賈 雷

（延安職業(yè)技術(shù)學(xué)院 陜西 716000）

0 引言

先進的有針對性的攻擊逐漸興起, 在攻擊過程中融合社會工程學(xué)、零時差攻擊、僵尸網(wǎng)絡(luò)、AET（高級規(guī)避攻擊技術(shù)）等多種技術(shù)手段。傳統(tǒng)入侵防御采用的是基于已知漏洞簽名的深度包檢測技術(shù)，對于新型高級攻擊的防護無能為力。網(wǎng)絡(luò)入侵防御需要增加先進的威脅檢測和攔截能力，下一代網(wǎng)絡(luò)入侵防御應(yīng)運而生。

1 下一代網(wǎng)絡(luò)入侵防御概述

入侵防御系統(tǒng)（IPS）的概念是在2002年由某個國際網(wǎng)絡(luò)安全組織提出的，IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)。對于七層網(wǎng)絡(luò)模型，IPS能夠提供從網(wǎng)絡(luò)層到應(yīng)用層的細粒度深層防御。通常部署在網(wǎng)絡(luò)的進出口處，對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)進行實時的深度檢測，當檢測到攻擊后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。傳統(tǒng)IPS的應(yīng)用提高了網(wǎng)絡(luò)防護的智能性和主動性。

目前，傳統(tǒng)的網(wǎng)絡(luò)安全模型正面臨著風險。有針對性的威脅日益復(fù)雜，發(fā)展方向是有針對性的將惡意程序安裝到用戶電腦，它采用先進的技術(shù)如AET躲避檢測，通過僵尸網(wǎng)絡(luò)實施多級攻擊[1]。有數(shù)據(jù)表明，有針對性的攻擊正在不斷的擴大范圍，重點推出針對行業(yè)和企業(yè)的攻擊，在遠端操控隱蔽行動。例如，從一個單一的命令和控制服務(wù)器的數(shù)據(jù)顯示，一個攻擊組織成功破解32個行業(yè)的70家公司。

Gartner在2011年10月發(fā)布了《定義下一代網(wǎng)絡(luò)入侵防御》的報告，報告指出網(wǎng)絡(luò)IPS需要進一步發(fā)展，以應(yīng)對網(wǎng)絡(luò)通信、應(yīng)用程序和安全態(tài)勢的變化。并提出了下一代網(wǎng)絡(luò)入侵防御系統(tǒng)（Next-Generation Network Intrusion Prevention System，即NGIPS）的概念。Gartner 認為網(wǎng)絡(luò)入侵防御實現(xiàn)了不同信任級別的網(wǎng)絡(luò)間的實時安全檢測的聯(lián)機控制功能。使用NGIPS術(shù)語用來表示網(wǎng)絡(luò)入侵防御系統(tǒng)必須要演變，才能應(yīng)對業(yè)務(wù)流程使用IT的方式和攻擊試圖破壞業(yè)務(wù)系統(tǒng)的方式的轉(zhuǎn)變。

2 下一代網(wǎng)絡(luò)入侵防御的功能

Gartner認為，在原有的第一代IPS功能基礎(chǔ)上，下一代網(wǎng)絡(luò)IPS至少還應(yīng)具備應(yīng)用感知和全?？梢暋h(huán)境感知、內(nèi)容感知、敏捷引擎等4大功能[1]。

（1）標準第一代IPS功能。

下一代網(wǎng)絡(luò)IPS是在傳統(tǒng)IPS基礎(chǔ)上發(fā)展起來的，因此，下一代網(wǎng)絡(luò)IPS的首要功能特征是支持面向漏洞簽名和威脅的簽名機制，能夠成功檢測并阻擋已知漏洞的攻擊，并且快速研發(fā)及發(fā)布新的特征碼。

（2）應(yīng)用感知和全?？梢?。

能識別應(yīng)用程序，執(zhí)行應(yīng)用層的安全策略，不僅限于基于端口、協(xié)議、服務(wù)的策略配置。在識別惡意應(yīng)用程序的基礎(chǔ)上阻止攻擊。

下一代網(wǎng)絡(luò)IPS需要知道在網(wǎng)絡(luò)上有哪些應(yīng)用程序在使用，使用的帶寬是多少，在不同的位置有哪些風險和威脅與應(yīng)用程序相關(guān)聯(lián)。只有通過了解應(yīng)用程序的使用要求和智能實施細粒度的控制，圍繞獲批準的通信和文件傳輸機制，減輕通過變化端口應(yīng)用交付的風險。

（3）環(huán)境感知。

通過上下文信息關(guān)聯(lián)改善安全規(guī)則的制定。環(huán)境感知能夠提供綜合的網(wǎng)絡(luò)安全相關(guān)信息，如發(fā)動攻擊的IP地址，IP地址的信譽等級、本身被攻擊的應(yīng)用程序弱點等。有助于IPS引擎更快速更準確的做出決策，還可減少誤報。許多攻擊來自于從惡意網(wǎng)站下載一個完全不起眼的軟件如PDF文件，位圖，微軟Office文檔，或Java存檔文件。如果沒有潛在的威脅，系統(tǒng)漏洞，用戶行為，以及許多其他的上下文信息，網(wǎng)絡(luò)IPS設(shè)備幾乎沒辦法檢測復(fù)雜的多方位攻擊[2]。如果IPS系統(tǒng)具有實時文件信譽、站點IP地址信譽或它的地理位置等信息，及時阻斷率會明顯提升。如果IPS系統(tǒng)還具有系統(tǒng)信息，如連接的屬性，客戶端系統(tǒng)漏洞，或正常的系統(tǒng)行為模式，及時阻斷率則會進一步上升。該功能也可以掃描自身網(wǎng)絡(luò)中主機所開啟的服務(wù)，透過這些服務(wù)，下一代網(wǎng)絡(luò)IPS能動態(tài)調(diào)整需要開啟的防御規(guī)則，提升系統(tǒng)防護能力。

（4）內(nèi)容感知。

能夠辨識出內(nèi)嵌于各種內(nèi)容中的安全威脅，即能夠?qū)θ胝镜陌?、文件和可?zhí)行文件進行檢查和分類,如PDF和Office文件以及出站通信，并可實時做出通過、隔離及丟棄等決定。

（5）敏捷引擎。

支持通過更新來獲得防御新威脅所需的信息及技術(shù)。IT環(huán)境是高度動態(tài)的，隨著網(wǎng)絡(luò)攻擊不斷升級，網(wǎng)絡(luò)安全防御要不斷跟進。下一代網(wǎng)絡(luò)IPS還要滿足私有和公有云架構(gòu)的需求，保護浮動虛擬基礎(chǔ)設(shè)施。

為了應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)流量，除了參考Gartner的定義外，部分IPS廠商還將僵尸網(wǎng)絡(luò)、APT攻擊的防護和虛擬化等新功能加入到下一代IPS產(chǎn)品中。

3 其它網(wǎng)絡(luò)安全產(chǎn)品

隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問題也受到越來越多的關(guān)注，除下一代網(wǎng)絡(luò)IPS外，各廠商還推出了一系列網(wǎng)絡(luò)安全產(chǎn)品，如數(shù)據(jù)丟失防護設(shè)備、統(tǒng)一威脅管理設(shè)備、web安全網(wǎng)關(guān)、下一代防火墻等。這些產(chǎn)品功能和采用的技術(shù)與下一代網(wǎng)絡(luò)IPS類似，但他們都不是下一代網(wǎng)絡(luò)IPS。

（1）傳統(tǒng)IPS

從Gartner定義可以知道，下一代網(wǎng)絡(luò)IPS除了具備傳統(tǒng)IPS功能外，還增加了其它新功能。例如，下一代網(wǎng)絡(luò)IPS具有應(yīng)用感知功能，與第一代IPS相比，可辨識的流量類型更廣，對應(yīng)用程序存取的控管程度更深；傳統(tǒng)IPS防御規(guī)則調(diào)整周期較長，而下一代網(wǎng)絡(luò)IPS具有環(huán)境感知功能，可以自動調(diào)整防御規(guī)則。二者最大的差異在于應(yīng)用層識別能力，如圖1所示。在攻擊事件發(fā)生后，下一代網(wǎng)絡(luò)IPS能夠提供封包來源、IP地址、信譽及其所存取的應(yīng)用程序等信息，而傳統(tǒng)的IPS，只提供攻擊的來源和目的IP地址，詳細信息需通過其它類型設(shè)備分析得到。

圖1 第一代和下一代網(wǎng)絡(luò)IPS 區(qū)別

（2）基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防護設(shè)備

基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防護設(shè)備工作原理是通過監(jiān)測、記錄或限制局域網(wǎng)中未加密文檔的方式，來實現(xiàn)數(shù)據(jù)丟失防護。常見的產(chǎn)品可以分為兩類，一類是針對網(wǎng)絡(luò)或郵件服務(wù)器進行檢測；另一類通過事先分析機密文件的特征，決定機密文件是否可以通過網(wǎng)絡(luò)傳送。大多數(shù)數(shù)據(jù)丟失防護設(shè)備采用網(wǎng)絡(luò)流量的深層數(shù)據(jù)包檢測技術(shù)，重點檢測先前確定的通過檢查點的數(shù)據(jù)類型。數(shù)據(jù)丟失防護設(shè)備的實施策略是保證數(shù)據(jù)的安全性，和下一代網(wǎng)絡(luò)IPS的主要區(qū)別在于沒有實時性的要求，不能強制執(zhí)行線速網(wǎng)絡(luò)安全策略。

（3）統(tǒng)一威脅管理設(shè)備

基于傳統(tǒng)網(wǎng)絡(luò)防火墻架構(gòu)的統(tǒng)一威脅管理設(shè)備適用于中小型企業(yè)，具有包含第一代防火墻和IPS在內(nèi)的多種安全功能，除了入侵防御之外，還可依據(jù)用戶需求提供防病毒、VPN等網(wǎng)關(guān)級安全應(yīng)用，但是它不具備應(yīng)用感知、環(huán)境感知、內(nèi)容感知、敏捷引擎等先進功能，一般情況下不能集成引擎，是單引擎產(chǎn)品。它只是把多種安全引擎疊加在了一起，這會使數(shù)據(jù)流在每個安全引擎分別執(zhí)行解碼、狀態(tài)復(fù)原等操作，導(dǎo)致大量的資源消耗。

（4）Web安全網(wǎng)關(guān)

Web安全網(wǎng)關(guān)是基于Web內(nèi)容檢測與安全控制的應(yīng)用層安全設(shè)備。其主要功能包括防病毒、URL過濾、Internet應(yīng)用控制和帶寬管理等。它重點關(guān)注通過HTTP瀏覽互聯(lián)網(wǎng)時出站的用戶訪問控制和入站的惡意軟件防護，主要是通過集成的URL過濾和Web防病毒軟件，以及基于非簽名的惡意軟件檢測技術(shù)來實現(xiàn)。它可以針對用戶的Web交互進行優(yōu)化，但只支持部分協(xié)議下的IPS功能。

（5）下一代防火墻

下一代防火墻是基于深度封包檢測技術(shù)的線速綜合網(wǎng)絡(luò)平臺，可以實現(xiàn)正在訪問和處理的數(shù)據(jù)內(nèi)容的可視化[3]。下一代防火墻將集成下一代網(wǎng)絡(luò)IPS，與統(tǒng)一威脅管理設(shè)備簡單疊加不同，網(wǎng)絡(luò)IPS功能將無縫的融合到下一代防火墻產(chǎn)品中，但目前，只是集成了第一代IPS功能。下一代防火墻作為網(wǎng)關(guān)部署在網(wǎng)絡(luò)中，一旦出現(xiàn)問題，會造成整個網(wǎng)絡(luò)的中斷，而下一代網(wǎng)絡(luò)IPS具有多種可靠性設(shè)計，可以保證業(yè)務(wù)的暢通。因此，在嚴重的網(wǎng)絡(luò)入侵情況下，下一代網(wǎng)絡(luò)IPS的穩(wěn)定性和可靠性要優(yōu)于下一代防火墻設(shè)備。McAfee網(wǎng)絡(luò)安全副總裁Greg brown表示“下一代網(wǎng)絡(luò)IPS在未來將更有潛力，尤其面對有針對性的攻擊。短期內(nèi)下一代防火墻并不會被下一代網(wǎng)絡(luò)IPS所取代，會出現(xiàn)二者共存的態(tài)勢，但下一代網(wǎng)絡(luò)IPS更能代表網(wǎng)絡(luò)安全架構(gòu)的演進趨勢[1]。”

4 關(guān)鍵技術(shù)

自從Gartner在報告中指出IPS需要進化，國內(nèi)外網(wǎng)絡(luò)安全廠商便開始關(guān)注下一代網(wǎng)絡(luò)IPS產(chǎn)品的研發(fā)，國外產(chǎn)品如McAfee的M系列，Sourcefire的3D系列,HP Tipping point的S系列，國內(nèi)主要有威播科技的EX系列，啟明星辰的天清系列，綠盟科技NIPS等設(shè)備。這些產(chǎn)品都是圍繞下一代網(wǎng)絡(luò)入侵防御定義開發(fā)的，在Gartner定義的產(chǎn)品特性基礎(chǔ)上，各廠商也根據(jù)自己的技術(shù)優(yōu)勢詮釋著對下一代網(wǎng)絡(luò)IPS的理解。

4.1 惡意程序的阻擋

在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下，攻擊手法仍以僵尸網(wǎng)絡(luò)和APT攻擊為主，Gartner研究指出，在2013年之前，僵尸網(wǎng)絡(luò)仍將持續(xù)主宰網(wǎng)絡(luò)攻擊。下一代網(wǎng)絡(luò)IPS加入了針對僵尸網(wǎng)絡(luò)和APT攻擊的防護功能。

為了阻擋僵尸網(wǎng)絡(luò)攻擊，大多數(shù)下一代網(wǎng)絡(luò)IPS產(chǎn)品透過自家數(shù)據(jù)庫中的IP信譽服務(wù)等特征文件，辨識并阻擋流量[4]。如威播科技的EX系列，利用云端惡意程序分析技術(shù)，收集各式惡意程序，并用靜態(tài)及沙箱的動態(tài)分析，來取得命令及控制服務(wù)器端的IP地址、網(wǎng)域名稱及溝通協(xié)議制作特征文件，透過封包的聯(lián)機、內(nèi)容等特征來判定是否為命令及控制服務(wù)器活動，如果判定結(jié)果為是系統(tǒng)會記錄及阻擋聯(lián)機[5]。有效偵測的關(guān)鍵是對比數(shù)據(jù)庫要具有一定的規(guī)模，威播科技特別加入臺灣區(qū)僵尸網(wǎng)絡(luò)數(shù)據(jù)庫，徹底杜絕僵尸網(wǎng)絡(luò)的攻擊。

在APT防護方面，Sourcefire是透過特征比對的方式。它提供了一個APT防護模塊，能夠防護網(wǎng)絡(luò)端未知型態(tài)的攻擊[6]。Sourcefire的3D系列能夠偵測封包中的檔案，當檔案經(jīng)過設(shè)備時，IPS會取得檔案特有的算法值，如果檔案被竄改，該數(shù)值就會有變化。再將該數(shù)值與廠商提供的算法值數(shù)據(jù)庫比對，來確認該檔案是否為惡意文件。

4.2 應(yīng)用程序的識別與管控

除有效防護惡意程序外，對網(wǎng)絡(luò)應(yīng)用程序的識別和管控成為下一代網(wǎng)絡(luò)IPS的另一關(guān)鍵功能。威播科技的EX系列可以自動辨識1800種以上網(wǎng)絡(luò)應(yīng)用軟件，針對各種難以辨識的應(yīng)用程序，采用應(yīng)用層深層穿透辨識技術(shù)，提高辨識準確度，同時提供網(wǎng)絡(luò)使用的可視化監(jiān)視和管理，可針對特殊的主機、應(yīng)用程序類別及主機網(wǎng)段，進行強大的網(wǎng)絡(luò)流量控管，協(xié)助網(wǎng)管人員有效管理網(wǎng)絡(luò)資源使用狀況?；萜盏腘X平臺提供包括應(yīng)用數(shù)字疫苗、Web應(yīng)用數(shù)字疫苗與顧客開發(fā)防護過濾器等檢測機制，來達到應(yīng)用感知與控制要求[7]。

4.3 環(huán)境感知功能的實現(xiàn)

環(huán)境感知功能一般透過掃描封包，取得網(wǎng)絡(luò)環(huán)境中的設(shè)備及軟件等詳細信息。以McAfee和Sourcefire為例，McAfee網(wǎng)絡(luò)安全平臺需要搭配專屬硬件，透過聯(lián)動取得網(wǎng)絡(luò)內(nèi)外的詳細數(shù)據(jù)。而Sourcefire無需使用外接設(shè)備，利用被動式探索技術(shù)[6]，分析經(jīng)過IPS的封包，得到網(wǎng)絡(luò)設(shè)備、實體和虛擬主機、應(yīng)用程序等信息。

4.4 內(nèi)容感知功能的實現(xiàn)

越來越多的黑客使用有針對性的客戶端攻擊，訪問重要的企業(yè)資料。下一代安全解決方案需要能夠檢測到惡意的內(nèi)容。McAfee網(wǎng)絡(luò)安全平臺采用基于特征的標準內(nèi)容檢測和基于信譽的主動內(nèi)容檢測技術(shù)識別惡意內(nèi)容，可自動檢測異常的協(xié)議和文件[2]。它的檢測能力包括PDF文件，F(xiàn)lash以XLS文件，最重要的是，可以檢測到隱藏的惡意軟件通過包裝在內(nèi)容里的shell代碼，這是有針對性的攻擊檢測的關(guān)鍵能力。它可以識別JavaScript的shell代碼，一旦shell代碼被檢測到，管理員可提取有效載荷并編寫自定義簽名，以阻止未來的攻擊在網(wǎng)絡(luò)內(nèi)傳播。

4.5 軟件更新

在敏捷引擎方面，下一代網(wǎng)絡(luò)IPS透過軟件更新，獲得最新的惡意攻擊信息和技術(shù)。各廠商對該功能的實現(xiàn)方法不同。McAfee是將特征碼、行為式啟發(fā)偵測、信譽服務(wù)等功能，整合進IPS引擎，讓設(shè)備擁有多種威脅情報；而HP的敏捷式引擎，則是將軟件與硬件模塊化，當面對新型威脅開發(fā)功能模塊時，該模塊不會影響到現(xiàn)有的軟件架構(gòu)，在硬件方面，則能讓客戶依照自己的需求，根據(jù)需求增添模塊化硬件。

4.6 虛擬化技術(shù)

隨著虛擬化技術(shù)的不斷發(fā)展，不少企業(yè)將實體主機虛擬化，整并到一臺虛擬主機上管理。因此，需使用虛擬網(wǎng)絡(luò)設(shè)備控管網(wǎng)絡(luò)流量。下一代網(wǎng)絡(luò)IPS目前采用2種方式過濾流量，一種是透過硬件IPS掃描或阻擋，典型產(chǎn)品如HP、McAfee和威播科技的IPS產(chǎn)品；另一種則是將IPS虛擬化，在虛擬IPS上處理虛擬層的流量。如Sourcefire產(chǎn)品，只需將其提供的3D感應(yīng)器部署在虛擬主機環(huán)境中，并透過虛擬交換器指定流量到虛擬IPS，就能夠掃描封包。這種方式架構(gòu)簡單，不會影響IPS效能。

5 發(fā)展前景

傳統(tǒng)IPS攻擊檢測方法大多依賴于二進制的決策邏輯：“如果安全則通過”和“如果惡意則阻斷”。其它所有活動則發(fā)出警報，由安全分析人員進行詳細調(diào)查。下一代網(wǎng)絡(luò)IPS的目標應(yīng)該是足夠的自動分析和評估能力，加快惡意事件的調(diào)查。

比如，檢測一個PDF下載，當今的網(wǎng)絡(luò)入侵防御設(shè)備，可以提醒甚至阻止可疑的事件。但如果這次活動僅僅是一個更廣泛的攻擊的一部分，全面分析應(yīng)該涉及一些額外問題的提出和回答[2]：發(fā)起下載的用戶是誰？是瀏覽網(wǎng)頁，網(wǎng)絡(luò)釣魚郵件，還是USB設(shè)備連接下載導(dǎo)致了事件的發(fā)生？網(wǎng)站、IP地址，位置，信譽等哪些信息可以提供？哪些事件與這個活動有關(guān)，垃圾郵件，僵尸網(wǎng)絡(luò)，文件傳輸？同時還要對整個網(wǎng)絡(luò)威脅評估，包括：系統(tǒng)層次有哪些風險？哪些系統(tǒng)可能會受到影響？那些數(shù)據(jù)面臨風險等。McAfee認為，未來的下一代入侵防御必須接近人工智能的自動化水平，解決上述這些問題。

目前大多數(shù)企業(yè)保護IT環(huán)境免受惡意滲透，監(jiān)視和數(shù)據(jù)竊取的入侵檢測和預(yù)防系統(tǒng)，遠遠落后最新的攻擊方法。Gartner認為，到2014年底，20%網(wǎng)絡(luò)IPS裝置和40%的新的下一代防火墻的采購將包括下一代網(wǎng)絡(luò)IPS功能。隨著云計算和虛擬化技術(shù)的不斷普及，下一代網(wǎng)絡(luò)入侵防御具有巨大的潛在市場。

[1] John Pescatore,Greg Young.Defining Next-Gene-ration Network Instusion Prevention[R].Stamford:Gartner Group,2011.

[2] McAfee.下一代網(wǎng)絡(luò)入侵防御系統(tǒng)白皮書,2012.

[3] 岑義濤.下一代防火墻：未來新起點[N].網(wǎng)絡(luò)世界,2013-03-04(033).

[4] 陳思翰.次世代IPS不可或缺的5大重要功能[EB/OL].http://www.ithome.com.tw/itadm/article.php?c=79292&s=1, 2013-03-19.

[5]威播,EX系列產(chǎn)品白皮書，http://www.broadweb. com.tw/index.php?option=com_content&view=article&id=88&Itemid=97.

[6] http://www.sourcefire.com/security-technologies.

[7] 惠普憑借新一代入侵防御系統(tǒng)保護企業(yè)安全[EB/OL].http://www.enet.com.cn/article/2012/0912/A20120912161816.shtml,2012-09-12.