王婵琼,高 青
国网山西省电力公司长治供电公司,山西长治 046000
入侵防御系统的实现与核心技术浅析
王婵琼,高 青
国网山西省电力公司长治供电公司,山西长治 046000
文章首先对防火墙和入侵检测系统的特征进行必要说明,而后在此基础上指出,二者融合而成的入侵防御系统,是未来发展的重点方向,并且结合实际技术成熟特征,就入侵防御系统的核心技术要点进行了深入讨论。对于切实加深入侵防御系统的技术认识有着一定的积极价值。
IPS;入侵防御系统;技术;发展
在当前信息环境之下,数据安全是共同关注的重点。与之对应的诸多安全技术,虽然经过多年的发展已经日趋成熟,但是从根本上看,不同种类的技术都会存在一定的薄弱环节,因此多种技术的交叉融合,对于当前网络而言就显得至关重要。
在多技术边缘融合的领域中,防火墙和入侵检测技术作为两种常见且行之有效的安全手段,其融合价值不容忽视。
首先从技术特征的角度看,防火墙是设置在网络安全区域外围的一系列组件集合,能够依据网络管理工作人员的设定执行相应的安全策略,并且对出入安全网络环境中的数据进行监控。虽然工作方式相对而言较为被动,但是对于外部攻击有着较强的抵御能力。作为网络环境中重要的隔离设备,其被动特征仍然决定了它在某些方面的表现不足。例如防火墙无法有效处理来源于网络安全区域内部的攻击发生,并且性能方面的限制决定了防火墙难以实现面向内部网络环境的实时监控。而另一个不容忽视的方面在于,入侵者完全可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。
而入侵检测系统(IDS,Intrusion Detection Systems),本质上是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。但是面对实际的网络环境,IDS同样存在一定的不足,虽然其工作特征具有一定的主动性,但是其面向网络环境中的传输行为展开分析的过程中,作为依据和判断准则的模型有效性成为IDS的核心问题,而对于相关模型的建设,则成为IDS系统进步的瓶颈问题。
在这样的背景之下,将防火墙与IDS系统相融合形成更具针对性的入侵防御系统(IPS,Intrusion Prevention System)就成为了当前网络安全技术的突出发展特征。IPS在IDS的基础上发展而来,但是在网络部署方面存在较大差异,IPS系统更多会以在线形式安装在被保护网络的入口上,在实现对于网络边界监控的同时,不放松面向网络环境内部的数据传输行为监测。通常而言,IPS以嵌入式方式实现,能够实时实现对于可疑数据包的阻断,并对该数据流的剩余部分进行拦截;在此基础之上具有一定的分析能力,可以依据数据包特征展开深入分析,判断攻击类型和对应的安全策略,并且实现对于自身模型的优化。与此同时,一个工作状态良好的IPS系统,还应当具备高效的处理能力,确保能够在网络边界环境上保持一定的运行效率,避免发生包括数据拥堵等在内的网络效率下降等问题。
对于IPS的发展而言,由于其本身的嵌入串联特征,决定了其自身极有可能成为网络效率环境中的瓶颈所在。网络技术的日渐发达以及从应用层面的不断成熟,都对IPS的应用提出了更高的要求,当前的问题已经不仅仅是如何有效检出入侵威胁,还必须的保证效率的基础之上确保对于安全威胁检测的准确性,这几个方面的工作特征,直接关系到IPS系统的效率,并且进一步影响到网络的整体工作特征。
基于这样的需求考虑,当前在IPS发展领域,有三个方面的技术得到了广泛的关注,并且成为进一步影响IPS系统深入发展的核心问题。
2.1 千兆处理能力
千兆处理能力本身对于IPS系统而言,意味着更为高速高效的入侵判断,更少的数据拥塞故障发生。从根本上看,就是IPS拥有的线速处理能力体现,这不仅仅是要求IPS系统能够实现与千兆位网络的兼容,能够实现有效接入,更加重要的问题在于,IPS系统需要在千兆位网络环境下实现良好的数据过滤功能,配合千兆位网络实现同步工作。当前的网络入侵检测以及防御系统多基于x86架构,但是从根本上看,x86架构本身并不能达到千兆处理能力,因此必然会形成对于IPS发展的瓶颈。具体而言,CPU处理能力以及,I/O、系统总线和内存的速度和协议开销等方面,都会成为x86架构对于IPS系统的瓶颈。尤其是CPU的处理能力方面,由于其本身只是为了通用的功能而设计,因此在IPS系统中并不存在任何优势,常常会在实现IPS系统工作的时候导致内存和总线的访问冲突,从而造成整体性能下降的状况发生。基于此种状况,当前在IPS领域的研究工作突出体现在网络处理器NPU的研发方面,其核心价值在于面向网络数据转发功能实现优化,包括专用的指令集、高速的存储和硬件查表等方面,同时应当重点考虑NPU在流重组和高层协议的处理方面存在的不足。因此虽然应当保持IPS朝向NPU方向的发展,但是仍然不能单纯以NPU作为未来发展的唯一落脚点,而应当实现突破,找到新的解决方案。
2.2 数据包处理技术以及模式匹配算法
数据包处理主要指的是从网络上接收到帧,经过协议分析、IP碎片重组、流重组等一系列处理后而形成应用层数据流的过程,在这个工作过程中,IP碎片重组和TCP 流重组是IPS系统发展的瓶颈所在。通常来说,数据包处理的相关工作都在目的主机上加以实现,但是IPS系统为了实现更深一层的安全监测,必然需要关注这一方面的问题。无论是IP碎片重组还是TCP 流重组,都从客观上对于存储空间和数据交换带宽提出较高要求,因此x86体系必然无法实现有效支持。基于此种考虑,构建更为完善的硬件平台来对相关功能和任务实现良好支持,就成为IPS系统发展需要关注的重点。
进一步从模式匹配算法的角度看,其作为判断供给行为的判断标准建立与对比执行工作环节,与IPS工作的有效性直接保持密切关系,是确保IPS系统学习特征的重要基础和基本保障。对于当前大容量数据传输的网络环境而言,如何从大量的数据包环境中提取出对应的供给特征并且加以判断,在合理的情况下将对应特征纳入到模式库中,是这一方面问题的发展重点。随着入侵检测的规则数增多和入侵行为的复杂化,不断优化匹配算法以及对于攻击特征的识别,是未来研究工作的重点所在。
入侵防御系统作为未来网络安全防范的重要技术之一,融合了入侵检测系统和防火墙两个方面的优势,具有典型的技术先进性。随着网络发展的进一步扩展,供给工具和技术必然也在不断成熟,对应的IPS系统,也唯有保持警惕和进步,才能成为网络安全可以依赖的可靠力量。
[1]潘常春.主机网络安全及其关键技术研究[J].广西教育学院学报,2005(4).
[2]徐峰.一种深度入侵防御模型研究[D].江苏:南京师范大学,2004.
TP3
A
1674-6708(2015)145-0119-01