃等决定。

（5）敏捷引擎。

支持通过更新来获得防御新威胁所需的信息及技术。IT环境是高度动态的，随着网络攻击不断升级，网络安全防御要不断跟进。下一代网络IPS还要满足私有和公有云架构的需求，保护浮动虚拟基础设施。

为了应对复杂多变的网络流量，除了参考Gartner的定义外，部分IPS厂商还将僵尸网络、APT攻击的防护和虚拟化等新功能加入到下一代IPS产品中。

3 其它网络安全产品

随着互联网技术的广泛应用，网络安全问题也受到越来越多的关注，除下一代网络IPS外，各厂商还推出了一系列网络安全产品，如数据丢失防护设备、统一威胁管理设备、web安全网关、下一代防火墙等。这些产品功能和采用的技术与下一代网络IPS类似，但他们都不是下一代网络IPS。

（1）传统IPS

从Gartner定义可以知道，下一代网络IPS除了具备传统IPS功能外，还增加了其它新功能。例如，下一代网络IPS具有应用感知功能，与第一代IPS相比，可辨识的流量类型更广，对应用程序存取的控管程度更深；传统IPS防御规则调整周期较长，而下一代网络IPS具有环境感知功能，可以自动调整防御规则。二者最大的差异在于应用层识别能力，如图1所示。在攻击事件发生后，下一代网络IPS能够提供封包来源、IP地址、信誉及其所存取的应用程序等信息，而传统的IPS，只提供攻击的来源和目的IP地址，详细信息需通过其它类型设备分析得到。

图1 第一代和下一代网络IPS 区别

（2）基于网络的数据丢失防护设备

基于网络的数据丢失防护设备工作原理是通过监测、记录或限制局域网中未加密文档的方式，来实现数据丢失防护。常见的产品可以分为两类，一类是针对网络或邮件服务器进行检测；另一类通过事先分析机密文件的特征，决定机密文件是否可以通过网络传送。大多数数据丢失防护设备采用网络流量的深层数据包检测技术，重点检测先前确定的通过检查点的数据类型。数据丢失防护设备的实施策略是保证数据的安全性，和下一代网络IPS的主要区别在于没有实时性的要求，不能强制执行线速网络安全策略。

（3）统一威胁管理设备

基于传统网络防火墙架构的统一威胁管理设备适用于中小型企业，具有包含第一代防火墙和IPS在内的多种安全功能，除了入侵防御之外，还可依据用户需求提供防病毒、VPN等网关级安全应用，但是它不具备应用感知、环境感知、内容感知、敏捷引擎等先进功能，一般情况下不能集成引擎，是单引擎产品。它只是把多种安全引擎叠加在了一起，这会使数据流在每个安全引擎分别执行解码、状态复原等操作，导致大量的资源消耗。

（4）Web安全网关

Web安全网关是基于Web内容检测与安全控制的应用层安全设备。其主要功能包括防病毒、URL过滤、Internet应用控制和带宽管理等。它重点关注通过HTTP浏览互联网时出站的用户访问控制和入站的恶意软件防护，主要是通过集成的URL过滤和Web防病毒软件，以及基于非签名的恶意软件检测技术来实现。它可以针对用户的Web交互进行优化，但只支持部分协议下的IPS功能。

（5）下一代防火墙

下一代防火墙是基于深度封包检测技术的线速综合网络平台，可以实现正在访问和处理的数据内容的可视化[3]。下一代防火墙将集成下一代网络IPS，与统一威胁管理设备简单叠加不同，网络IPS功能将无缝的融合到下一代防火墙产品中，但目前，只是集成了第一代IPS功能。下一代防火墙作为网关部署在网络中，一旦出现问题，会造成整个网络的中断，而下一代网络IPS具有多种可靠性设计，可以保证业务的畅通。因此，在严重的网络入侵情况下，下一代网络IPS的稳定性和可靠性要优于下一代防火墙设备。McAfee网络安全副总裁Greg brown表示“下一代网络IPS在未来将更有潜力，尤其面对有针对性的攻击。短期内下一代防火墙并不会被下一代网络IPS所取代，会出现二者共存的态势，但下一代网络IPS更能代表网络安全架构的演进趋势[1]。”

4 关键技术

自从Gartner在报告中指出IPS需要进化，国内外网络安全厂商便开始关注下一代网络IPS产品的研发，国外产品如McAfee的M系列，Sourcefire的3D系列,HP Tipping point的S系列，国内主要有威播科技的EX系列，启明星辰的天清系列，绿盟科技NIPS等设备。这些产品都是围绕下一代网络入侵防御定义开发的，在Gartner定义的产品特性基础上，各厂商也根据自己的技术优势诠释着对下一代网络IPS的理解。

4.1 恶意程序的阻挡

在现在的网络环境下，攻击手法仍以僵尸网络和APT攻击为主，Gartner研究指出，在2013年之前，僵尸网络仍将持续主宰网络攻击。下一代网络IPS加入了针对僵尸网络和APT攻击的防护功能。

为了阻挡僵尸网络攻击，大多数下一代网络IPS产品透过自家数据库中的IP信誉服务等特征文件，辨识并阻挡流量[4]。如威播科技的EX系列，利用云端恶意程序分析技术，收集各式恶意程序，并用静态及沙箱的动态分析，来取得命令及控制服务器端的IP地址、网域名称及沟通协议制作特征文件，透过封包的联机、内容等特征来判定是否为命令及控制服务器活动，如果判定结果为是系统会记录及阻挡联机[5]。有效侦测的关键是对比数据库要具有一定的规模，威播科技特别加入台湾区僵尸网络数据库，彻底杜绝僵尸网络的攻击。

在APT防护方面，Sourcefire是透过特征比对的方式。它提供了一个APT防护模块，能够防护网络端未知型态的攻击[6]。Sourcefire的3D系列能够侦测封包中的档案，当档案经过设备时，IPS会取得档案特有的算法值，如果档案被窜改，该数值就会有变化。再将该数值与厂商提供的算法值数据库比对，来确认该档案是否为恶意文件。

4.2 应用程序的识别与管控

除有效防护恶意程序外，对网络应用程序的识别和管控成为下一代网络IPS的另一关键功能。威播科技的EX系列可以自动辨识1800种以上网络应用软件，针对各种难以辨识的应用程序，采用应用层深层穿透辨识技术，提高辨识准确度，同时提供网络使用的可视化监视和管理，可针对特殊的主机、应用程序类别及主机网段，进行强大的网络流量控管，协助网管人员有效管理网络资源使用状况。惠普的NX平台提供包括应用数字疫苗、Web应用数字疫苗与顾客开发防护过滤器等检测机制，来达到应用感知与控制要求[7]。

4.3 环境感知功能的实现

环境感知功能一般透过扫描封包，取得网络环境中的设备及软件等详细信息。以McAfee和Sourcefire为例，McAfee网络安全平台需要搭配专属硬件，透过联动取得网络内外的详细数据。而Sourcefire无需使用外接设备，利用被动式探索技术[6]，分析经过IPS的封包，得到网络设备、实体和虚拟主机、应用程序等信息。

4.4 内容感知功能的实现

越来越多的黑客使用有针对性的客户端攻击，访问重要的企业资料。下一代安全解决方案需要能够检测到恶意的内容。McAfee网络安全平台采用基于特征的标准内容检测和基于信誉的主动内容检测技术识别恶意内容，可自动检测异常的协议和文件[2]。它的检测能力包括PDF文件，Flash以XLS文件，最重要的是，可以检测到隐藏的恶意软件通过包装在内容里的shell代码，这是有针对性的攻击检测的关键能力。它可以识别JavaScript的shell代码，一旦shell代码被检测到，管理员可提取有效载荷并编写自定义签名，以阻止未来的攻击在网络内传播。

4.5 软件更新

在敏捷引擎方面，下一代网络IPS透过软件更新，获得最新的恶意攻击信息和技术。各厂商对该功能的实现方法不同。McAfee是将特征码、行为式启发侦测、信誉服务等功能，整合进IPS引擎，让设备拥有多种威胁情报；而HP的敏捷式引擎，则是将软件与硬件模块化，当面对新型威胁开发功能模块时，该模块不会影响到现有的软件架构，在硬件方面，则能让客户依照自己的需求，根据需求增添模块化硬件。

4.6 虚拟化技术

随着虚拟化技术的不断发展，不少企业将实体主机虚拟化，整并到一台虚拟主机上管理。因此，需使用虚拟网络设备控管网络流量。下一代网络IPS目前采用2种方式过滤流量，一种是透过硬件IPS扫描或阻挡，典型产品如HP、McAfee和威播科技的IPS产品；另一种则是将IPS虚拟化，在虚拟IPS上处理虚拟层的流量。如Sourcefire产品，只需将其提供的3D感应器部署在虚拟主机环境中，并透过虚拟交换器指定流量到虚拟IPS，就能够扫描封包。这种方式架构简单，不会影响IPS效能。

5 发展前景

传统IPS攻击检测方法大多依赖于二进制的决策逻辑：“如果安全则通过”和“如果恶意则阻断”。其它所有活动则发出警报，由安全分析人员进行详细调查。下一代网络IPS的目标应该是足够的自动分析和评估能力，加快恶意事件的调查。

比如，检测一个PDF下载，当今的网络入侵防御设备，可以提醒甚至阻止可疑的事件。但如果这次活动仅仅是一个更广泛的攻击的一部分，全面分析应该涉及一些额外问题的提出和回答[2]：发起下载的用户是谁？是浏览网页，网络钓鱼邮件，还是USB设备连接下载导致了事件的发生？网站、IP地址，位置，信誉等哪些信息可以提供？哪些事件与这个活动有关，垃圾邮件，僵尸网络，文件传输？同时还要对整个网络威胁评估，包括：系统层次有哪些风险？哪些系统可能会受到影响？那些数据面临风险等。McAfee认为，未来的下一代入侵防御必须接近人工智能的自动化水平，解决上述这些问题。

目前大多数企业保护IT环境免受恶意渗透，监视和数据窃取的入侵检测和预防系统，远远落后最新的攻击方法。Gartner认为，到2014年底，20%网络IPS装置和40%的新的下一代防火墙的采购将包括下一代网络IPS功能。随着云计算和虚拟化技术的不断普及，下一代网络入侵防御具有巨大的潜在市场。

[1] John Pescatore,Greg Young.Defining Next-Gene-ration Network Instusion Prevention[R].Stamford:Gartner Group,2011.

[2] McAfee.下一代网络入侵防御系统白皮书,2012.

[3] 岑义涛.下一代防火墙：未来新起点[N].网络世界,2013-03-04(033).

[4] 陈思翰.次世代IPS不可或缺的5大重要功能[EB/OL].http://www.ithome.com.tw/itadm/article.php?c=79292&s=1, 2013-03-19.

[5]威播,EX系列产品白皮书，http://www.broadweb. com.tw/index.php?option=com_content&view=article&id=88&Itemid=97.

[6] http://www.sourcefire.com/security-technologies.

[7] 惠普凭借新一代入侵防御系统保护企业安全[EB/OL].http://www.enet.com.cn/article/2012/0912/A20120912161816.shtml,2012-09-12.