TippingPoint 白皮书.pdfVIP

入侵防御系统白皮书 By song hao 2008-4 概述 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成 为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是 Internet 的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数 字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。 计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接 经济损失就达 150 亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的公司 至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都 会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。 当前，信息系统安全的一个重要趋势是信息系统的安全状况呈现出日益恶化的趋势，用户正 面临的安全威胁越来越多样化，除了传统的访问控制、DDOS 攻击、病毒等，特定的系统也 面临很强的安全威胁，如操作系统漏洞、应用系统漏洞、特定攻击、扫描侦测、间谍软件、 身份盗取等。 目前，在安全系统的建设中，一方面，传统的一些防范技术或产品已经不能够给予用户足够 的安全防范，如数据库安全、XML 服务安全等均无法得到保证；另一方面，部署的大量网络 安全设备无法起到预期的安全效果，反而，这些网络安全设备使原有的网络结构复杂化、管 理成本高、难于扩展、稳定性下降。这些都应是安全系统建设中需要考虑的因素。 当今网络仅有防火墙和 IDS 是不够的 从 1990 开始，随着 Internet 的快速发展，网络安全的问题也逐步为人们所重视，从最 初采用简单的访问控制列表，到部署防火墙来保护周界安全。从 1993 年防火墙被广泛地部 署在各种网络中，如下图所示： 图 自 1993开始防火墙被广泛应用于周界安全 虽然网络中已部署了防火墙，但是，在网络的运维中，仍然发现网络的带宽利用率居 高不下、且应用系统的响应速度越来越慢，只好提升带宽并升级服务器，不久问题再次出现。 而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的量级，这是目前 各大公司网络都可能存在的问题。并不是当初网络设计的原因，而是自 2003 年以来，蠕虫、 点到点，入侵技术日益滋长并演变到应用层面的结果，而这些有害代码总是伪装成客户正常 业务进行传播。 目前部署的防火墙其软硬件设计当初仅按照其工作在 L2-L4 时的情况考虑，不具有对 数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果 蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络， 如下图所示： 图 蠕虫、P2P 等非法流量穿透防火墙 这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的 困扰。事实上，员工的 PC 都既需要访问 Internet又必须访问公司的业务系统，所以存在被 病毒感染和骇客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网 络带宽，P2P 等应用，利用 80 端口进行协商，然后利用开放的 UDP 进行大量文件共享，导 致机密泄漏和网络拥塞，对公司业务系统的危害极大。 IDS 为防止入侵和控制非法流量具有开创意义，然而，在实际的应用中，用户发现其存