千兆應用入侵防護係統—AIP

一、前言

隨著對網絡安全問題的理解日益深入，入侵檢測技術得到了迅速的發展，應用防護的概念逐漸被人們所接受，並應用到入侵檢測產品中。而在千兆環境中，如何解決應用防護和千兆高速網絡環境中數據包線速處理之間的矛盾，成為網絡安全技術發展一個新的挑戰。

二、入侵檢測技術的演進

入侵檢測係統（IDS,IntrusionDetectionSystem）是近十多年發展起來的新一代安全防範技術，它通過對計算機網絡或係統中的若幹關鍵點收集信息並對其進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象。IDS產品被認為是在防火牆之後的第二道安全防線在攻擊檢測、安全審計和監控等方麵都發揮了重要的作用。

但在入侵檢測產品的使用過程中，暴露出了諸多的問題。特別是誤報、漏報和對攻擊行為缺乏實時響應等問題比較突出，並且嚴重影響了產品發揮實際的作用。Gartner在2003年一份研究報告中稱入侵檢測係統已經“死”了。Gartner認為IDS不能給網絡帶來附加的安全，反而會增加管理員的困擾，建議用戶使用入侵防禦係統（IPS,IntrusionPreventionSystem）來代替IDS。Gartner公司認為隻有在線的或基於主機的攻擊阻止（實時攔截）才是最有效的入侵防禦係統。

從功能上來看，IDS是一種並聯在網絡上的設備，它隻能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般隻能通過發送TCPreset包或聯動防火牆來阻止攻擊。而IPS則是一種主動的、積極的入侵防範、阻止係統，它部署在網絡的進出口處，當它檢測到攻擊企圖後，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。因此，從實用效果上來看，和IDS相比入侵防禦係統IPS向前發展了一步，能夠對網絡起到較好的實時防護作用。

近年來，網絡攻擊的發展趨勢是逐漸轉向高層應用。根據Gartner的分析，目前對網絡的攻擊有70％以上是集中在應用層，並且這一數字呈上升趨勢。應用層的攻擊有可能會造成非常嚴重的後果，比如用戶帳號丟失和公司機密泄漏等。因此，對具體應用的有效保護就顯得越發重要。從檢測方法上看，IPS與IDS都是基於模式匹配、協議分析以及異常流量統計等技術。這些檢測技術的特點是主要針對已知的攻擊類型，進行基於攻擊特征串的匹配。但對於應用層的攻擊，通常是利用特定的應用程序的漏洞，無論是IDS還是IPS都無法通過現有的檢測技術進行防範。

為了解決日益突出的應用層防護問題，繼入侵防禦係統IPS之後，應用入侵防護係統（AIP,ApplicationIntrusionPrevention）逐漸成為一個新的熱點，並且正得到日益廣泛的應用。

三、應用入侵防護

對應用層的防範通常比內網防範難度要更大，因為這些應用要允許外部的訪問。防火牆的訪問控製策略中必須開放應用服務對應的端口，如web的80端口。這樣，黑客通過這些端口發起攻擊時防火牆無法進行識別控製。入侵檢測和入侵防禦係統並不是針對應用協議進行設計，所以同樣無法檢測對相應協議漏洞的攻擊。而應用入侵防護係統則能夠彌補防火牆和入侵檢測係統的不足，對特定應用進行有效保護。

所謂應用入侵防護係統AIP，是用來保護特定應用服務（如web和數據庫等應用）的網絡設備，通常部署在應用服務器之前，通過AIP係統安全策略的控製來防止基於應用協議漏洞和設計缺陷的惡意攻擊。

在對應用層的攻擊中，大部分時通過HTTP協議（80端口）進行。在國外權威機構的一次網絡安全評估過程中發現，97％的web站點存在一定應用協議問題。雖然這些站點通過部署防火牆在網絡層以下進行了很好的防範，但其應用層的漏洞仍可被利用進而受到入侵和攻擊。因此對於web等應用協議，應用入侵防護係統AIP應用比較廣泛。通過製訂合理的安全策略，AIP能夠對以下類型的web攻擊進行有效防範：