獨(dú)家：HIPS和NIPS兩種類型入侵防護(hù)系統(tǒng)對(duì)比

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

摘要：在當(dāng)今復(fù)雜的網(wǎng)絡(luò)環(huán)境中，面對(duì)種種安全威脅，入侵防護(hù)技術(shù)IPS是一種比較好的防護(hù)措施。按照實(shí)現(xiàn)方式，IPS可以分為基于主機(jī)的入侵防護(hù)系統(tǒng)HIPS和基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)NIPS。兩種IPS系統(tǒng)各自具有自己的特點(diǎn)，本文對(duì)其進(jìn)行了對(duì)比分析。安全管理員在選擇防護(hù)系統(tǒng)時(shí)，可以根據(jù)自己的需要，選擇最適合自己的產(chǎn)品。

前言

網(wǎng)絡(luò)安全方面的威脅的數(shù)量和頻率的日益增長，而且隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜，消除這些網(wǎng)絡(luò)安全威脅也越來越困難?，F(xiàn)代網(wǎng)絡(luò)發(fā)展至今，需要發(fā)布重要信息，并且需要為大量的用戶服務(wù)。這些重要服務(wù)，需要通過冗余的通訊線路、無線網(wǎng)絡(luò)、便攜式計(jì)算機(jī)、手持設(shè)備，甚至是可以連接互聯(lián)網(wǎng)的手機(jī)，這些新的訪問技術(shù)和連接方式，大大提升了信息系統(tǒng)的價(jià)值，但同時(shí)也使系統(tǒng)遭受攻擊的概率和方式大大增加了。

IPS（Intrusion Prevention System，入侵防護(hù)系統(tǒng)）被設(shè)計(jì)用于防范信息系統(tǒng)避免遭受非法訪問、攻擊或者崩潰。隨著新一代蠕蟲的出現(xiàn)，軟件和網(wǎng)絡(luò)受到的攻擊現(xiàn)象日益增多，為了應(yīng)對(duì)日益增長的威脅，安全廠商們推出了IPS產(chǎn)品。

本文首先介紹了入侵防護(hù)系統(tǒng)的大體情況，接著對(duì)兩種最常見的IPS體系結(jié)構(gòu)進(jìn)行了分析。

1 IPS(入侵防護(hù)系統(tǒng))概述

1.1 什么是入侵防護(hù)系統(tǒng)

在本文中，我們認(rèn)為入侵防護(hù)系統(tǒng)應(yīng)至少保護(hù)以下幾個(gè)方面的內(nèi)容：

1、機(jī)密性—— 防止保存在計(jì)算機(jī)系統(tǒng)中的信息，遭受非法的瀏覽或復(fù)制。這方面的威脅，主要存在于后門程序、鍵盤監(jiān)控程序等。這些程序可以使未授權(quán)的用戶訪問到機(jī)密的信息。

2、完整性—— 防止保存在計(jì)算機(jī)系統(tǒng)中的信息遭受到非法的修改。這方面的威脅，主要存在于后門程序，網(wǎng)絡(luò)蠕蟲病毒等。這些程序可能會(huì)修改或刪除數(shù)據(jù)。

3、可用性—— 防止計(jì)算機(jī)資源，如計(jì)算機(jī)，網(wǎng)絡(luò)或者是保存在系統(tǒng)或網(wǎng)絡(luò)中的信息，被非法使用。

1.2IPS入侵防護(hù)系統(tǒng)兩種主要實(shí)現(xiàn)方式：

對(duì)于上述列出的主要功能，目前主要有兩種實(shí)現(xiàn)方式：

1、HIP（基于主機(jī)的入侵防護(hù)）—— 軟件系統(tǒng)直接部署在需要防范的目前系統(tǒng)上；

2、NIP（基于網(wǎng)絡(luò)的入侵防護(hù)）—— 軟件或?qū)ｉT的硬件系統(tǒng)，直接接入網(wǎng)段中，保護(hù)同一網(wǎng)段，或下一級(jí)網(wǎng)段的所有系統(tǒng)。

這兩種方式，都不同程度上提供了上述三種功能，各有其優(yōu)點(diǎn)和缺點(diǎn)，在防范特定類型的威脅時(shí)，各有其特點(diǎn)。

根據(jù)兩種不同的實(shí)現(xiàn)方式，IPS也主要分為了兩種：HIPS（基于主機(jī)的入侵防護(hù)系統(tǒng)）和NIPS（基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)）。由于網(wǎng)絡(luò)入侵威脅的動(dòng)態(tài)特性，在進(jìn)行網(wǎng)絡(luò)部署時(shí)，綜合考慮兩種類型的IPS，將會(huì)提供更好的防護(hù)。

2 HIPS基于主機(jī)的入侵防護(hù)系統(tǒng)

2.1 HIPS介紹

HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。

HIPS軟件駐留在特定的系統(tǒng)上（如服務(wù)器、工作站或筆記本），對(duì)所有流入或流出的通訊流進(jìn)行檢測，應(yīng)用程序和操作系統(tǒng)的操作也均會(huì)被檢查，以確定是否輸入攻擊行為。這些針對(duì)主機(jī)系統(tǒng)的程序或代理，只能保護(hù)主機(jī)的操作系統(tǒng)或者試運(yùn)行在主機(jī)上的應(yīng)用程序（如Web服務(wù)器）。當(dāng)檢測到攻擊行為時(shí)，HIPS要么在網(wǎng)絡(luò)層直接阻止攻擊數(shù)據(jù)包，要么通知操作系統(tǒng)或應(yīng)用程序來阻止這些攻擊行為。比如，緩存溢出攻擊，可以通過禁止惡意程序插入地址空間的方式被檢測到。試圖利用應(yīng)用程序（如IE）安裝后門程序的攻擊行為，可以通過中途阻止和拒絕IE進(jìn)行“寫文件”操作的方式被阻止。

HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。

Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品。

2.2 HIPS的優(yōu)點(diǎn)

1、軟件直接安裝在目標(biāo)系統(tǒng)上，不但防護(hù)攻擊行為，而且還能夠防護(hù)攻擊結(jié)果引起的攻擊行為，比如阻止程序?qū)懳募?，阻止用戶?quán)限提升等；

2、防止移動(dòng)系統(tǒng)在離開帶防護(hù)功能的網(wǎng)絡(luò)時(shí)，受到攻擊。病毒侵入帶防護(hù)功能的一個(gè)主要原因，就是利用移動(dòng)系統(tǒng)作為跳板。而在移動(dòng)的設(shè)備中安裝一個(gè)NIPS，顯然不太合適。

3、防范本地攻擊。本地攻擊，通常通過物理訪問某個(gè)系統(tǒng)，通過CD、FD執(zhí)行惡意程序，以發(fā)起本地攻擊。這些攻擊通常都集中在提升用戶權(quán)限，進(jìn)而危害網(wǎng)絡(luò)上的其它系統(tǒng)。

4、提供最后基本的防護(hù)。

5、防范同網(wǎng)段的局域網(wǎng)攻擊或者誤操作造成的損害。NIPS只防范跨網(wǎng)段之間的數(shù)據(jù)移動(dòng)，同網(wǎng)段內(nèi)部的攻擊，只能由HIPS來處理。

6、防范加密攻擊。加密數(shù)據(jù)在主機(jī)系統(tǒng)解密后，HIPS會(huì)進(jìn)行數(shù)據(jù)和操作行為的檢查。

7、獨(dú)立的網(wǎng)絡(luò)結(jié)構(gòu)?？梢詫?duì)特定的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行防范，如Token Ring，F(xiàn)DDI等。