一、前言

　　随着对网络安全问题的理解日益深入，入侵检测技术得到了迅速的发展，应用防护的概念逐渐被人们所接受，并应用到入侵检测产品中。而在千兆环境中，如何解决应用防护和千兆高速网络环境中数据包线速处理之间的矛盾，成为网络安全技术发展一个新的挑战。

　　二、入侵检测技术的演进

　　入侵检测系统（IDS, Intrusion Detection System）是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。

　　但在入侵检测产品的使用过程中，暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全，反而会增加管理员的困扰，建议用户使用入侵防御系统（IPS, Intrusion Prevention System）来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止（实时拦截）才是最有效的入侵防御系统。

　　从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上来看，和IDS相比入侵防御系统IPS向前发展了一步，能够对网络起到较好的实时防护作用。

　　近年来，网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析，目前对网络的攻击有70％以上是集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户帐号丢失和公司机密泄漏等。因此，对具体应用的有效保护就显得越发重要。从检测方法上看，IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型，进行基于攻击特征串的匹配。但对于应用层的攻击，通常是利用特定的应用程序的漏洞，无论是IDS还是IPS都无法通过现有的检测技术进行防范。

　　为了解决日益突出的应用层防护问题，继入侵防御系统IPS之后，应用入侵防护系统（AIP,Application Intrusion Prevention）逐渐成为一个新的热点，并且正得到日益广泛的应用。　

　　三、应用入侵防护

　　对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口，如web的80端口。这样，黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。

　　所谓应用入侵防护系统AIP，是用来保护特定应用服务（如web和数据库等应用）的网络设备，通常部署在应用服务器之前，通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。

　　在对应用层的攻击中，大部分时通过HTTP协议（80端口）进行。在国外权威机构的一次网络安全评估过程中发现，97％的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范，但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议，应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略，AIP能够对以下类型的web攻击进行有效防范：

　　恶意脚本

　　　　Cookie投毒

　　　　隐藏域修改

　　　　缓存溢出

　　　　参数篡改

　　　　强制浏览

　　　　Sql插入

　　　　已知漏洞攻击

　　应用入侵防护技术近两年刚刚出现，但发展迅速。Yankee Group预测在未来的五年里， AIP将和防火墙，入侵检测和反病毒等安全技术一起，成为网络安全整体解决方案的一个重要组成部分。

　　四、千兆解决方案

　　应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要的作用，同时随着网络带宽的不断增加，只有在适合千兆环境应用的高性能产品才能够满足大型网络的需要。

　　传统的软件形式的应用入侵防护产品受性能的限制，只能应用在中小型网络中；基于x86架构的硬件产品无法达到千兆流量的要求；近年来，网络处理器（NP）在千兆环境中得到了日益广泛的应用，但NP的优势主要在于网络层以下的包处理上，若进行内容处理则会导致性能的下降。

　　通过高性能内容处理芯片和网络处理芯片相结合形式，为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能，由网络处理芯片实现网络层和传输层以下的协议栈处理，通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合，真正能够为用户提供千兆高性能的应用防护解决方案。　　

　　在上面系统框架中，包处理引擎收到数据包后，首先由网络处理器进行传输层以下的协议栈处理，并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理，根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器，攻击包则被丢弃。

　　在高性能的千兆解决方案中，能够实现网络层到应用层的多层次立体防护体系。对于面向大型web应用，产品通过多种功能的集成实现有效的应用防护：

　　Web应用入侵防护。通过系统内置的网络内容处理芯片，对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略，有效防范各种针对web应用的攻击行为。

　　DOS攻击的防护。系统通过网络处理芯片，对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等网络层的拒绝服务攻击进行过滤的防范，有效保护服务器。

　　访问控制。通过硬件的ACL匹配算法，系统能够在实现线速转发的同时对数据包进行实时的访问控制。

　　中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案，实现了千兆流量下的线速处理。系统以透明模式接入网络，在增强安全性的同时，网络性能不会受到任何影响，真正实现了应用层内容处理和千兆高性能的完美结合。

　　五、小结

　　为了保护企业重要的应用服务资源，应用入侵防护产品AIP正在得到日益广泛的应用。中科网威通过内容处理器和网络处理器相结合的技术，有效解决了千兆网络环境中应用入侵防护和性能之间的矛盾，为用户提供了全新的解决方案。

文章来源：skynet

文章思路不错。但由于NP技术目前还没有相应的国际或国家标准，在国内开发基于NP技术的产品，对产品开发商和用户，风险都还是不小的。

IDS都还没有普及，人们对AIP的认识更加模糊，这个市场培育起来可是很费力的。而且市场需求有多少谁也说不准。我看也只是炒概念罢了。

千兆IDS的几大谎言
1、   千兆检测特征达到1800种
不知道从什么时候开始，入侵检测特征成了一个放卫星式的指标，似乎特征越多其产品能力越强，因此也就出现了如下的现象：对某个号称其特征数为1800种的入侵检测产品，我们惊奇的发现，其自身控制台和引擎之间的控制信息也列入其中，数量有60条之多；还有对某一个后门，其特征被细化了有50条之多。原来，入侵检测特征是这么加到这个数量的。不知道这样的检测特征在千兆环境下有什么用？
2、   多个高速网段的同时监控
目前双网卡探测技术仅仅适用于非常低带宽的网络环境（例如：ISS公司在其Realsecure 的最新版本的系统需求手册中明确指出：支持在一台主机上安装两个其network_sensor，但只允许在带宽非常低的网络；安装三块网卡和三个 network_sensor监控三个网络也可以，但我们不支持这种安装和维护服务。）。也就是说在现在通用的硬件架构和操作系统的条件下，当两块网卡同时抓包并进行分析的时候，其消耗的系统资源远远大于用一块网卡来分析两块网卡的合流量。尤其在高速网络（千兆）中应用，其性能影响更为明显。当然，如果基于RISC的结构，并将抓包和协议分析的技术在专用的硬件芯片中实现，应该是有一定程度的提高。遗憾的是目前国际、国内的入侵检测厂商都没有实现，原因是芯片技术有技术壁垒和垄断，单独开发其成本必然很高。
所以可以相信要实现双网卡探测正常流量下工作，这还是有很长的路要走。现在多个高速网段的同时监控，如果不指明其适用环境，不能不说是对用户的欺骗。

3、   监控的最大TCP连接数
    TCP最大连接数原本是防火墙的一个指标，现在被某些入侵检测厂商引入做为一个入侵检测的指标，并通过其大小来比拼产品优势。最新的一个数据是，某入侵检测产品在千兆的白皮书中声称的最大TCP连接数是50万。
支持的TCP连接数的多少主要不在于程序的实现上的差别，可以简单修改配置。影响其数量主要在于系统内存的大小。计算方法是：
    最大连接数 × 每连接使用的缓冲区大小 ＝ 内存占用
  比如：如果我们每一个连接使用4k的缓冲区进行处理，那么维持10000个的tcp连接数意味着最大连接情况下的内存占用是4k*10000=40M
如何提高连接数的方法有两种：提高内存容量是一种很容易理解的方法。假如说内存占用数不变的情况下，我们可以通过减少每连接使用的缓冲区的大小，来提高最大连接数。（如果是600M内存空间，我们将缓冲区大小减少为0.5k，那么最大连接数可以到1200k）。但是如果每连接使用的缓冲区太小，会影响检测的准确程度，导致漏报，所以一般2k、4k是相对合理的大小。
用TCP最大连接数多少来比较两个ids系统的能力，也是一种谎言吧！

4、   检测规则升级
现在防病毒产品的升级周期基本上是每周一次，而有些入侵检测厂商也基本和防病毒升级保持了同步。在细看看其检测规则，原来是使用snort的规则。大家都知道snort规则是免费发布的，只要有时间从网上去下载就可以了，根本不需要投入专门的人力去分析研究。由此，数量是有保证的，升级也是有保证的。但是 snort本身只是一个轻量级的入侵检测系统，又如何指望能够在高速网上使用呢？
5、   网络内容实时回放
有一部分入侵检测厂商主要功能是把HTTP、FTP以及邮件信息全部给抓下来，管理员可以随时看别人网上信息的内容。这一项功能对某些用户是十分有诱惑力的。但是，入侵检测本身是对网络信息进行检测，发现其中包含的入侵行为和违规行为上报。而对于上网、邮件发送通常是正常行为，把这些信息完整回放出来未免是有侵犯隐私权和泄密的可能。同时，由于网上信息也大部分是这种正常行为，记录这些信息会消耗大量资源，降低性能，在高速IDS上如果也采用这种回放无疑是灾难性的。
因此，在涉密网中，这种网络内容实时回放是不收欢迎的。
6、   事件追踪分析和处理
看了某个国内厂商在其产品资料中宣称的可以对入侵事件进行追踪分析和处理，顿生敬佩之意。要知道，网络IDS 的一大难点就是对入侵事件进行主动的追踪分析以及校验。看完了其产品的实际功能才知道，所谓“追踪分析和处理”就是把一些小工具集成到产品中，可以对源地址进行ping、telnet以及tracert等操作，仅此而已。
7、   千兆IDS产品的资质
通过国家的权威测试和认证是有个过程的。不少入侵检测厂商一推出千兆的入侵检测系统后，就声称拥有国家的权威资质。事实上，一些厂商是用百兆产品的资质去模糊千兆产品。在这个时候，这些厂商就把千兆IDS看作是可以安装于在千兆环境下的IDS了，不去强调其中的技术和性能上的区别了。

受益，顶

说的好

好！顶！

呵呵，其实这个思路来自国内某厂家。。。。