$ $ 现在业务系统大多是基于客户 3 服务器模式和 !4567465 3 !4578465 网络计算模式的分布式应用， 用户、 程序和数据可能分 布在世界的各个角落， 给系统的安全管理造成了很大困难。 金融、 电信、 政府等各大行业为了保证关键业务系统的稳定运 行， 确保各类重要数据不被非法人员窃取， 网络安全专家采用 了各种安全防护产品和方法对 “ 网络黑客” 进行防护。 - 现有安全防护系统存在的问题 当前网络安全防护系统按照功能主要分为三种类型的产 品： 网络防火墙； !9# 入侵防护系统； 网络防病毒系统。 通过对现有网络攻击手段的分析不难发现大多数网络攻 击 （ 蠕虫、 病毒、 9:# ） 都是通过 1’ 端口进行的。现有的安全 系统， 由于都是根据早期安全问题设计出来的， 都存在着各种 不足， 具体分析如下： -+ - 网络防火墙。防火墙系统决定了哪些内部服务可以被外 界访问， 外界的哪些人可以访问内部的哪些可以访问的服务， 以及哪些外部服务可以被内部人员访问。要使一个防火墙有 效， 所有来自和去往 !4567465 的信息都必须经过防火墙， 接受 防火墙的检查。防火墙必须只允许授权的数据通过， 并且防 火墙本身也必须能够免于渗透。但不幸的是， 防火墙系统一 旦被攻击者突破或迂回， 就不能提供任何的保护了。同时由 于为了避免防火墙对各类应用系统的正常使用造成影响， 防 火墙对 1’ 、 &&12 等 ;6< 端口无法禁用， 所以检测功能非常有 限。防火墙不能解决来自内部网络的攻击和安全问题。 “外 紧内松” 是一般局域网络的特点， 一道严密防守的防火墙其内 部的网络也有可能是一片混乱。 -+ ( !9# 入侵防护系统。我们不得不承认， !9# 是一种很好的 安全防护手段， 但由于它有很多自身的限制， 目前还存在着很 多问题。入侵检测系统是采取被动监听的方式发现网络问 题， 但是无法主动发现网络中的安全隐患和故障。 “ 如何解决 已发现的问题” 也是入侵检测系统面临的难题。入侵检测系 统最初的目的是为了检测网络的攻击， 但仅仅检测网络中的
1 1 优点： 用数千兆位的速度实现全面保护： 防范 !*# 攻击和 多种不同 的 攻 击 特 征 （ 包 括 尼 姆 达、 红 色 代 码 和 #.+ 23456 5’(） 。保证关键任务应用的服务质量： 通过带宽管理， 不仅保 证了关键任务应用可获得正常运行而所需的带宽， 而且还可 以限制非关键应用 （ 比如 74,84、 9)- 和实时音频） 所消耗的 带宽。迅速对新威胁做出反应 ： 新攻击特征的自动更新， 为及 时防范新的蠕虫、 病毒或其它类型的攻击创造了条件。 过滤骨干链路上的恶意代码。通过过滤掉含有病毒或恶 意代码的 $%&’(%’& 流量， 电信运营商可以大幅度减轻其国内、 国际和对等连接上的负载， 具体网络拓扑见图 : 。
员难以分清网路问题是由于攻击引起还是网络故障引起， 所 以管理员无法迅速地得到分析解决网路问题的最佳方法。同 样， 即使入侵检测能够实时地检测出攻击事件， 但由于其设计 原理， 却无法实时地对攻击进行防护。 -+ & 网络防病毒系统。网络防病毒系统主要有针对 =>?6@@、 A=!B， ;C4D>EF 等各种操作系统的网络安全防护。网络防病 毒系统从全方位、 多层次给企业以安全防护， 并且功能也十分 灵活和丰富。但是由于采用软件方式， 虽然控制比较灵活， 但 存在着性能不高的缺点。随着网络数据流量的不断增长， 网 络防病毒系统将无法高效的处理网络中的数据。 ( !"# 入侵防御系统的原理及功能 目前安全系统的整合也是一个问题， 如何在既可提供可 靠的安全防护， 又能保证网络和应用系统的性能的同时让系 统保持高度的灵活性和可扩展性， 给各网络安全行业带来了 新的挑战。因此， 在这种需求背景下， !"# 入侵防御系统 （ 以下 简称 !"#） 应运而生。!"# 能够提供实时吞吐流量， 深入检查数 据包， 并且 !"# 可隔离、 拦截和预防来自网络的各种攻击， 从而 实现即时、 高性能的应用安全。 (+ - !"# 入侵防御系统的原理。防火墙是实施访问控制策略的 系统， 对流经的网络流量进行检查， 拦截不符合安全策略的数 据包。入侵检测技术 （ !9#） 通过监视网络或系统资源， 寻找违 反安全策略的行为或攻击迹象， 并发出报警。传统的防火墙旨 在拒绝那些明显可疑的网络流量， 但仍然允许某些流量通过， 因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 !9# 系统都是被动的， 而不是主动的。也就是说， 在攻击实际发生 之前， 它们往往无法预先发出警报。而入侵防御系统（ !"#）则 倾向于提供主动防护， 其设计宗旨是预先对入侵活动和攻击性 网络流量进行拦截， 避免其造成损失， 而不是简单地在恶意流 量传送时或传送后才发出警报。!"# 是通过直接嵌入到网络流 量中实现这一功能的， 即通过一个网络端口接收来自外部系统
万方数据 攻击远远无法满足目前复杂的网络应用需求。通常网络管理
$ $ 收稿日期： (’’0 / ’% / ’-
--
湖北教育学院学报
的流量， 经过检查确认其中不包含异常活动或可疑内容后， 再 通过另外一个端口将它传送到内部系统中。这样一来， 有问题 的数据包， 以及所有来自同一数据流的后续数据包， 都能在 !"# 设备中被清除掉。!"# 入侵防御系统工作原理如图 $ 所示。
图 * 大型企业入侵防护系统解决方案 在网络的网关位置防范 12# 攻击， 不仅保护了公司资源 和基础体系， 而且还保护了公司的安全工具不会超负荷运行， 从而即使其在 12# 攻击之下也能保证它们的连续运行。通过 实施带宽管理策略， 可以即时隔离攻击、 蠕虫和病毒， 防止它 们传播到各个网段， 从而限制了它们的危害程度， 并且确保了 保持业务运行所需的可用性和性能。 该解决方案的优点如下： 实时的入侵防范功能可杜绝蠕 虫、 病毒和特洛伊木马的攻击； 实时防范拒绝服务攻击和 #78 攻击； 保护所有局域网网段和流量的安全； 可将攻击带来的危 害隔离起来； 可实现同任何网络环境的无缝集成。 ,. * 电信运营商入侵防护系统解决方案。随着越来越多的蠕虫、 病毒和 12# 攻击都是针对电信运营商的网络服务发起的， 因此这 些攻击对业务的连续运行能力造成了严重威胁。对借助国内和
(’’0 年 1 月 第 (& 卷第 1 期
湖北教育学院学报 I>G748@ >J KG<6C !4F5C5G56 >J LDGM85C>4
,GH+ (’’0 N>@+ (&$ =>+ 1
!"# 入侵防御系统
余$ 慧
（ 湖北教育学院 计算机科学与工程系，武汉$ %&’(’) ）
摘要： 由于现有安全防护系统的不足， 于是研究者提出了复合现有网络安全需求的 “ !"# 入侵防御系统” 新的方案， 此 系统 !"# 能够提供实时吞吐量， 深入检查数据包， 并且可隔离栏载和预防来自网络的各种攻击， 从而实现即时， 高性能 的应用安全。 关键词： !"#； 入侵防御系统； 网络安全 *"&’(+$ $ $ $ 文章编号： -’’. / -01. （ (’’0 ） ’1 / ’’%& / ’& 中图分类号： 作者简介： 余$ 慧 （ -2.0 / ） ， 女， 助教， 硕士
万方数据 以一边同时拦截多个活动攻击， 一边防范其它的各种可能攻
余1 慧： $)# 入侵防御系统
0:
国际骨干网提供 !"# 和电子邮件服务以及为企业提供 $%&’(%’& 连接的电信运营商而言， 这些安全性威胁已日益成为一种挑战。 电信运营商为了保证客户的满意度， 提高自身运营网络的稳定性 和安全性， 已经陆续采用了 $)# 产品来构建运营网络的入侵防护 系统， 该解决方案主要有以下几个方面的特点： 隔离蠕虫、 病毒和 !*# 攻击。公司机构网络遭受拒绝服务 攻击后造成的巨大财务影响， 迫使电信运营商寻求相应的对 策。电信运营商在客户的核心交换机和提供 $%&’(%’& 专线的出 口路由器之间放置 $)# 产品， 来保证当针对连接在同一存在点 （ )*)） 的其他客户被 !*# 攻击时不会影响到电信运营商为该 客户提供的性能和服务。因此， 为了履行用户服务水平协议 （ #+,） 和保证所有 )*) 用户的网络能够连续运行， $)# 系统提 供了一种良好的攻击隔离机制， 具体网络拓扑图见图 -。
图 $ !"# 入侵防护系统工作原理图 !"# 实现实时检查和阻止入侵的原理在于 !"# 拥有数目众 多的过滤器， 能够防止各种攻击。当新的攻击手段被发现之 后， !"# 就会创建一个新的过滤器。!"# 数据包处理引擎是专业 化定制的集成电路， 可以深层检查数据包的内容。如果有攻击 者利用 %&’() * （ 介质访问控制） 至 %&’() + （ 应用层） 的漏洞发起 攻击， !"# 能够从数据流中检查出这些攻击并加以阻止。传统 的防火墙只能对 %&’() , 或 %&’() - 进行检查， 不能检测应用层 的内容。防火墙的包过滤技术不会针对每一字节进行检查， 因 而也就无法发现攻击活动， 而 !"# 可以做到逐一字节地检查数 据包。所有流经 !"# 的数据包都被分类， 分类的依据是数据包 中的报头信息， 如源 !" 地址和目的 !" 地址、 端口号和应用域。 每种过滤器负责分析相对应的数据包。通过检查的数据包可 以继续前进， 包含恶意内容的数据包就会被丢弃， 被怀疑的数 据包需要接受进一步的检查。针对不同的攻击行为， !"# 需要 不同的过滤器。每种过滤器都设有相应的过滤规则， 为了确保 准确性， 这些规则的定义非常广泛。在对传输内容进行分类 时， 过滤引擎还需要参照数据包的信息参数， 并将其解析至一 个有意义的域中进行上下文分析， 以提高过滤的准确性。 *. * !"# 入侵防御系统的功能。一个优秀的 !"# 入侵防御系 统的必须具备以下几个方面的主要功能： （$） 监视和隔离攻击 / 网络管理员面对网络系统攻击的最大挑战是， 他无法在应 用层对数据流进行扫描和检测。使用 !"#， 网络管理员可以检 测蠕虫和病毒以及非正常流量模式， 从而将攻击的威胁降至 最低。!"# 检测实施攻击的对象和位置， 完全把握攻击动向。 一旦检测到攻击， !"# 将其隔离， 限制其带宽， 达到防止攻击消 耗网络 带 宽 的 目 的， 通过流量控制来保证服务水平协议 （ #%0） 。借助 !"# 高密度端口和静态转发技术， 支持分布式应 用， 在多个网段之间提供安全防护。 （*） 防范拒绝服务攻击 / !"# 可以识别千兆位速度的拒绝服务攻击， 阻止以使企业网络 瘫痪为目的的恶意操作。在保持高流量速度的情况下， !"# 可