IPS聯(lián)動(dòng)協(xié)議研究與實(shí)現(xiàn).pdf

1、在網(wǎng)絡(luò)安全狀況日益復(fù)雜的今天，安全技術(shù)不僅要能夠快速、精確地檢測出已知的攻擊，還需要具備發(fā)現(xiàn)未知攻擊的能力，此外及時(shí)、準(zhǔn)確的響應(yīng)能力也必不可少。由此人們提出IPS的概念來取代IDS，但單一的安全手段已不能滿足需要，各種安全技術(shù)間的聯(lián)動(dòng)才是正確的解決方案。 已有的安全技術(shù)各有各的缺點(diǎn)，主要表現(xiàn)在：防火墻只能預(yù)防外部攻擊，卻不能很好地抵御從內(nèi)部發(fā)起的攻擊，而且防火墻能抵御的攻擊種類有限；入侵檢測系統(tǒng)從本質(zhì)上講是一種事后檢測的技術(shù)，它

2、只能檢測出已知的攻擊，卻無法識別未知攻擊，且具有誤報(bào)率和漏報(bào)率高的缺點(diǎn)；蜜罐（網(wǎng)）本身并沒有很好的檢測手段，它只能被動(dòng)地吸引攻擊，攻擊者有可能察覺并加以利用，這就存在一種數(shù)據(jù)訪問授權(quán)與訪問控制的權(quán)衡問題。 本文在分析了這些單一安全技術(shù)的缺點(diǎn)之后，羅列了一些針對它們的攻擊手段，主要有分片攻擊、木馬與后門攻擊、DDoS、僵尸網(wǎng)絡(luò)等，而這些攻擊正是當(dāng)前的幾大主要網(wǎng)絡(luò)安全事件。雖然當(dāng)前單一安全技術(shù)的發(fā)展已經(jīng)能夠解決某些問題，但更多的卻需

3、要各種安全技術(shù)間的聯(lián)動(dòng)才能有效解決，由此引出了IPS的概念。本文中的IPS是由防火墻、IDS和蜜罐（網(wǎng)）組成的有機(jī)體系，它將取長補(bǔ)短，充分發(fā)揮各種技術(shù)的聯(lián)動(dòng)作用。 為了實(shí)現(xiàn)多種安全技術(shù)間的聯(lián)動(dòng)，通用的通信協(xié)議必不可少。一個(gè)完整的通信協(xié)議主要包括以下幾個(gè)方面：通信對象的選擇與表征、通信的可靠傳輸、通信安全。目前業(yè)界已經(jīng)提出了一些通用的通信協(xié)議，這以CIDF為代表。本文在介紹了CIDF的體系結(jié)構(gòu)之后，就其存在的一些缺點(diǎn)或不足之處作了

4、討論和分析，在此基礎(chǔ)上提出了IPS內(nèi)部和IPS間聯(lián)動(dòng)的通用通信協(xié)議解決方案。 與以往的通用通信協(xié)議不同，本文采取了層次化的通信結(jié)構(gòu)模型，以實(shí)現(xiàn)全球范圍內(nèi)安全技術(shù)的聯(lián)動(dòng)。它把整個(gè)通信過程分為IPS內(nèi)部通信與IPS間聯(lián)動(dòng)兩個(gè)層次。其中IPS內(nèi)部通信是基于GIDO對象的，而IPS間的通信則是面向規(guī)則的。前者提供了微觀意義上的協(xié)作，后者則著眼于宏觀意義上的協(xié)作；前者關(guān)注通信的速度與帶寬需求，而后者則注重通信對象的可靠性與安全性。