入侵防禦系統

IPS（ Intrusion Prevention System）是電腦網絡安全設施，是對防病毒軟件（Antivirus Programs）和防火牆（Packet Filter, Application Gateway）的補充。 入侵預防系統（Intrusion-prevention system）是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

隨着電腦的廣泛應用和網絡的不斷普及，來自網絡內部和外部的危險和犯罪也日益增多。20年前，電腦病毒主要通過軟盤傳播。後來，用户打開帶有病毒的電子信函附件，就可以觸發附件所帶的病毒。以前，病毒的擴散比較慢，防毒軟體的開發商有足夠的時間從容研究病毒，開發防病毒、殺病毒軟件。而今天，不僅病毒數量劇增，質量提高，而且通過網絡快速傳播，在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態，使防毒軟件失效。

流行的攻擊程序和有害代碼如 DoS （Denial of Service 拒絕服務）分佈式拒絕服務，暴力拆解(Brut-Force-Attack)，端口掃描(Portscan)，嗅探，病毒，蠕蟲，垃圾郵件，木馬等等。此外還有利用軟件的漏洞和缺陷鑽空子、幹壞事，讓人防不勝防。

網絡入侵方式越來越多，有的充分利用防火牆放行許可，有的則使防毒軟件失效。比如，在病毒剛進入網絡的時候，還沒有一個廠家迅速開發出相應的辨認和撲滅程序，於是這種全新的病毒就很快大肆擴散、肆虐於網絡、危害單機或網絡資源，這就是所謂Zero Day Attack。

防火牆可以根據IP地址（IP-Addresses）或服務端口（Ports）過濾數據包。但是，它對於利用合法IP地址和端口而從事的破壞活動則無能為力。因為,防火牆極少深入數據包檢查內容。即使使用了DPI技術 ^[1]  （Deep Packet Inspection 深度包檢測技術），其本身也面臨着許多挑戰。

每種攻擊代碼都具有隻屬於它自己的特徵 (signature), 病毒之間通過各自不同的特徵互相區別，同時也與正常的應用程序代碼相區別。殺毒軟件就是通過儲存所有已知的病毒特徵來辨認病毒的。

在ISO/OSI網絡層次模型(見OSI模型) 中，防火牆主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火牆和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業界已經有入侵偵查系統（IDS: Intrusion Detection System）投入使用。入侵偵查系統在發現異常情況後及時向網絡安全管理人員或防火牆系統發出警報。可惜這時災害往往已經形成。雖然，亡羊補牢，尤未為晚，但是，防衞機制最好應該是在危害形成之前先期起作用。隨後應運而生的入侵響應系統(IRS: Intrusion Response Systems) 作為對入侵偵查系統的補充能夠在發現入侵時，迅速作出反應，並自動採取阻止措施。而入侵預防系統則作為二者的進一步發展，汲取了二者的長處。

入侵預防系統也像入侵偵查系統一樣，專門深入網絡數據內部，查找它所認識的攻擊代碼特徵，過濾有害數據流，丟棄有害數據包，並進行記載，以便事後分析。除此之外，更重要的是，大多數入侵預防系統同時結合考慮應用程序或網絡傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用户或用户程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特徵，但是它並不僅僅依賴於已知病毒特徵。

應用入侵預防系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種，採取預防措施，先期阻止入侵，防患於未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火牆 和防病毒軟件的補充來投入使用。在必要時，它還可以為追究攻擊者的刑事責任而提供法律上有效的證據 (forensic)。

A：串行部署的防火牆可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力。

B：旁路部署的IDS可以及時發現那些穿透防火牆的深層攻擊行為，作為防火牆的有益補充，但很可惜的是無法實時的阻斷。

C：IDS和防火牆聯動：通過IDS來發現，通過防火牆來阻斷。但由於迄今為止沒有統一的接口規範，加上越來越頻發的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火牆聯動在實際應用中的效果不顯著。

這就是IPS產品的起源：一種能防禦防火牆所不能防禦的深層入侵威脅（入侵檢測技術）的在線部署（防火牆方式）安全產品。由於用户發現了一些無法控制的入侵威脅行為，這也正是IDS的作用。

入侵檢測系統（IDS）對那些異常的、可能是入侵行為的數據進行檢測和報警，告知使用者網絡中的實時狀況，並提供相應的解決、處理方法，是一種側重於風險管理的安全產品。

入侵防禦系統（IPS）對那些被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防禦，降低或是減免使用者對異常狀況的處理資源開銷，是一種側重於風險控制的安全產品。

這也解釋了IDS和IPS的關係，並非取代和互斥，而是相互協作：沒有部署IDS的時候，只能是憑感覺判斷，應該在什麼地方部署什麼樣的安全產品，通過IDS的廣泛部署，瞭解了網絡的當前實時狀況，據此狀況可進一步判斷應該在何處部署何類安全產品（IPS等）。

* 異常偵查。正如入侵偵查系統, 入侵預防系統知道正常數據以及數據之間關係的通常的樣子，可以對照識別異常。

* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時，先把它們放在沙盤內，觀察其行為動向，如果發現有可疑情況，則停止傳輸，禁止執行。

* 有些入侵預防系統結合協議異常、傳輸異常和特徵偵查，對通過網關或防火牆進入網絡內部的有害代碼實行有效阻止。

* 核心基礎上的防護機制。用户程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。入侵預防系統可以截獲有害的系統請求。

* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。

投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統

（HIPS: Hostbased Intrusion Prevension System）和網絡入侵預防系統

（NIPS: Network Intrusion Prevension System）兩種類型。

網絡入侵預防系統作為網絡之間或網絡組成部分之間的獨立的硬體設備，切斷交通，對過往包進行深層檢查，然後確定是否放行。網絡入侵預防系統藉助病毒特徵和協議異常，阻止有害代碼傳播。有一些網絡入侵預防系統還能夠跟蹤和標記對可疑代碼的回答，然後，看誰使用這些回答信息而請求連接，這樣就能更好地確認發生了入侵事件。

根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點，單機入侵預防系統監視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地説，其實是它們所夾帶的有害代碼）向作業系統發出請求指令，改寫系統文件，建立對外連接時，進行有效阻止，從而保護網絡中重要的單個機器設備，如伺服器、路由器、防火牆等等。這時，它不需要求助於已知病毒特徵和事先設定的安全規則。總地來説，單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道，入侵是指有害代碼首先到達目的地，然後幹壞事。然而，即使它僥倖突破防火牆等各種防線，得以到達目的地，但是由於有了入侵預防系統，有害代碼最終還是無法起到它要起的作用，不能達到它要達到的目的。

2000年：Network ICE公司在2000年9月18日推出了業界第一款IPS產品—BlackICE Guard，它第一次把基於旁路檢測的IDS技術用於在線模式，直接分析網絡流量，並把惡意包丟棄。 　2002～2003年：這段時期IPS得到了快速發展。當時隨着產品的不斷髮展和市場的認可，歐美一些安全大公司通過收購小公司的方式獲得IPS技術，推出自己的IPS產品。比如ISS公司收購Network ICE公司，發佈了Proventia；NetScreen公司收購OneSecure公司，推出NetScreen-IDP；McAfee公司收購Intruvert公司，推出IntruShield。思科、賽門鐵克、TippingPoint等公司也發佈了IPS產品。

2005年9月綠盟科技發佈國內第一款擁有完全自主知識產權的IPS產品，2007年聯想網禦、啓明星辰、天融信等國內安全公司分別通過技術合作、OEM等多種方式發佈各自的IPS產品。

針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業務系統的連續性和可用性。

一款優秀的網絡入侵防護系統應該具備以下特徵：

●滿足高性能的要求，提供強大的分析和處理能力，保證正常網絡通信的質量；

●提供針對各類攻擊的實時檢測和防禦功能，同時具備豐富的訪問控制能力，在任何未授權活動開始前發現攻擊，避免或減緩攻擊可能給企業帶來的損失；

●準確識別各種網絡流量，降低漏報和誤報率，避免影響正常的業務通訊；

●全面、精細的流量控制功能，確保企業關鍵業務持續穩定運轉；

●具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；

●可擴展的多鏈路IPS防護能力，避免不必要的重複安全投資；

●提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時間把攻擊阻斷在企業網絡之外，同時也支持旁路模式部署，用於攻擊檢測，適合不同客户需要；

●支持分級部署、集中管理，滿足不同規模網絡的使用和管理需求。

網絡入侵防護系統是網絡入侵防護系統同類產品中的精品典範，該產品高度融合高性能、高安全性、高可靠性和易操作性等特性，產品內置先進的Web信譽機制，同時具備深度入侵防護、精細流量控制，以及全面用户上網行為監管等多項功能，能夠為用户提供深度攻擊防禦和應用帶寬保護的完美價值體驗。

實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、後門木馬、D.o.S等惡意流量，保護企業信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機。

基於互聯網Web站點的掛馬檢測結果，結合URL信譽評價技術，保護用户在訪問被植入木馬等惡意代碼的網站時不受侵害，及時、有效地第一時間攔截Web威脅。

阻斷一切非授權用户流量，管理合法網絡資源的利用，有效保證關鍵應用全天候暢通無阻，通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。

全面監測和管理IM即時通訊、P2P下載、網絡遊戲、在線視頻，以及在線炒股等網絡行為，協助企業辨識和限制非授權網絡流量，更好地執行企業的安全策略。

IPS，越來越受歡迎，特別是當供應商應對NAC市場的早期挑戰時，如感知部署和可用性難點。大多數大型的組織都全面部署了IPS，但是在使用NAC之前，這些解決方案都被一定程度的限制以防止公司網絡中發生新的攻擊。你可以配置所有的IPS探測器來中斷網絡中惡意或其它不需要的流量。比如，假設一個特定的終端發起一個針對公司數據中心的應用服務器的攻擊，並且IPS檢測到該流量是惡意的，那麼IPS可以通過所配置的策略來中斷流量。雖然這個響應是充分的，但是，在某些情況下，你可能想進一步阻止網絡以後的攻擊。NAC可以幫助你從IPS設備中獲取信息，並在被攻擊或發生意外事件時使用這些信息來處理終端用户的訪問。 ^[2]