隨著對(duì)網(wǎng)絡(luò)安全問題的理解日益深入，入侵檢測(cè)技術(shù)得到了迅速的發(fā)展，應(yīng)用防護(hù)的概念逐漸被人們所接受，并應(yīng)用到入侵檢測(cè)產(chǎn)品中。而在千兆環(huán)境中，如何解決應(yīng)用防護(hù)和千兆高速網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)包線速處理之間的矛盾，成為網(wǎng)絡(luò)安全技術(shù)發(fā)展一個(gè)新的挑戰(zhàn)。
入侵檢測(cè)技術(shù)的演進(jìn)
入侵檢測(cè)系統(tǒng)(IDS，　Intrusion Detection System)是近十多年發(fā)展起來的新一代安全防范技術(shù)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。IDS產(chǎn)品被認(rèn)為是在防火墻之后的第二道安全防線在攻擊檢測(cè)、安全審計(jì)和監(jiān)控等方面都發(fā)揮了重要的作用。
但在入侵檢測(cè)產(chǎn)品的使用過程中，暴露出了諸多的問題。特別是誤報(bào)、漏報(bào)和對(duì)攻擊行為缺乏實(shí)時(shí)響應(yīng)等問題比較突出，并且嚴(yán)重影響了產(chǎn)品發(fā)揮實(shí)際的作用。Gartner在2003年一份研究報(bào)告中稱入侵檢測(cè)系統(tǒng)已經(jīng)“死”了。Gartner認(rèn)為IDS不能給網(wǎng)絡(luò)帶來附加的安全，反而會(huì)增加管理員的困擾，建議用戶使用入侵防御系統(tǒng)(IPS，Intrusion Prevention System)來代替IDS。Gartner公司認(rèn)為只有在線的或基于主機(jī)的攻擊阻止(實(shí)時(shí)攔截)才是最有效的入侵防御系統(tǒng)。
從功能上來看，IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送TCP reset包或聯(lián)動(dòng)防火墻來阻止攻擊。而IPS則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。因此，從實(shí)用效果上來看，和IDS相比入侵防御系統(tǒng)IPS向前發(fā)展了一步，能夠?qū)W(wǎng)絡(luò)起到較好的實(shí)時(shí)防護(hù)作用。
近年來，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用。根據(jù)Gartner的分析，目前對(duì)網(wǎng)絡(luò)的攻擊有70%以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶帳號(hào)丟失和公司機(jī)密泄漏等。因此，對(duì)具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。從檢測(cè)方法上看，IPS與IDS都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。這些檢測(cè)技術(shù)的特點(diǎn)是主要針對(duì)已知的攻擊類型，進(jìn)行基于攻擊特征串的匹配。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無論是IDS還是IPS都無法通過現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。
為了解決日益突出的應(yīng)用層防護(hù)問題，繼入侵防御系統(tǒng)IPS之后，應(yīng)用入侵防護(hù)系統(tǒng)(AIP，Application Intrusion Prevention)逐漸成為一個(gè)新的熱點(diǎn)，并且正得到日益廣泛的應(yīng)用。
應(yīng)用入侵防護(hù)
對(duì)應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因?yàn)檫@些應(yīng)用要允許外部的訪問。防火墻的訪問控制策略中必須開放應(yīng)用服務(wù)對(duì)應(yīng)的端口，如web的80端口。這樣，黑客通過這些端口發(fā)起攻擊時(shí)防火墻無法進(jìn)行識(shí)別控制。入侵檢測(cè)和入侵防御系統(tǒng)并不是針對(duì)應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)，所以同樣無法檢測(cè)對(duì)相應(yīng)協(xié)議漏洞的攻擊。而應(yīng)用入侵防護(hù)系統(tǒng)則能夠彌補(bǔ)防火墻和入侵檢測(cè)系統(tǒng)的不足，對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。
所謂應(yīng)用入侵防護(hù)系統(tǒng)AIP，是用來保護(hù)特定應(yīng)用服務(wù)(如web和數(shù)據(jù)庫等應(yīng)用)的網(wǎng)絡(luò)設(shè)備，通常部署在應(yīng)用服務(wù)器之前，通過AIP系統(tǒng)安全策略的控制來防止基于應(yīng)用協(xié)議漏洞和設(shè)計(jì)缺陷的惡意攻擊。
在對(duì)應(yīng)用層的攻擊中，大部分時(shí)通過HTTP協(xié)議(80端口)進(jìn)行。在國外權(quán)威機(jī)構(gòu)的一次網(wǎng)絡(luò)安全評(píng)估過程中發(fā)現(xiàn)，97%的web站點(diǎn)存在一定應(yīng)用協(xié)議問題。雖然這些站點(diǎn)通過部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。因此對(duì)于web等應(yīng)用協(xié)議，應(yīng)用入侵防護(hù)系統(tǒng)AIP應(yīng)用比較廣泛。通過制訂合理的安全策略，AIP能夠?qū)σ韵骂愋偷膚eb攻擊進(jìn)行有效防范：
惡意腳本
Cookie投毒
隱藏域修改
緩存溢出
參數(shù)篡改
強(qiáng)制瀏覽
Sql插入
已知漏洞攻擊
應(yīng)用入侵防護(hù)技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。Yankee Group預(yù)測(cè)在未來的五年里，　AIP將和防火墻，入侵檢測(cè)和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體解決方案的一個(gè)重要組成部分。
千兆解決方案
應(yīng)用入侵防護(hù)產(chǎn)品在保護(hù)企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時(shí)隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿足大型網(wǎng)絡(luò)的需要。
傳統(tǒng)的軟件形式的應(yīng)用入侵防護(hù)產(chǎn)品受性能的限制，只能應(yīng)用在中小型網(wǎng)絡(luò)中；基于x86架構(gòu)的硬件產(chǎn)品無法達(dá)到千兆流量的要求；近年來，網(wǎng)絡(luò)處理器(NP)在千兆環(huán)境中得到了日益廣泛的應(yīng)用，但NP的優(yōu)勢(shì)主要在于網(wǎng)絡(luò)層以下的包處理上，若進(jìn)行內(nèi)容處理則會(huì)導(dǎo)致性能的下降。
通過高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護(hù)產(chǎn)品提供了由于的解決方案。其設(shè)計(jì)特點(diǎn)是采用不同的處理器實(shí)現(xiàn)各自獨(dú)立的功能，由網(wǎng)絡(luò)處理芯片實(shí)現(xiàn)網(wǎng)絡(luò)層和傳輸層以下的協(xié)議棧處理，通過高速內(nèi)容處理芯片進(jìn)行應(yīng)用層的協(xié)議分析和內(nèi)容檢查。從而實(shí)現(xiàn)了千兆流量線速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠?yàn)橛脩籼峁┣д赘咝阅艿膽?yīng)用防護(hù)解決方案。
在上面系統(tǒng)框架中，包處理引擎收到數(shù)據(jù)包后，首先由網(wǎng)絡(luò)處理器進(jìn)行傳輸層以下的協(xié)議棧處理，并將數(shù)據(jù)包還原成數(shù)據(jù)流。接下來由內(nèi)容處理器對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對(duì)各種應(yīng)用攻擊進(jìn)行檢測(cè)和過濾。只有符合安全策略要求的數(shù)據(jù)流才會(huì)被發(fā)送到服務(wù)器，攻擊包則被丟棄。
在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護(hù)體系。對(duì)于面向大型web應(yīng)用，產(chǎn)品通過多種功能的集成實(shí)現(xiàn)有效的應(yīng)用防護(hù)：
Web應(yīng)用入侵防護(hù)。通過系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對(duì)web請(qǐng)求和回應(yīng)流量進(jìn)行細(xì)致的分析。根據(jù)內(nèi)置的規(guī)則及啟發(fā)式的安全策略，有效防范各種針對(duì)web應(yīng)用的攻擊行為。
DOS攻擊的防護(hù)。系統(tǒng)通過網(wǎng)絡(luò)處理芯片，對(duì)Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等網(wǎng)絡(luò)層的拒絕服務(wù)攻擊進(jìn)行過濾的防范，有效保護(hù)服務(wù)器。
訪問控制。通過硬件的ACL匹配算法，系統(tǒng)能夠在實(shí)現(xiàn)線速轉(zhuǎn)發(fā)的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行實(shí)時(shí)的訪問控制。
中科網(wǎng)威在新一代千兆應(yīng)用入侵防護(hù)產(chǎn)品設(shè)計(jì)中采用了上述解決方案，實(shí)現(xiàn)了千兆流量下的線速處理。系統(tǒng)以透明模式接入網(wǎng)絡(luò)，在增強(qiáng)安全性的同時(shí)，網(wǎng)絡(luò)性能不會(huì)受到任何影響，真正實(shí)現(xiàn)了應(yīng)用層內(nèi)容處理和千兆高性能的完美結(jié)合。
小結(jié)
為了保護(hù)企業(yè)重要的應(yīng)用服務(wù)資源，應(yīng)用入侵防護(hù)產(chǎn)品AIP正在得到日益廣泛的應(yīng)用。中科網(wǎng)威通過內(nèi)容處理器和網(wǎng)絡(luò)處理器相結(jié)合的技術(shù)，有效解決了千兆網(wǎng)絡(luò)環(huán)境中應(yīng)用入侵防護(hù)和性能之間的矛盾，為用戶提供了全新的解決方案。