一、概述
1、IPS的定义
入侵防御系统(IPS,intrusion prevention system)在GB/T 25069-2022《信息安全技术 术语》中的定义是:特别设计用来提供主动响应能力的入侵检测系统的变体。所谓入侵检测系统是指用于识别已尝试、正在发生或已经发生的入侵的信息系统。所谓入侵防御是指积极应对以防止入侵的正规过程。所谓入侵是指对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
在GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》中将入侵防御系统(IPS)以其产品做出技术规范,并对网络入侵防御产品的定义是:一般以硬件形式呈现, 采用网桥或网关形式部署在网络通路上,通过浏览器方式实现配置管理;有些产品是以分布式方式部署,通过特定的客户端程序或者集中管理平台进行配置管理。该产品作用于受保护网络边界,是一款具备应用安全防护功能的网络安全产品。
由定义知,入侵防御系统(IPS)是入侵检测系统(IDS)的变体,即兼具IDS的检测功能并具有防御能力,是一种能够实时检测、分析并主动阻断网络流量中恶意行为和安全策略违规行为的硬件或软件系统。它部署在关键网络路径上,对经过的所有数据包进行深度检测,并在线实时执行阻断、告警等动作。下表1-1描述了入侵防御系统(IPS)的核心功能。
表 1-1:入侵防御系统(IPS)的核心功能
2、IPS的产生
入侵防御系统(IPS)的诞生是网络安全需求演进的必然结果,它源于两个核心技术的结合与超越:
一是防火墙的局限。防火墙是网络安全的“守门人”,主要工作在网络层和传输层(如IP、TCP/UDP),基于规则(如IP地址、端口号)执行“允许”或“拒绝”的访问控制策略。但是,对于允许通过的流量(如开放的Web端口80/443)内部携带的攻击内容(如SQL注入、跨站脚本),防火墙无法识别和阻止。
欲详细了解防火墙介绍的请进入。
二是,入侵检测系统(IDS)的不足。入侵检测系统(IDS)是网络安全的“监控摄像头”,部署在旁路,通过深度检测流量内容(应用层)来发现攻击行为。但是,IDS主要功能是检测和报警,响应方式通常仅限于记录日志、发送告警。它无法实时阻断攻击,依赖管理员人工介入,存在响应时间窗口,攻击可能已经得逞。因此可以把IPS看作是IDS的演进,它不仅检测威胁,还能实时阻断恶意流量。
欲详细了解入侵检测系统(IDS)介绍的请进入。
因此,市场呼唤一种既能深度检测应用层威胁,又能实时、主动阻断的设备。IPS应运而生,它本质上是将IDS的检测引擎与防火墙的实时阻断能力结合,并以“串联”方式部署在网络中。同时,可以看出其演进路径:静态防火墙 → 状态检测防火墙 → 入侵检测系统(IDS) → 入侵防御系统(IPS) → 下一代防火墙 / 统一威胁管理。
3、IPS的类型
入侵防御系统(IPS)的主要类型有:
一是,网络入侵防御系统:部署在网络边界或关键网段,保护整个网段。
二是,主机入侵防御系统:安装在单台服务器或终端上,保护主机系统,更侧重于系统调用、文件访问和应用程序行为监控。
三是,无线入侵防御系统:专门监控和保护无线网络。
四是,网络行为分析系统:侧重于分析网络流量模式,发现高级持续性威胁、内部数据泄露等。
二、入侵防御系统(IPS)的工作机理
1、部署模式
入侵防御系统(IPS)采用串联在线部署:这是IPS区别于IDS的关键。IPS像一个“智能闸门”,直接插入到网络流量必经之路上(通常位于防火墙之后,服务器之前)。所有流量必须经过IPS的检查才能通过,从而保证了阻断能力。
2、核心检测技术
入侵防御系统(IPS)的核心检测技术通常有:误用检测技术和异常检测技术。这事实上就是IDS所下绿色的检测技术。误用检测技术类似于杀毒软件,需要一个已知攻击的特征库(如恶意代码片段、漏洞利用的特定字符串)。将监控到的行为与特征库进行比对,若匹配则报警。误用检测的核心是高效、准确地匹配特征。异常检测技术的原理是,建立网络或系统的“正常行为基线”(如正常的流量模式、协议行为、访问频率)。实时监控流量,与基线进行比对。若偏差超过阈值(如半夜来自内部的异常大流量下载),则判定为异常或攻击。异常检测的核心是建立“正常”的数学模型,并量化“偏离”程度。两者的优缺点比较详见下表2-2-1;两者的特征比较详见下表2-2-2。
表 2-2-1:误用检测技术和异常检测技术的各自优缺点
表 2-2-2:误用检测技术和异常检测技术的特征比较
总之,误用检测技术是精准的“狙击手”,依赖专家知识(编写规则)和特征库,其算法核心是优化匹配效率。异常检测技术是警觉的“巡逻兵”,依赖数据驱动和算法模型,其算法核心是定义“正常”并量化“异常”。事实上,在通常往往采用混合检测,即:先用高效的误用检测过滤掉大量已知威胁,再用异常检测模型分析剩余流量,寻找未知威胁。
另外,IPS在上述检测时,同时采用协议状态分析,以深入理解各种网络协议(如HTTP、FTP、SMTP)的状态机逻辑和RFC标准,检查协议交互过程是否合规。例如,检测TCP连接是否遵循“三次握手”,HTTP请求格式是否畸形等。用于防御协议混淆、规避攻击。
3、核心性能指标
入侵防御系统(IPS)的核心指标应包括:检测率/捕获率;误报率;漏报率;防护覆盖范围;零日攻击防护能力;等等。它们的概念详见下表2-3的描述,包括含义、计算公式及其重要性。这些核心指标主要体现于安全检测与防御方面,当然,入侵防御系统(IPS)还应有其它相关性能指标要求。
表 2-3:入侵防御系统(IPS)性能指标的描述
欲详细了解入侵防御系统(IPS)相关性能指标要求的请进入。
4、工作流程
下图2-4描绘了数据包进入入侵防御系统(IPS)的工作流程,包括下述4个阶段(其工作内容详见下表2-4-1的介绍):一是流量接收与规范化(预处理):这是检测前的准备工作,目的是将杂乱的原始流量“翻译”并规范成检测引擎可有效分析的数据流。二是深度检测与分析(核心引擎):规范化的数据流被送入多引擎并行的检测层,这是IPS的“大脑”。三是响应与执行(决策与行动):检测引擎做出判断后,IPS立即执行动作(其响应动作详见下表2-4-2的描述)。四是管理与反馈(后台支撑):是保障IPS持续有效运行的“后台系统”。
图 2-4:IPS的工作流程图
表 2-4-1:IPS的工作流程内容介绍
表 2-4-2:IPS的响应动作描述
通过这个流程,IPS实现了从“被动监听告警(即IDS)”到“主动在线防御(即IPS)”的跨越,成为现代网络安全纵深防御体系中不可或缺的实时阻击层。下表2-4-3给出了关键流程的特点说明。
表 2-4-3:IPS关键工作流程的特点说明
三、入侵防御系统(IPS)的挑战与发展
入侵防御系统(IPS)是入侵检测系统(IDS)的演进,它不仅检测威胁,还能实时阻断恶意流量。然而,入侵防御系统(IPS)同样存在其局限性,下表3-1列出了其优势与挑战。
表 3-1:入侵防御系统(IPS)的优势与局限性
因此,入侵防御系统(IPS)有必要进一步的演进,演进方向包括:与下一代防火墙(NGFW)融合、集成威胁情报、应用人工智能与机器学习、云化与SaaS化、深度可视化与上下文关联、等等,具体详见下表3-2的简介。
表 3-2:入侵防御系统(IPS)的演进
总之,入侵防御系统(IPS)是现代纵深防御体系中承上启下的关键一环。它弥补了防火墙“只防外不防内、不检内容”和IDS“只报警不阻断”的缺陷,是面向已知和高危未知威胁进行主动实时阻击的核心设备。但其部署和运维需要综合考虑性能、准确性和业务连续性,并与其他安全系统协同工作,才能发挥最大效能。
欲更多了解国家标准关于IPS安全技术要求的请进入。
最后特别提示:入侵防御系统(IPS)的产品列入到了国家《网络关键设备和网络安全专用产品目录》,在目录中对IPS的描述是:以网桥或网关形式部署在网络通路上,通过分析网络流量发现具有入侵特征的网络行为,在其传入被保护网络前进行拦截的产品(注:应是指NIPS)。因此,IPS产品应当按照相关国家标准要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,形成了一种销售许可或进网许可的管理机制。
欲详细了解国家《网络关键设备和网络安全专用产品目录》的请进入。
欲进一步了解病毒概念介绍的请进入。
