入侵检测与防御
1.背景
随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，巳经不能满足人们对网络安全的需求。

作为对防火墙及其有益的补充，IDS(入侵检测系统，Intrusion Detection System)能够帮助网络系统快速发现网络攻击的发生。

扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

IDS 被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

但是由于IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。

因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。

作为一种新的安全理念，IPS(入侵防御系统，Intrusion Prevention System)主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免罴客的攻击。

2入侵检测系统
IDS原理
一个入侵检测系统可以分为四个部分：事件产生器(Event generators)负贲收集网络安全事件；事件分析器(Eventa nalyzer)负责对收集来的数据按照既定的安全策略进行分析，得出结论；响应单元(Response units)按照既定的安全策略，参照分析器得出的事件结论，对网络事件进行处理(通知管理员或操作员)；事件数据库(Event databases)负责存储网络事件，便于事后分析，它可以是复杂的数据库，也可以是简单的文本文件。

其模型如图所示：
图1.CIDF模型图
CIDF 将入侵检测系统需要分析的数据统称为事件它可以是网络中的数据包也可以是
从系统日志等其它途径得到的信息事件产生器是从整个计算环境中获得事件并向系统的其
它部分提供事件事件分析器分析所得到的数据并产生分析结果响应单元对分析结果做出反应如切断网络连接改变文件属性简单报警等应急响应事件数据库存放各种中间和最终数据数据存放的形式既可以是复杂的数据库也可以是简单的文本文件。

入侵检测技术
入侵检测技术传统上分为两大类型：异常入侵检测anomaly detection和误用入侵检测misuse detection。

异常入侵检测系指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值就进行入侵报警。

异常入侵检测方法的优点是不依赖于攻击特征立足于受检测的目标发现入侵行为，但是如何对检测建立异常指标，如何定义正常模式轮廓降低误报率都是难以解决的课题。

误用入侵检测系指根据已知的攻击特征检测入侵可以直接检测出入侵行为，误用检测方法的优点是误报率低，可以发现已知的攻击行为，但是这种方法检测的效果取决于检测知识库的完备性，为此特征库必须及时更新。

IDS 问题与研究趋势
尽管IDS 系统的研究从80 年代开始，90 年代受到重视，到现在已经得到了长足的发展，也涌现了很多方法，有些方法取得了很好的效果，这种动态主动的保护系统也使得IDS 正成为计算机网络安全的核心研究问题，但从文章的分析中可以看出，IDS 仍然是个年轻的研究领域，随着Internet 技术不断发展，IDS 的各个方面的从理论研究到实际应用中还存在很多的问题和难题有待研究、探索和发展。

具体表现如下：
（1）高速网络下，提高网络IDS 的实时检测效率和降低误警率问题；
（2）IDS 对变形和变异已知攻击的检测和对新的攻击的检测问题；
（3）IDS 体系结构的融合问题，包括基于主机IDS 和基于网络IDS 之间更好的协作问题，以及异常检测和误用检测的联合使用问题等；
（4）未来优化的入侵检测系统应该能够基于事件语义分析，而不是单纯基于事件语法分析的检测；
（5）智能入侵检测技术（神经网络、遗传算法、模糊识别、数据挖掘、免疫系统等）从理论研究到实际应用的问题；
（6）基于大规模的信息采集和网络攻击预警技术的研究问题等。

3入侵防御系统
IPS原理
入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。

绝大多数IDS系统都是被动的，也就是说，在攻击实际发生之前，它们往往无法预先发出警报。

而入侵防护系统(IPS)则倾向于提供主动盼护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。

璐是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将
它传送到内部系统中。

这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。

IPS检测机制
当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。

IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。

如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。

IPS可以做到逐一字节地检查数据包。

所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的口地址、端口号和应用域。

每种过滤器负责分析相对应的数据包。

通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

针对不同的攻击行为，IPS需要不同的过滤器。

每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。

在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析。

以提高过滤准确性。

过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。

并行过滤处理可以确保数据包能够不问断地快速通过系统，不会对速度造成影响。

这种硬件加速技术对于璐具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。

IPS发展趋势
入侵防御系统与传统的防火墙和IDS 相比，确实具有更大的优势，它能够以更细粒度的方式检查网络流量，主动地对安全事件进行响应，防止各个层面的攻击事件的发生。

结合目前安全技术的现状，IPS 可能有以下的一些发展趋势：
（1）采用专门的硬件加速系统。

NIPS 必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。

这种特定的硬件平台通常分为三类：网络处理器、专用的FPGA 可编程芯片、专门的ASIC 芯片。

（2）综合采用多种检测技术。

为了尽可能地减少误报和漏报，IPS 综合采用多种检测技术，包括模式匹配、状态匹配、协议异常、流量异常和统计异常等，取长补短，大大增强其检测能力。

（3）采用冗余的体系架构。

为了避免出现单点故障，IPS采用冗余的体系架构，当出现故障时，冗余设备立刻替代故障设备，继续提供入侵防御功能，增强了IPS 的健壮性。

（4）由入侵防御到入侵管理。

为了更有效地应对未来日益猖獗的大规模网络安全事件，提供主动防御的入侵防御系统还应该向具有良好可视化、可控性、可管理性的入侵管理系统（IMS）发展。