防御专家 深入剖析入侵防御系统(2)

有些人认为：“IPS应该具备各种扩展功能，ACL、路由、NAT，一个都不能少”。“IPS最重要的就是性能了，其他的都不重要”。

入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定意味着影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点——精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。

精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑：如何确保IPS无误报和滥报，使得串接设备不会形成新的网络故障点？

而作为一款防御入侵攻击的设备，毫无疑问，防御各种深层入侵行为是第二个重点，这也是IPS系统区别于其他安全产品的本质特点；这也给精确阻断加上了一个修饰语：保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为（如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件），这才是IPS发展的主线功能。

如何确保对深层入侵行为的准确判断？刚刚推出天清入侵防御系统的专业安全厂商启明星辰有着自己独特的技术和专利。启明星辰的技术专家介绍说，依托多年以来在入侵检测技术方面的深厚积累，启明星辰独创性地建立了柔性化检测机制，在确保精确判定攻击行为的基础上，涵盖了各种攻击手法类型。

我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制如图2所示。

图2 基于特征和原理的检测机制对比

融合“基于特征的检测机制”和“基于原理的检测机制”形成的 “柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合，如图3所示。

图3柔性检测机制原理

通过运用柔性检测机制，天清入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。

当然，前面提到的扩展功能和高性能，也是入侵防御系统所必需关注的内容，但也要符合产品的主线功能发展趋势。如针对P2P的限制：P2P作为一种新兴的下载手段，得到了极为广泛的运用，但由无限制的P2P应用会影响网络的带宽消耗，并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制，需要较为深入的应用层分析，交给IPS来限制、防范，是一个比较恰当的选择。而ACL控制、路由、NAT等，这些都是防火墙可以完成的工作，在IPS上来实现这些功能，就有画蛇添足之嫌了。

性能表现是IPS的又一重要指标，但这里的性能应该是更广泛含义上的性能：包括了最大的参数表现和异常状况下的稳定保障。也就是说，性能除了需要关注诸如“吞吐率多大？”，“转发时延多长？”，“一定背景流下检测率如何？”等性能参数表现外，还需要关注：“如果出现了意外情况，怎样/多快能恢复网络的正常通讯？”，这个问题也是IPS出现之初被质疑的一个重点。串接设备出现故障和旁路设备不一样，是会影响到正常业务运营的，而做深层分析的串接设备更加如此，在长时间做大量数据深度分析的情况下，如何确保通讯的顺畅？如何确保出现异常情况后通讯的顺畅？