企业入侵检测系统：破解IPS迷雾

2005年秋，由全球多家系统软件公司进行的一项联合调查表明，超过66%的企业用户认为，“系统渗透”将会成为威胁企业IT安全的首要元凶。调查同时披露了目前发生最多的八项信息安全威胁，包括了：病毒、系统渗透、拒绝服务、内网滥用、欺骗、由于离职人员造成的数据或网络损失、非授权的内部访问。

虽然86%的被调查者使用了防火墙，但大多数情况下这些防火墙无法有效反击入侵行为。因为常见的防火墙主要是用来防御直接的可疑流量—比如在安全策略没有授权的情况下，拒绝访问者telnet到一台保护设备上，或者允许某些数据流通过—如Web服务器通信。

目前的问题是，安全模型在变化: 在越来越多可以穿越防火墙的流量中，夹带着攻击，即面向应用的攻击。大部分防火墙检查的层次主要集中在传输层以下，即使是优秀的防火墙也只能提供一小部分深度检测能力。

当企业服务器接受了这些“糖衣炮弹”后，攻击者就可以此为跳板，向企业内网发送大量的攻击性报文。一旦这些人在服务器上留下“rootkit”、“back door”等后门，那么它就可以在任何时间、任何地点无限制的访问企业整个信息系统。

更要命的是，几乎所有的企业都有过从内部遭受攻击的经历，虽然很多情况下这些“内贼”自己都不知道，毕竟像VPN、无线网络、笔记本电脑，都可以穿过防火墙访问互联网。

当然，有用户使用IDS来监视系统安全，并希望通过与防火墙联动来防范入侵。不过前提是，只有当入侵者使用2800bps的网络速度入侵企业网络的时候，IDS才有足够的反应时间来调度其他安全设施配合！缓慢的时间戳根本无法阻止类似“Slammer”、“Blaster”等高速繁殖带来的灾难。

为了解决以上问题，采用实时在线方式的企业入侵检测系统（IPS）被投入使用。IPS的初衷是针对企业应用进行防御，由于所有流量都要从IPS中通过，保证了设备采取防御的时间。不过带来的问题是，深入包检测让人对于设备的性能有所担忧，特别是当防护选项全都开启的时候，而且IPS一旦出现误报，直接后果肯定比IDS大。

正是由于心存疑虑，导致众多国内用户对IPS迟迟不敢下手。为此，我们联合了国内外众多IPS厂商，同时结合评测实验室的报告，组织了此次IPS的技术专题，主要从国内用户关心的方面入手，为读者呈现一幅清晰的IPS应用脉络。

破解一　诠释IPS“性能

说到性能，目前为止还没有一个简单的量化指标。从国内外大量第三方评测机构的报告分析，吞吐率与延时可以作为简单的参数。但业内人士认为，这必须结合用户的具体需要来看，否则很难讲其意义有多大。

因为不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大，获取性能指标的前提条件有很大不同，如果单独依据厂家提供的DataSheet，对于用户的选择是很难有帮助的。

根据经验，业内众多Hi-End级IPS厂家（笔者借用了音响发烧友的术语），其产品都要支持：HTTP、DNS、FTP、DoS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议（HTTP、FTP、SMTP、POP3）以外的新应用，如MSN等。

国内用户还必须了解，IPS的性能评估数据不能是在“裸奔”或仅打开少量过滤器的前提下取得的，也不能是单纯的测试流量，如单纯的UDP流量或单一的包长度。用户应当结合自身情况判断: 如企业部署了VoIP的应用，那就必须去评价它的时延抖动问题，而且要在语音数据流中混杂一般数据模拟实际情况。

有条件的用户，也可以查阅第三方报告，分析IPS在负载情况下的效能参数，像对随机端口发送的UDP流量、考虑和不考虑处理延时情况下的HTTP最大压力流量等。（《网络世界》报社稍候将会为读者奉上国内最权威的IPS横向评测报告）

目前，一些国内用户已经开始选购前的自行测试。以北京大学与TippingPoint的合作为例，该校信息中心正在结合校内的流量情况进行实地检测。据悉，当前北大校园网骨干流量为800Mbps，而且其中的混合协议流庞大，对于类似应用，通常的做法是采用校内真实流量预测或者用“72%的HTTP + 20%的FTP + 4%的UDP”流量模型评估。

也有专家指出，国内用户不要过度迷信数值，而要分清自身应用的特征。因为很多Hi-End级IPS厂家，可以提供在64/256/350/440/540/1514字节（根据应用与压力不同）条件下，实现250/500/750/1Gbps的线性吞吐与极低延时。但如果用户只有一个100Mbps骨干带宽出口，且近期不会升级网络带宽，就没必要刻意要求1Gbps数据传输时的性能指标。

高性能自然是好事，但这多伴随着高成本。特别是大部分用户在日常应用中，遇到如此五花八门数据包的情况极为少见，普通情况是：对于纯HTTP协议，一般每秒最多100条TCP连接、每秒25位新用户，平均包长1000字节，每秒最多110000个包；对于混合协议，一般是540字节HTTP与256字节UDP，每秒最多550条TCP连接，平均包长900字节，每秒最多130000个包，最多11000条开放连接。

另外，关于IPS自身设计与性能的关系，在此也有必要澄清一下。目前IPS设计主要分为FPGA（现场可编程门阵列）与X86（CPU加交换板）两种架构（包含NP）。其实这两种架构并非彼此独立，在一些Hi-End级IPS产品中，这些芯片都是存在的。

TippingPoint网络技术顾问李臻认为，从芯片本身分析，FPGA这种封装方式具有灵活、可编程的优势，而McAfee安全顾问陈纲更直接称其为一种廉价高效的专业芯片。一些大厂用其对进入数据包进行特征匹配，在这种工作上，FPGA区别于传统X86架构的顺序工作方式，性能是有很大提升的。

不过Juniper大中华区新兴技术经理吴若松表示，并非所有采用FPGA的IPS产品，性能都会优于使用X86架构的产品，或者说用户应该关注，满足充分的安全防御前提下的性能可用。

这就像音响发烧界的一个经典案例：普通立体声音箱采用左右两分频技术，但很多Hi-End级音箱为了获得更加纯净的声音表现，往往会采用多分频技术（三、四分频），但有些Hi-End级厂家，如丹拿音箱，由于自身的设计特点和结构的特殊性，只需要进行两分频就可以获得比其他厂家更加优秀的声音。

所以说，采用FPGA可以带来性能优势，但前提是自身的设计适合FPGA架构；同理，一些采用X86架构的Hi-End级IPS厂家，只要是自身设计独到，同样可以获得优秀的性能。Juniper大中华区新兴技术经理吴若松认为，用户对于产品架构差异与性能之间的关系，确实不用过于敏感，从目前市场情况看，只要是负责任的厂家的产品，都可以满足要求。

破解二　 细看“误报与漏报”

对于“误报”、“漏报”的问题，用户的看法是，由于IPS会对攻击采取行动，因此误报带来的灾难显然要比IDS产品大。不过TippingPoint中国区业务总监贾泉海表示，各大IPS厂商研发的主要精力都在于此，产品的检测精度在2年内已经有了质的提升。

目前，在Hi-End级IPS厂家中流行的检测技术有两个方向：一种是TippingPoint提出的并行处理检测；另一种是McAfee提出的协议重组分析（Radware、Juniper、ISS等主流厂家皆有类似技术 ）。

所谓并行处理检测是指，所有流经IPS的数据包，都要被送入FPGA单元中进行过滤器（逻辑门）匹配。由于常用的过滤器超过2000个，为了提高效率，FPGA采用并行处理的方式，实现在一个时钟周期内，完成对数据包实现所有过滤器遍历。无疑，这样可以极大地提升IPS的处理速度，但必须实现FPGA的并行化。

而协议重组分析是指，所有流经IPS的数据包，首先经过硬件级别的预处理，这个预处理过程主要完成对数据包的重组，以便IPS能够看清楚具体的应用协议。在此基础上，IPS根据不同应用协议的特征与攻击方式，将重组后的包进行筛选，将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选，可疑数据量大大减少，因此可以大幅度减少IPS处理的工作量，同时降低误报率，当然这个预处理的过程将会是重中之重。

McAfee安全顾问陈纲表示，无论采用那种实现方法，获得的效果是类似的。但用户需要关注的是，由于攻击方式的不断增长，过滤器或者特征库会不断增加，因此如果把所有的检测项目都启用，会给IPS性能造成极大挑战，也没有必要。

Juniper技术经理徐洪涛指出，合理的做法是，用户应该根据自己网络的状态，根据系统的寿命，来评估自己日常应用的攻击风险，选择适合自己的检测项目。

对于漏报，TippingPoint网络技术顾问李臻表示目前的主要问题有两点，一是因为过滤器编写粗糙造成的，例如仅仅是简单的根据特征字符串检索，就难以防御变种攻击

二是在某些繁忙时段，大量深度检测造成IPS设备的处理能力濒临极限，易造成系统混乱，形成漏报或误报

另外，对于用户关心较多的防御DoS攻击的问题，当前主流IPS厂家的做法分为两类（以SYN flood为例）：

第一类是采用SYN Proxy（也可以采用SYN Cookie）的方式。在这种方式中，IPS设备中会设置一个SYN Proxy做代理，当外来的TCP SYN需要和企业Web服务器（或者数据库服务器）建立连接的时候，IPS中的SYN Proxy会首先和外来TCP SYN建立连接，同时发送SYN ack帧。如果是真实的外部用户访问，则会回复一个Ack响应帧。当SYN Proxy收到响应后，就会认为三次握手成功，同时把连接中继给企业的Web服务器；但如果是SYN flood攻击的半开连接，由于没有响应回复，就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击，则会存在大量的真实连接，这就要求IPS必须分配给SYN Proxy或SYN Cookie功能模块的处理资源足够多（不可能无限大）。

第二类是采用深度学习方式。首先IPS设备在in line使用前，先作为off line状态进行流量学习。学习的目的是统计分析企业网的正常流量、常见外部访问地址等信息，并将这些信息建立一个散列表。此后将IPS设为正常使用，这样即便遇到大量的僵尸网络攻击，IPS也可以根据日常学习的结果，优先保证常见外部地址的访问，缓解攻击的影响。<