IPS聯(lián)動協(xié)議研究與實現.pdf

1、在網絡安全狀況日益復雜的今天，安全技術不僅要能夠快速、精確地檢測出已知的攻擊，還需要具備發(fā)現未知攻擊的能力，此外及時、準確的響應能力也必不可少。由此人們提出IPS的概念來取代IDS，但單一的安全手段已不能滿足需要，各種安全技術間的聯(lián)動才是正確的解決方案。 已有的安全技術各有各的缺點，主要表現在：防火墻只能預防外部攻擊，卻不能很好地抵御從內部發(fā)起的攻擊，而且防火墻能抵御的攻擊種類有限；入侵檢測系統(tǒng)從本質上講是一種事后檢測的技術，它

2、只能檢測出已知的攻擊，卻無法識別未知攻擊，且具有誤報率和漏報率高的缺點；蜜罐（網）本身并沒有很好的檢測手段，它只能被動地吸引攻擊，攻擊者有可能察覺并加以利用，這就存在一種數據訪問授權與訪問控制的權衡問題。 本文在分析了這些單一安全技術的缺點之后，羅列了一些針對它們的攻擊手段，主要有分片攻擊、木馬與后門攻擊、DDoS、僵尸網絡等，而這些攻擊正是當前的幾大主要網絡安全事件。雖然當前單一安全技術的發(fā)展已經能夠解決某些問題，但更多的卻需

3、要各種安全技術間的聯(lián)動才能有效解決，由此引出了IPS的概念。本文中的IPS是由防火墻、IDS和蜜罐（網）組成的有機體系，它將取長補短，充分發(fā)揮各種技術的聯(lián)動作用。 為了實現多種安全技術間的聯(lián)動，通用的通信協(xié)議必不可少。一個完整的通信協(xié)議主要包括以下幾個方面：通信對象的選擇與表征、通信的可靠傳輸、通信安全。目前業(yè)界已經提出了一些通用的通信協(xié)議，這以CIDF為代表。本文在介紹了CIDF的體系結構之后，就其存在的一些缺點或不足之處作了

4、討論和分析，在此基礎上提出了IPS內部和IPS間聯(lián)動的通用通信協(xié)議解決方案。 與以往的通用通信協(xié)議不同，本文采取了層次化的通信結構模型，以實現全球范圍內安全技術的聯(lián)動。它把整個通信過程分為IPS內部通信與IPS間聯(lián)動兩個層次。其中IPS內部通信是基于GIDO對象的，而IPS間的通信則是面向規(guī)則的。前者提供了微觀意義上的協(xié)作，后者則著眼于宏觀意義上的協(xié)作；前者關注通信的速度與帶寬需求，而后者則注重通信對象的可靠性與安全性。