3云安全智能NIPS结构

　　3.1IPS及NIPS技术

　　IPS是一种主动过滤、智能入侵检测、防范和访问决策的入侵防护系统，通过对数据包异常检测，实时确定阻断访问。以过滤器拦截试探攻击系统弱点的任何操作，对网络进行多层、深层、主动的防护以有效保护网络安全[6]。

　　IPS根据部署方式分为3类：基于主机的入侵防护系统HIPS(Host IPS)、基于网络的入侵防护系统NIPS(Network IPS)、应用入侵防护AIP(Application Intrusion Prevention)。

　　HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统和应用程序;NIPS通过检测网络流量提供安全保护，以在线连接方式检测辨识入侵行为，实时确定阻断访问;AIP是NIPS的特例，它将HIPS配置在应用数据的网络链路上，扩展成为位于应用服务器之前的高性能网络设备。IPS技术具有四大特征：以嵌入模式运行的IPS才能实时阻拦可疑数据包，实现实时安全防护;通过对攻击类型和策略等深入分析，确定拦截恶意流量;以高质量的入侵特征库确保高效运行;具有高效处理数据包的能力。

　　NIPS具有4项关键技术：一是主动防御技术。通过对关键主机和服务的数据进行全面防护和加固，并适当限制用户权限，可主动识别已知攻击、拒绝恶意访问，防范未知的攻击行为。二是同防火墙联动技术。通过接口调用，按协议进行通信、传输警报，以开放接口实现联动。防火墙进行第一层访问控制防御，NIPS进行第二层检测入侵防御，滤掉恶意通信，并通知防火墙阻断。另可将二者集成于一个平台，在操作系统统一管理下有序运行。所有数据接受防火墙规则验证同时被检测判断攻击性，实现实时阻断联动。三是综合检测方法。为避免误操作、阻塞合法网络事件、造成数据丢失，以误用检测和异常检测等多种检测方法，最大限度地正确判断已知和未知攻击。四是硬件加速系统。以专用硬件加速系统高效处理数据包，以快速高效实现大流量复杂网络的深度数据包检测和阻断功能[7]。

　　3.2云安全智能NIPS的结构

　　“云安全”分为两类：一是特征库或类特征库在云端的储存与共享;二是作为一个最新的恶意代码、垃圾邮件或钓鱼网址等的快速收集、汇总和响应处理的系统[5]。

　　“云安全”将用户和智能技术平台通过互联网集成，组成一个木马/恶意软件及攻击指令监测、查杀、防护安全网络。构建新型云安全智能NIPS结构，如图1所示。

　　云安全智能NIPS的主要功能为：通过“云安全”模式以浏览器与“安全云”进行交互，访问文件、邮件或网站;以智能采集、识别、特征提取等方式，自动分析判断用户所访问资源的安全性，然后通过专家系统利用安全知识库进行深入分析和拦截抉择，并将解决方案发到客户端。对恶意文件或网站的处理同银行体系的信用模式类似，利用对文件、网页等资源信息进行信誉建模，予以智能监控识别和防护，然后对这些资源的信誉评级进行判定。“安全云”最关键工作是安全知识库对收集的大量信息进行数据挖掘，主要对文件、URL以及电子邮件之间相互关联信息的挖掘，进行特征提取检测判别，从而达到智能防护功能。

　　4云安全智能NIPS的特点

　　智能NIPS主要具有6个特点：①通过网站“云安全”杀毒软件对各种病毒传播行为进行智能特征识别、监控和分析，阻断传播通道，拦截病毒入侵;②通过对恶意网页行为的智能监控，阻拦木马通过网站入侵用户电脑;③以智能网络防火墙，随时更新入侵检测规则库，拦截来自互联网的黑客及病毒的各种攻击;④以特征库与防火墙联动，及时更新恶意网址库，阻断网页木马、钓鱼网站等侵害;⑤以“云安全”木马防御杀毒软件，通过对木马等病毒的行为分析，智能监控未知木马等病毒，防止其偷窃和破坏;⑥以专家系统、知识库与攻击防御防火墙联动，准确阻止黑客攻击企图和其他行为，同时进行实时响应、系统记录和审计，并保护带宽和系统资源不被恶意占用等。

　　采用本地服务器群响应、缓存支持和企业内部云服务器同步等技术，即可实现云安全智能NIPS问题。基于“云安全”策略和“智能主动防御”技术开发的新一代互联网安全防护系统，可以将智能防护、杀毒软件与防火墙无缝集成、整体联动，极大降低占用计算机资源，集“拦截、防御、查杀、保护”多重防护功能于一身[8]。如将所有安装瑞星2009的电脑和瑞星“云安全”系统平台实时联系，通过互联网组成覆盖互联网的病毒、恶意网址监测网络，可在最短时间内发现、截获、处理大量的最新病毒和恶意网址，并将解决方案瞬时送达所有用户端，提前防范各种新生网络威胁。