当前位置:文档之家› LinkTrsut IPS技术白皮书(2006-9-1)

LinkTrsut IPS技术白皮书(2006-9-1)

领信入侵防御系统 Linktrust? IPS

技术白皮书

? 版权所有 北京领信科技发展有限公司

版权声明

? 版权所有2000-2006,北京领信科技发展有限公司

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京领信科技发展有限公司所有,受到有关产权及版权法保护。任何个人、机构未经北京领信科技发展有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。

第三方信息

Microsoft、Windows是美国微软公司在美国和其它国家注册的商标,其他的商标皆有各自所属的公司所有。

联系我们

北京领信科技发展有限公司

中国北京市海淀区北三环西路43号A座3层北京青云国际研发中心

邮编:100086

电话:(8610)82119889 传真:(8610)82119880

Beijing LinkTrust Technologies Development Co., Ltd.

Add:Floor 3 Tower A, Beijing Keeven International Research & Development Center, No.43, West Road North Third Ring, Haidian District, Beijing 100086 PR China

Tel:(8610)82119889 Fax: (86 10)82119880

获取帮助

获取本产品的最新相关资料,可以访问领信网站:https://www.doczj.com/doc/e812002933.html,

目录

Linktrust? IPS (1)

? 版权所有2000-2006,北京领信科技发展有限公司 (2)

Beijing LinkTrust Technologies Development Co., Ltd (2)

Tel:(8610)82119889 Fax: (86 10)82119880 (2)

序 (4)

一、为什么需要入侵防御系统 (4)

1网络安全发展的趋势 (4)

1.1 网络安全边界概念的模糊 (4)

1.2 网络威胁的变化趋势 (5)

2 传统的安全设备能否面对未来安全威胁的挑战? (6)

2.1 防火墙能否有效的构筑网络安全边界? (6)

2.2 IDS能否面对未来网络安全的挑战? (7)

3 主动防护手段呼之欲出 (11)

3.1 IPS应具备的特性 (12)

3.2 一个完善的IPS系统所应当具备的特征 (12)

3.3 评估IPS产品的几个误区 (14)

二、领信入侵防御系统(LinkTrust IPS) (14)

1 LinkTrust IPS (16)

1.1 LinkTrust IPS支持的工作模式 (16)

1.2 新一代的检测分析技术 (17)

1.3实时主动的防御能力 (18)

1.4 优异的产品性能 (19)

1.5 高可用性 (20)

1.6强大的管理和报表功能 (20)

2 部署方式 (22)

2.1 IPS的学习适应期 (22)

2.2 部署IPS的两个阶段 (24)

2.3 完整的部署带来无处不在的防护能力 (25)

3 LinkTrust IPS能给用户带来什么 (26)

结语 (27)

Internet及电子商务的发展和普及给企业带来了前所未有的运作效率,但同时依赖于此的用户们也越来越多的面临着比以往更多的安全问题的困扰。企业的信息资产受到的损害对一个企业而言往往会直接转化成更为直接的影响, 诸如客户信心和工作生产力下降等等, 由此给用户造成的损失也是不可挽回的。

一、为什么需要入侵防御系统

1网络安全发展的趋势

1.1 网络安全边界概念的模糊

移动办公的兴起, vpn的大量应用,P2P、IM的日益普及,原有固定概念中的内外网的逻辑划分被轻易打破,威胁也由单一的内外网之说变得更为多变,不能再用以前的观点来轻易的划分内外,更不能在这种认知的基础之上去考虑未来企业的网络安全架构。配置防火墙目前仍然是防范网络入侵者的主要保护措施,但是,现在出现了越来越多的攻击技术,可以实现绕过防火墙的攻击,随着移动办公设备的广泛应用,90%以上的计算机将有机会面临间谍软件、广告软件、木马和病毒等恶意软件的侵扰。无视此类现实存在的直接后果:将导致重要数据丢失,机器被远程控制,病毒和蠕虫在内网恣意传播。我们正面临的一个困惑:网络安全边界概念用传统的方式无法有效地描述了。

1.2 网络威胁的变化趋势

计算机网络技术的飞速发展,大大改变了人们的生活面貌,促进了社会的发展,同时,网络上的各种攻击行为和用户面临的威胁也发生了很大的变化,目前应该特别注意的是网络攻击技术和攻击工具正在朝下几个方面快速发展。

?转向以谋求利益为目标

早期的入侵行为多半是出于好奇、炫耀技术,攻击者并没有强烈的恶意,但近些年来,网络攻击已经明显转变为隐秘的有组织的、以赚取经济利益为目的行为。网络入侵行为也发生了很大的变化,以前常有的那种大规模的单一网络安全事件已不多见,网络攻击者正转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击。伴随着这种转变的是更多的恶意软件和钓鱼攻击行为的出现,这些软件通过多种渠道(如恶意网页、邮件、蠕虫、僵尸网络等)侵入用户系统,窃取用户信用卡信息或银行账目细节,获取企业知识产权及其他敏感性企业数据,借此得到经济上的利益,根据近年来对这种带有犯罪意图的网络攻击的统计,今后几年此类事件很有可能会愈演愈烈。

?攻击行为发生新的变化

一般的攻击行为涉及到四个阶段,在每一个阶段都发生了新的变化。在扫描阶段,扫描工具的发展,使得黑客能够利用更先进的扫描模式来改善扫描效果,提高扫描速度;在渗透控制阶段,越来越多的安全漏洞使用户的系统在不知不觉中就被攻击者控制,更加容易受到损害;攻击传播技术的发展,使得以前需要依靠人启动软件工具发起的攻击,发展到攻击工具可以自己发动新的攻击;在攻击工具的协调管理方面,随着分布式攻击工具的出现,黑客可以容易地控制和协调分布在Internet上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。

?-威胁涌现和传播速度越来越快

新发现的各种系统与网络安全漏洞每年都要增加一倍,每年都会发现安全漏洞的新类型,网络管理员需要不断用最新的软件补丁修补这些漏洞。攻击者经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。

SQL Slammer案例:每8.5 秒感染范围就扩展一倍;在10分钟内感染了全球90%有漏洞的机器, OS\应用系统越来越庞大的同时不可避免的带来了系统漏洞的激增 2003年SQL Slammer蠕虫爆发,它的数量每8.5秒会翻一倍,可以在10分钟内感染90%的有相应漏洞的主机。虽然以后不一定出现比这传播速度更快的蠕虫,但是随着漏洞利用的自动化程度和成熟度的增加,谁又能保证不会出现新的蠕虫打破这个纪录呢?而且同样一个蠕虫攻击,也可能会产生很多种变种。 因此, 企业迫切需要一个对入侵信息能够及时发现并阻断的设备,这就入侵防护系统(IPS)出现的重要原因之一。

?攻击工具越来越复杂

攻击工具的开发者正在利用更先进的技术武装攻击工具,攻击工具的特征比以前更难发现,它们已经具备了反侦破、动态行为、攻击工具更加成熟等特点。同时,攻击工具也越来越普遍地支持多操作系统平台运行;在实施攻击的时候,许多常见的攻击工具使用了如IRC或HTTP等协议从攻击者处向受攻击计算机发送数据或命令,使得人们区别正常、合法的网络传输流与攻击信息流变得越来越困难。

2 传统的安全设备能否面对未来安全威胁的挑战?

2.1 防火墙能否有效的构筑网络安全边界?

从90年代初开始,随着Internet的快速发展,网络安全的问题也逐步为人们所重视,从最初采用简单的访问控制列表,到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中。虽然,网络中已部署了防火墙,但是,在网络的运行维护中,IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢,只好提升带宽并升级服务器喽,可过不了多久问题再次出现。而实际上,业务增长速度并没有这样快,业务流量占用带宽不会达到这样的数量,这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周,而是自2003年以来,蠕虫、点到点,入侵技术日益滋长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成客户正常业务进行传播,目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。如图所示

这就是为何用户在部署了防火墙后,仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上,员工的PC都既需要访问Internet又必须访问公司的业务系统,所以存在被病毒感染和骇客控制的可能,蠕虫可以穿透防火墙并迅速传播,导致主机瘫痪,吞噬宝贵网络带宽,P2P 等应用,利用80端口进行协商,然后利用开放的UDP进行大量文件共享,导致机密泄漏和网络拥塞,对公司业务系统的危害极大。

为了能够让防火墙具备深入的监测能力,许多厂商都基于现有的平台增加了L4-L7分析能力,但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测

时,防火墙的在数据流量较大时会迅速崩溃,或虽可以勉强工作,却引入很大的处理延时,造成业务系统性能的严重下降,所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。

2.2 IDS能否面对未来网络安全的挑战?

在如今的网络构建中,网络安全已经受到越来越多用户的关注和重视。网络的安全防护是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙(Firewall)、入侵检测系统(Intrusion Detection Syetem,IDS)和防病毒软件(Anti-Virus)等产品技术解决方案。为了保障网络安全,必须建立一套完整的安全防护体系,进行多层次、多手段的检测和防护。通过多年的技术发展,入侵检测系统(Intrusion Detection Syetem,IDS)已经日益成为构建安全防护体系不可缺少的一环。

主流的入侵检测技术

模式匹配技术

模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一,模式匹配技术也称攻击特征检测技术,假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法来发现,模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。

异常检测技术

基于异常检测方法主要来源于这样的思想:任何人的正常行为都是有一定规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,通常需要定义为各种行为参数及其阀值的集合,用于描述正常行为范围。而入侵和滥用行为则通常和正常的行为存在严重的差异,通过检查出这些差异就可以检测出入侵。这样,我们就能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为,此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。

协议分析技术

协议分析是目前最先进的检测技术,是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它主要是针对网络攻击行为中攻击者企图躲避IDS的检测,对攻击数据包做一些变形,它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,从而逃避IDS的检测而开发设计的。它最大的特点是将捕获的数据包从网络层一直送达应用层,将真实数据还原出来,然后将还原出来的数据再与规则库进行匹配,因此它能够通过对数据包进行结构化协议分析来识别入

侵企图和行为。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。采用协议分析技术的IDS能够理解不同协议的原理,由此分析这些协议的流量,来寻找可疑的或不正常行为。对每一种协议,分析不仅仅基于协议标准,还基于协议的具体实现,因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量,当流量不是期望值时,IDS就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力,因此能够检测到已知和未知攻击方法。

传统的入侵检测系统(IDS)采用旁路方式部署,通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,它不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,这是一种集检测、记录、报警、响应的动态安全技术,因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。

部署于网络中的IDS所能实现的主要功能包括:

?检测网络中可能得攻击行为,通知用户攻击的危险程度和可以采取的应变防范措施;

?协助系统管理员理解网络中所面临的风险级别;

?记录网络中的攻击或可疑事件信息,供事后分析和取证;

?提供简单的入侵防护措施,避免攻击危害的进一步扩大;

在检测到网络中有攻击行为或可疑的网络数据时,IDS一般会采取多种的报警响应措施,以通知用户防范可能的安全风险:

?显示安全事件报警信息到IDS控制管理台;

?发送邮件、SNMP、Syslog等其他方式的安全事件告警信息;

?将安全事件记录至数据库,以供事后分析、查询;

?依据事先的设定发送指令修改防火墙的安全策略,阻止后续的相同攻击包。

面对网络威胁的变化趋势,IDS已经显现出了诸多的不足之处,在对数据流的检测处理方面,IDS无外乎存在如下四种可能

?合法的流量中:正确识别并通过

这是IDS的一个合理的结果。

?非法的流量中:不能有效地检出攻击

这意味着入侵检测系统失效。

已有的IDS实现方法都是采用检测软件运行在通用或专用主机上的体系结构。这种架构的问题在于当网络的流量较大时,IDS的处理能力无法完成对所有流量的综合和深入分析,从而出现较多的漏报。除由于性能原因产生漏报外,由于运行IDS的主机的网卡工作在杂收模式,采用诸如AntiSniff的技术可以发现网络中IDS的存在,攻击者随后可以采用隐秘攻击技术躲过IDS的监测,这是因为IDS采用主机架构并使用简单模式匹配技术,如著名的Snort,这种方法对检测病毒是很有效的,因为病毒的特征基本固定,但隐秘攻击技术能够实现同样的攻击目的却不出现IDS可识别的攻击的特征,即并不在攻击代码中出现某些特殊的字符的特点,这样就欺骗了IDS。

从原理上说,特征匹配是基于一些特殊字符串的,攻击者只要伪造同样的特殊字符串并发送到IDS检测的网络环境里,就可能造成IDS报警,即便这个字符串并 没有真正实施攻击。

攻击者进行这样的行为通常是迷惑和阻塞IDS,从而让真正的攻击行为得到掩护并实现瞒天过海的目的,管理员面对大量报警会无所适从,并很可能因此忽略真正的攻击报警。

?非法的流量中:有效的识别攻击并告警

这是一个理想的入侵检测结果。检测恶意流量的速度和可靠性是衡量入侵检测系统精确性的指标。系统其他所有的功能都依赖于这个能力。系统越精确,就越可靠。在让系统采取必要的行动(如抛弃连接)去保护网络之前,它必须被确认拥有很高的精确性。

?在合法的流量中:将合法流量誤报为攻击并告警

另外一个问题是误报,IDS有时会将正常的访问识别为攻击并进行报警。

基于特征匹配的入侵检测,会因为一些特殊网络数据包的字符串触发报警,即便对方并非蓄意伪造,但是也存在一些正常数据传输恰好包含了某段攻击代码特征的情况, 当IDS 遇到合法的和良性的流量时,却断定里面藏有攻击。这种情况是非常糟糕的,它需要管理员对TCP会话进行跟踪和回放,当这样的现象属于个别现象的时候,有经验的管理员是有精力来进行分辨的。但这需要管理员实时的对会话进行辨析,遇到大量的诸如此类的工作涌现的时刻,管理员的人工处理效率将大大降低,而此时需要面对的另外一个问题就是有可能让真正的攻击行为透过这样的海量信息穿墙而过。

大部分的IDS需要通过一个较长的周期来进行策略的调整,以达到减少誤报的目的,这是让人无法接受的。另外,由于目前IDS的管理设计,可能局限系统的可调整性。也就是说,

你必须决定是否要检测到或忽视某种攻击。假如调整目的在于减少错误报警,那么对某种攻击的检测将被彻底关掉,这些攻击将会畅通无阻,而不被发现。

部署模式上的不足

现在较好的交换机都支持监听端口,故很多 IDS都连接到监听端口上。通常连接到交换机时都是全双工的,即在100MB的交换机上双向流量可能达到 200MB,但监听端口的流量最多达到100MB,从而导致交换机丢包。为了节省交换机端口,很可能配置为一个交换机端口监听多个其它端口,在正常的流量下,监听端口能够全部监听,但在受到攻击的时候,网络流量可能加大,从而使被监听的端口流量总和超过监听端口的上限,引起交换机丢包。

一般的交换机在负载较大的时候,监听端口的速度赶不上其它端口的速度,从而导致交换机丢包。增加监听端口即意味做需要更多的交换机端口,这可能需要购买额外的交换机,甚至修改网络结构(例如原来在一台交换机上的一个VLAN现在需要分布到两台交换机上)。支持监听的交换机比不支持的交换机要贵许多,很多网络在设计时并没有考虑到网络监听的需求,购买的交换机并不支持网络监听,或者监听性能不好,从而在准备安装NIDS 的时候需要更换交换机。

IDS是一个被动的监听者,而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用,当IDS报警的时候,攻击已经发生而损失已不可避免,用户更迫切的需要更加实时的安全防护,在发现攻击的同时就能将攻击行为实时阻断。

其次在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵,这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统。

为了弥补IDS的先天不足,一种称之为IDS和防火墙联动的方案出现了,它只是对访问控制系统的一个主动反馈机制(典型的防火墙和路由器)。防火墙的联动机制使得入侵检测系统具有能力来告诉防火墙流量应当阻止何种流量,通常的方式是调整防火墙的策略来防护将来的攻击,但在实际应用中,从IDS发现问题到通过开放接口向防火墙发送策略更新信息,再到最终防火墙激活新的策略所耗费的时间仍无法满足用户对高安全性的要求,特别是在攻击流量激增的情况下,这种方案几乎无法奏效,所以其可行性存在很大问题,

如今的入侵检测系统可以通过发复位包(TCP Reset)的方式,或者执行一段用户编写的程序,自动切断危险的连接。而且入侵检测系统作为整体安全技术的一个组成部分,它还可以和其他安全组件之间协同工作、建立了互动的响应机制。例如,防火墙作为限制内外网络互相访问的关口,其配置的过滤规则阻止了非授权用户对公司网络的访问,因此在入侵检测系统发现攻击行为时,由它自动地修改防火墙的安全策略,就能封堵可疑的网络通信。

但是由于缺乏统一的标准,多数IDS产品的互动响应机制并不能够普遍得到应用,而且由于网络传输的时延,防火墙对网络可疑行为的拦截并不能在第一时间生效,用户的网络风险依然存在。

同时防火墙与IDS联动的方式还会带来另外一个层面上的问题,甚至由此会产生一个更坏的结果,对攻击者而言,如果能够有效地虚拟出攻击源头,让IDS相信攻击源来自于某一个IP或者是某一个IP群,那么IDS一旦检出这样的“攻击源地址”,将防火墙进行联动,将会有效地切断和这个虚拟攻击IP的通信,从另外一个角度来看,也就实质性的造成了对真实IP的拒绝服务,其最终的后果是防火墙与IDS的联动从另外一个侧面给拒绝服务提供了新的更易于实现的手段,这是我们所不愿意看到的局面。

?分析和管理问题

IT部门为了及时发现入侵,必须对IDS的告警和日志进行分析,发现入侵行为,然后采取相应的防护措施,但随着网络的带宽从2M,发展到100M,直至1000M,IDS产生的报告越来越多,IT部门已疲于应付如此多的告警,对保证网络安全感到力不从心,特别是在零时差攻击日益增多情况下,如何采取及时防御措施,成为IT部门面临的极大挑战。

3 主动防护手段呼之欲出

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。

着眼于这些问题 ,新诞生的安全技术应当能够提供一种主动的、实时的防护手段,其设计应旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在检测到恶意流量的同时或之后发出警报。要做到这一点最有利的方式是通过直接串联到网络链路中而实现这一功能的,即接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络,从而有效地将针对网络各节点的威胁降到最低。

以往信息安全技术的研究和信息安全产品供应都是以节点产品为主的,例如防火墙、防杀毒都是以对某一局部环境中的节点控制为主的,很难实现纵向的体系化的发展,各种安全产品之间很难实现协同工作。随着技术的延伸,全球网络安全市场以建设信息系统的立体安全防护为目标,努力实现安全产品纵横向的有机结合,以实现高效立体防护, 越来越多的IT部门已经明确地意识到了此类问题对自身发展所带来的困扰,适时地引入入侵防御的技术体系,在监控内外情况的同时,能够有效地对来自于各层的可疑活动进行告警和阻截已经势在必行。籍此强化安全体系的整体建设,实现内外兼修。

由此我们会深刻的理解到Intrusion Prevention 是一项旨在对网络,包括构成网络的各项元素(网络设备与服务),以及存在于网络中的应用或资源提供保护的技术。IPS则是为实现这一目标而提出的各种解决方案。

3.1 IPS应具备的特性

评估一个IPS产品是否成功,要取决于IPS能不能全面有效的帮助用户成功阻拦网络攻击,并且不会对用户的网络应用产生大的影响。 一个好的IPS产品应该具备以下特点:

?技术的全面性--成熟和全面的威胁管理

一个好的IPS应该能够全面把握、有效并精确的管理网络中的各种威胁,提供优良的网络使用环境;并拥有自我学习能力,自我学习能力是威胁管理走向职能的重要基石;IPS 同时需要关注十分细节的信息,对于机要信息和主机安全性的管理,是IPS进行入侵防御管理的一个重要组成部分。

?灵活的适应性--有效应对未来

同时,一个好的IPS一定要易于扩展,能够根据新的变化随时提供出支持新功能模块、以及紧跟协议的变化不断的提供对新协议的支持;易于多级管理部署,以全面的威胁管理为目标,可以应对可能变化的任何网络局部变化也是对IPS的一个考验;对新威胁的响应速度、厂商的快速响应能力,能够从另外一个层面为产品对实时新增威胁防御的灵活性提供重要的保障条件;将上述有机的结合起来最终能够与业务连续性紧密结合,充分考虑客户的使用环境,根据用户需求可以随意调节才是对IPS方案实现的最终目标。

?有效的可管理性--安全的至高准则

能够有的实现高可用性,双机(热备、冷备),实效管理等功能,支持多样部署,直路,旁路等不同的工作模式,结合易于配置,日志,报表,多种策略模版为管理提供多种可实现的手段,最终通过邮件、SNMP等手段将阻断等信息传递到管理人员的手中,通过可实现的技术方式着重强调管理的有效性,作为一个安全管理员而言,将一切安全威胁事件置于可管理的范畴之内,这是最高的准则。

3.2 一个完善的IPS系统所应当具备的特征

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,IPS系统不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。

一个完善的入侵防御系统IPS应该从几个方面考虑:

?在线的部署模式

?低时延的处理能力

?精确的检测能力

?主动实时的防护控制能力

?高可靠与可用性的应用保障能力(HA)

?安全灵活的部署和优秀的可管理性

?在线的部署模式

IPS首先应支持在线的部署模式,即其部署在数据传输的路径中,任何数据流都必须经过IPS并被检测以立即发现攻击、屏蔽蠕虫、病毒和间谍软件、DOS及DDOS攻击、应用误用和滥用行为,而一旦发现,IPS应立即阻断攻击只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。

?低时延的处理能力

既然IPS是以在线的部署模式工作在线内,对数据包进行4层以上的检测,势必要求IPS 具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平,其必保证实现入侵检测和防御的同时不引入过大的处理延时,否则将成为网络的瓶颈,而且会导致应用系统的交易吞吐量下降,对于在多数的应用,端到端的性能与延时成反比,加倍的延时会使得完成一个任务花费成倍的时效甚至是业务中断 ,除确保低延时外,IPS还应保证高吞吐能力,即应该与以太网交换机的吞吐能力相匹配,而且在打开成千上万条攻击过滤器的情况下,在实际网络中仍能够保持线速的处理能力,即IPS必须具备像网络交换机一样的低延时和线速的性能 。借助于ASIC、FPGA和NP等技术,现在的IPS系统已经可以实现接近线速的数据处理转发。

?精确的检测

IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。 IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截

从理论上讲,Signature的数目和IPS的检测能力是成正比的,没有必要的过度夸大Signature的数目对IPS检测能力的作用,将单独一个攻击行为分别以多个不同的Signature名称来表示(比如可能将同一名称的Signature分别以不同的操作系统来表示,即使Signature的攻击手法和影响在所有的平台都是一样的)这样的做法是不可取的。而将一部分签名则是一些显然已经过时甚至早已不复存在的攻击行为,将这些签名纳入攻击特征库或许可以增加Signature的数量,但实际上对于IPS的检测能力并无帮助,或许还会影响IPS系统的检测效率,一个好的IPS系统应该是包含最具代表性和最佳检测效率的攻击签名特征库,而非盲目的扩大特征库中攻击签名的数量。 优秀的IPS必须能够为用户提供精确的防御能力,必须具有极低的误报和漏报率。IPS还应该定期升级入侵特征库,并快速应用到所有传感器。

?主动实施的防护控制能力

能够将优秀的入侵特征库以及高效能的处理平台有机的结合起来一起工作,是考验IPS 成熟与否的标志,只有将二者的杰出特性统一,才能够从现实上实现对非法行为的准确定义并据此产生出有效地防护控制能力。

?高可靠与可用性的应用保障能力(HA)

IPS作为一个Inline的网关型设备,一旦出现故障,就会关闭某个关键的网络路径,造成服务中断。所以要求IPS必须具有出色的冗余能力和故障切换机制,确保不会成为网络部署中的单点故障点。除了支持双机冗余的部署方式,还应该具备Bypass功能,在设备主体出现故障的情况下主动进行流量切换,在IPS系统出现软件故障或硬件故障而无法处理数据包时,保证数据包能够通过IPS设备,优先保障用户网络应用的连续性。

?安全灵活的部署和优秀的可管理性

优秀的入侵防御系统 还应该具备灵活的部署能力和优秀的可管理性。能够针对不同的

网络特征有针对性地进行不同层级的模式部署,让IPS的安全防护能够延伸到任意的用户环境中,是对产品部署能力的客观要求;在强调网络安全的同时,对系统管理的安全性同样必须重视 ,通过专用的安全管理客户端能够帮助管理员有效简化IPS的配置,提高运行和维护的效率,最后还必须支持完备的日志和报表功能,能够产生趋势分析报告、事件交叉分析、实时流量统计图表、过滤的攻击种类、网络主机与服务,以及IPS的网络位置与健康状态。

3.3 评估IPS产品的几个误区

虽然有了一些指标可以评估一个IPS系统,但是目前并没有一套可以遵循的统一标准,面对不同厂家的不同解释,用户在选择IPS系统时经常会被一些问题所迷惑:

3.3.1: IPS系统检测攻击的能力取决于攻击签名库中Signature的数目

从理论上讲,Signature的数目和IPS的检测能力是成正比的,但事实上,个别厂商会过度夸大Signature的数目对IPS检测能力的作用,他们通常将单独一个攻击行为分别以多个不同的Signature名称来表示,比如可能将同一名称的Signature分别以不同的操作系统来表示,即使Signature的攻击手法和影响在所有的平台都是一样的。另外一部分签名则是一些显然已经过时甚至早已不复存在的攻击行为,将这些签名纳入攻击特征库或许可以增加Signature的数量,但实际上对于IPS的检测能力并无帮助,或许还会影响IPS系统的检测效率,一个好的IPS系统应该是包含最具代表性和最佳检测效率的攻击签名特征库,而非盲目的扩大特征库中攻击签名的数量。

3.3.2、单位时间内的数据包捕获能力越大越好

很多IPS厂商都会把IPS系统在单位时间内的数据包捕获能力作为评估IPS系统性能的重要参数之一。事实上,独立的来看待IPS系统单位时间内的数据包捕获能力对于IPS的检测能力评估是没有意义的,IPS系统捕获的数据包必须要经过对数据包的分析之后才有意义,对于TCP协议的数据包来说,多数的IPS系统都需要进行TCP的数据包重组然后才能检测出数据包中的攻击行为,TCP数据包的重组可能会占用IPS系统的很多资源,而IPS系统对UDP数据包的处理可能就要简单多,数据包捕获能力的对比应该是在等同的条件之下进行,不同的协议类型、不同的应用类型都可能对数据包捕获能力产生大的影响。

3.3.3 监控链路是否越多越好

有人认为在同样的硬件平台下,监控链路越多,其处理的效率越高。其实不然,在同样的硬件架构和操作系统的条件下,当多个监控链路同时检测分析并进行控制的时候,其消耗的系统资源远远大于用一路进行监控的合流量。尤其在高速网络中应用,其性能影响会更为明显。

二、领信入侵防御系统(LinkTrust IPS)

领信入侵检测系统(Linktrust IPS)是领信针对目前流行的蠕虫、病毒、间谍软件、

垃圾邮件、DDoS等黑客攻击,以及网络资源滥用(P2P下载、IM即时通讯、网游等)等推出的全新安全防护方案。领信入侵防御系统(Linktrust IPS)是领信针对当前网络安全的基本状况和用户的安全需求而推出的具有自主知识产权的新一代安全产品,其具有先进的体系架构并继承了领信入侵检测系统先进的的入侵检测技术,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的新一代检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业网络之外,保护企业的信息资产。

1 LinkTrust IPS

1.1 LinkTrust IPS支持的工作模式

LinkTrust? IPS产品支持4种工作模式,能够有效地进行Inline模式的部署,其中Passive模式相当于传统的IDS设备,这些工作模式的定义如下:

透明学习模式(Inline Bridging):该模式下引擎将根据安全策略对网络中通过的数据进行检测,但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段。

服务保障模式(Inline Fail-passthrough):该模式下引擎将按照安全策略对所有会话过程进行检测,并产生对不符合安全策略的内容进行告警和适当的防御。当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时,超时的数据包会被转发以保障服务的可用性。另外在一些特殊条件下引擎也会采用透明转发或Bypass的方式保障服务可用性。这些可能的特殊情况有:

z当引擎正处在Reboot或初始化过程中时。(非bypass功能支持)

z当引擎正在执行“策略应用”命令,或正在编译签名时. (非bypass功能支持) z当引擎失去电源,或意外掉电时 (该项需要网卡硬件支持)

z当出现任何硬件故障,导致引擎无法工作时 (该项需要网卡硬件支持)

z当检测引擎由于某种原因而意外失效时(如:死机,系统崩溃等) (该项需要网卡硬

件支持)

z数据转发延迟超时后数据直接被转发(非bypass功能支持)

强制防御模式(Inline Fail-severed):与服务保障模式的工作方式类似,引擎会按照安全策略的要求对通信内容进行检测并作出反应,区别在于当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时,超时的数据包会被丢弃以保障通信的安全性,在此模式下bypass功能将被禁用。

旁路模式(Passive):传统IDS部署模式,采用旁路监听方式部署

1.2 新一代的检测分析技术

LinkTrust IPS综合多种检测和分析技术,最大限度降低了漏报和误报发生的概率?基于签名的检测技术

LinkTrust IPS提供优秀的签名库,让产品具备了高效的签名特征检测能力,能够让用户有效地实时获取已知的入侵行为的发生,并采取相应的阻截措施。

?基于状态的模式匹配

对已知协议和RFC规范的深入理解,可准确、高效的识别各种已知攻击。同时根据系统协议分析的算法,sensor拥有检测协议异常、协议误用的能力,彻底解决了以往基于模式匹配技术的IDS产品片面依赖攻击特征签名数量来检测攻击的弊端,极大的提高了检测的效率,扩大了检测的范围。Linktrust IPS基于状态的协议分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术,结合基于特征匹配的检测技术,极大地提高检测的准确性,降低误报率。

?协议的解码分析

就是将传输过来的ip数据包组装解析成为应用协议上的数据,然后再对其进行特征匹配,协议解码也可以很好的规避其流量冲击和报警冲击, Linktrust IPS独有的协议识别技术能够识别近100种包括后门、木马、IM、网络游戏在内的应用层协议,不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。

?行为异常的分析检测

Linktrust IPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击,达到接近100%的检测准确率和几乎为零的误报率。

?基于漏洞存在的检测技术

如果对入侵行为的检测是基于特征,那么将无法对变种的入侵进行检测,同时也无法对未知入侵进行有效检测。LinkTrust IPS不但可以通过签名进行针对入侵的检测,在对未知入侵行为的检测方面,它对流量异常进行统计分析外,更重要的是利用了系统和软件的漏洞进行检测。因为当入侵行为发生的过程中,首先是搜索漏洞,利用搜索结果攻击系统,复制副本来进行泛滥的。因此LinkTrust IPS基于漏洞的检测是从根本上保证了检测的准确性,同时也为用户加固系统提供了有力的帮助。

?被动的操作系统及应用指纹识别

基于目标操作系统指纹识别的智能IP碎片重组技术采用先进的,更加隐蔽安全的被动探测工作方式来探测分析目标主机的操作系统。

?智能IP重组

根据探测结果采用针对性的IP碎片重组技术,在避免误报和漏报的同时,极大的提高了IP碎片重组的速度,从而提升了引擎的性能。

?动态的蠕虫检测和隔离技术

能够动态的识别蠕虫,所以,当选择了阻截所有的蠕虫的时候, LinkTrust IPS能够自动识别并阻截新产生的蠕虫,大部分蠕虫通常是利用某些漏洞来破坏协议,而如果我们能够提早对某些陌生的协议进行告警,那么我们就能够动态的对这样的告警级别进行重新排定。?可定制的签名

LinkTrust IPS还能够使用N-code语言创建签名,允许用户结合自身网络的特点编写新的签名或定制现有的签名,这种签名语言具有极高的准确性和专业性,其所编写的代码触发传感器开始收集事件的数据。例如,如果一个数据包有一个UDP包头,UDP策略的行为描述代码便开始收集数据。行为描述代码同时还告诉传感器该如何处理数据,行为描述代码中提供的功能告诉传感器记录什么类型的数据,并将该数据传递到记录器上。例如,Pingflood策略告诉传感器来追踪源和目的IP地址、所发送的包数,及最后一个包之后总共的时间。所有的这些信息都发送到记录器上去。

1.3实时主动的防御能力

? 多种检测技术的结合使得Linktrust IPS可以预防多种已知和未知攻击,准确率保持在很高的水平

? 最小化人员干预,结合领信的SOC系统可以使网络管理人员从大量的事件分析工作中解脱出来,有效减轻攻击报警处理的压力。

? IPS的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠的防护能力,同时还可获得更强的访问控制功能和灵活性

一个重要特色就是能够进行动态隔离防护LinkTrust结合nessus的资源作为扫描的结果, LinkstrustIPS能够将在实时的状态下的内容进行关联分析,对网络的扫描结果全面成功与否将是直接决定此次攻击是否能够发挥效能的关键

另外, LinkTrust IPS通过检察策略来确保用户具备在产品上制定出完美策略的能力,比方说,一旦nessus发现一台易受攻击的apache服务器,但是处于某种原因,没有将对这apache的检测功能激活,那么LinkTrust IPS的动态隔离方式会注意到这一个问题的存在,并会不断的提醒你直到你将这个策略添加上去.这样可以确保你不会因为个人原因而产生错误的配置。

原始的数据是很难系统的组织起来的, LinkTrust IPS提供一个友好的漏洞浏览器供用户来观察所接收的所有数据,并能够将这些信息有机的组织到一起来为用户提供其想要获得的诸如源地址、目的地址以及相关漏洞的具体信息,大大提高了关联分析的效率。

动态防御体系带来的全新体验

通过实时的收集获取网络流信息、终端信息、漏洞信息以及网络元素的变化诸元,Linkstrust IPS通过关联攻击类型完成流量的可信度评估,并自动给定相应动作的可信度指数,同时给出策略一致性的调整建议,同时能够让用户方便的基于N-code语言完成攻击签名和异常检测策略的定制,并能够主动隔离威胁流量,整个过程会随着网络元素的动态变化而实时调整,结合Linkstrust的诸多独有技术从真正意义上完成了动态防御的实现。

1.4 优异的产品性能

? Linktrust IPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞

吐量;操作系统经过优化和安全性处理,保证系统的安全性和抗毁性。

? Linktrust IPS依赖先进的体系架构、高性能专用硬件,在实际网络环境部署中性能表现优异,具有线速的分析与处理能力。

?LinkTrust IPS支持应用保护、网络架构保护和性能保护,彻底防护各种网络攻击行为:病毒、间谍软件/木马、蠕虫、DOS和DDOS、以及各种入侵行为。传感器由Multi-Risc

处理器实现,从而保证了系统的高吞吐量和低时延。

高性能的硬件平台

LinkTrust IPS采用成熟的NP Muti-Risc处理器技术,合成了ASIC强大的处理能力和通用cpu灵活应用的良好特性,是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达5Gbps并能够保证微秒级的处理延迟,完全能够满足关键数据交换的时延要求。

1.5 高可用性

?Linktrust IPS支持失效开放(Fail bypass)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障,不会成为业务的阻断点。

?Linktrust IPS支持双机热备HA,不仅支持Active-Standby(主从热备),还支持 Active-Active(对等热备),提供高可用性保障。

?Linktrust IPS的工作模式灵活多样,支持inline主动防御、旁路检测、以及bypass方式,能够快速部署在几乎所有的网络环境中

? 支持部件冗余,模块化设计,便于适应不同的应用环境,功能模块的更新。

?全面的支持IPV6

1.6强大的管理和报表功能

强大的管理能力

? 全新的集中管理平台-Linktrust安全防护中心,集中化管理简化了小型企业的部署,同时也为大型企业部署提供了强大的集中控制和扩展性。

?Aes-128的通信加密,保障了管理信息的安全传递

?极易扩展的集中管理平台使得用户在升级网络时无需额外的投资

?全中文图形化的操作界面,符合领信产品操作简单灵活的传统。

丰富的报表内容

相关主题
相关文档 最新文档