什么是入侵防御？

为什么需要入侵防御？

入侵是指在未经授权的情况下，对信息系统资源进行访问、窃取和破坏等一系列使信息系统不可靠或不可用的行为。常见的入侵方式包括大众熟悉的木马、蠕虫、注入攻击、僵尸网络、DDoS攻击、跨站脚本攻击、暴力破解等。近年来间谍软件和广告软件等灰色软件的占比也日益增加。入侵朝着利益驱动、多方面渗透的方向发展。根据国家互联网应急中心发布的《2020年中国互联网网络安全报告》统计，2020年全年捕获恶意程序样本数量超过4200万个，被恶意程序攻击的IP地址高达5000多万个。

以一个企业为例，可能遭受的入侵行为如下：

• 网络黑客利用注入攻击获得服务器的数据库修改权限，造成企业数据泄露或被破坏。
• 网络黑客利用系统软件漏洞，在企业内部传播木马软件。
• 短时间内向目标网站发起大规模DDoS攻击，恶意占用网络资源，影响企业正常对外提供服务。
• 在企业员工经常访问的外部网站上植入恶意代码。当企业员工访问网站时，获取员工的帐号、Cookie等信息，伪造员工的上网操作。
• 向企业员工发送钓鱼邮件，引诱企业员工点击邮件中的虚假网站链接或者下载非法附件。钓鱼邮件可造成公司信息泄露、恶意软件植入、信息系统被入侵等后果，直接引发经济损失。

导致这些入侵行为得逞的重要因素之一，就是各类系统中存在的安全漏洞。安全漏洞指的是硬件、软件、协议实现或系统安全策略上存在的缺陷，攻击者通过这些缺陷能够对系统进行非法访问或破坏。历史上著名的“心脏滴血”、“永恒之蓝”等安全漏洞都曾经造成过重大安全威胁。虽然系统供应商会从安全事件中识别到安全漏洞，并发布补丁或新的版本来修复系统安全漏洞。但是，系统供应商的更新需要一定的周期。入侵防御技术的主要工作就是检测和防御针对各种安全漏洞的攻击，在系统供应商更新之前，也能提供安全防护能力。因此入侵防御也成为了企业基础网络安全建设的重要组成部分。

入侵防御是如何工作的？

入侵防御，即对入侵行为的防御，通常使用以下几种技术进行入侵行为的检测：

• 基于签名的检测技术：该方法将网络流量与已知威胁的签名进行匹配。签名代表了入侵行为的特征，如果该流量匹配了签名则判定为入侵行为的恶意流量。但该方法只能识别出已有签名的入侵，而无法识别新的入侵。
• 基于异常的检测技术：该方法通过采集网络活动的随机样本，并与基线标准进行比较，来判断是否为入侵行为。基于异常的检测技术比基于签名的检测技术识别范围更广，但也增加了误报的风险。
• 基于安全策略的检测技术：该方法使用频率低于前两种，网络管理员会在设备上配置安全策略。任何违反这些策略的访问行为会被阻止。

检测到入侵行为后，入侵防御可以根据配置的响应动作进行自动处置，包括产生告警、丢弃数据包、阻止来自源地址的流量或重置连接。

下面以华为入侵防御技术为例，介绍入侵防御的具体工作流程，如下图所示，华为入侵防御采用基于签名和基于策略的技术进行入侵行为的识别。

1. 安全策略匹配：当流量匹配到动作为允许的安全策略，且该安全策略引用了入侵防御配置文件时，进入入侵防御流程。设备对流量进行入侵防御处理。
2. 报文重组：设备进行IP分片报文重组以及TCP流重组，确保应用层数据的连续性。这样，设备才能在接下来的流程中有效检测出逃避入侵防御检测的攻击行为。
3. 应用协议识别和解析：设备根据报文内容识别出具体的应用层协议，并对协议进行深度解析以提取报文特征。与传统只能根据IP地址和端口识别协议相比，应用协议识别大大提高了应用层攻击行为的检出率。另外，在这个阶段，设备还能识别出协议异常，过滤掉不符合协议格式和规范的数据报文。
4. 签名匹配：设备将解析后的报文特征与入侵防御特征库中的签名进行匹配。如果匹配了签名，则进行响应处理。签名代表了入侵行为的特征。华为安全研究人员持续跟踪网络安全态势，分析入侵行为的特征，并更新到入侵防御特征库中。设备定期从华为安全中心下载最新的入侵防御特征库，就可以及时有效地防御网络入侵。
5. 响应处理：报文匹配了签名后，由入侵防御配置文件决定是否对报文进行响应处理以及如何对报文进行处理（告警或阻断）。入侵防御配置文件主要包含签名过滤器、例外签名两部分。

   签名过滤器是管理员根据网络和业务状况配置的，筛选签名的过滤条件集合。设备只对过滤器筛选出的签名对应的攻击进行防御，以免海量攻击日志淹没关键的攻击信息。另外，设备还提供例外签名功能，当过滤器统一设置的动作不满足需要时，管理员可以针对单个签名配置对应攻击的处理动作。

入侵防御系统的类型

当前主流入侵防御系统有以下几种类型，可以用于不同场景的部署。包括：

• 网络入侵防御系统（Network intrusion prevention system，NIPS），NIPS安装在网络出口，以检测所有网络流量并主动扫描威胁。
• 主机入侵防御系统（Host intrusion prevention system，HIPS），HIPS安装在终端上，仅检测该设备进出方向的流量，通常与NIPS结合使用。
• 网络行为分析（Network behavior analysis，NBA），NBA用于分析网络流量，通过检测异常流量，发现新的恶意软件或零日漏洞。
• 无线入侵防御系统（Wireless intrusion prevention system，WIPS），WIPS用于扫描Wi-Fi网络中是否有未经授权的访问，并从网络中删除未经授权的设备。

华为专注于网络入侵防御系统，近年来推出了新一代专业入侵防御产品包括HiSecEngine IPS6000E系列产品和HiSecEngine IPS6000F系列产品，以及高性能专业入侵防御产品HiSecEngine IPS12000系列产品。华为入侵防御系统具有以下优势：

• 漏洞签名数量高达12000+，CVE漏洞覆盖8000+，僵木蠕家族覆盖2000+。
• 采用华为自研安全专用加速引擎，具备模式匹配加速能力，检测速度快。
• 具备从流量重组到应用内容识别等400多种防躲避手段。
• 签名默认阻断率高达85%，业界领先，待分析告警数量少，节省运营人员日志分析成本。

入侵检测系统 vs 入侵防御系统

入侵检测系统（Intrusion Detection System，IDS）是入侵检测技术发展初期提出的产品形态，和入侵防御系统主要差别如下：

• 部署方式：IDS通常采用旁路方式进行部署，并不参与数据流的转发，需要将所有所关注的流量都必须镜像到IDS端口上；而IPS通常采用直路方式串联部署在网络中，数据流需要经过IPS处理后，再进行转发。
• 实现功能：IDS仅仅是一种检测设备，它自身并不能阻挡攻击，只能起到报警的作用，如果需要对攻击进行防御，需要与防火墙进行联动，由防火墙上的安全策略阻挡攻击行为；而IPS可以对攻击行为直接进行检测和处理，不需要其他网络设备配合。
• 响应速度：IDS通过镜像数据流方式检测攻击行为，在检测的同时，数据流已经或者正在被网络设备转发，无论IDS通过报警或者防火墙联动方式对攻击行为进行处理，都是一种事后处理方式，对于单数据包攻击行为往往力不从心，无能为力；而IPS则是对数据包先进行安全检查，由安全检查的结果再确定数据包的处理情况，能做到及时响应和处理。

总之，IDS设备不会对入侵行为采取即使动作，是一种侧重于风险管理的安全机制。当前华为提供的专业入侵防御设备和具备入侵防御功能的防火墙，都同时具备IDS和IPS功能，管理员可根据实际组网需要进行选择。