李洪民

摘要：高校正在建設(shè)以數(shù)字化校園為主要內(nèi)容的網(wǎng)絡(luò)應(yīng)用，為保證校園網(wǎng)絡(luò)的正常運行，網(wǎng)絡(luò)安全是校園網(wǎng)絡(luò)應(yīng)用的重要保證，尤其數(shù)據(jù)安全、網(wǎng)絡(luò)安全、運行安全等，在努力建設(shè)應(yīng)用的過程中，必須將安全放在重要位置，本文介紹了網(wǎng)絡(luò)入侵防御系統(tǒng)的原理、功能及在高校校園網(wǎng)中的應(yīng)用

關(guān)鍵詞：IDS HIPS NIPS 數(shù)字化校園

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1007-9416（2014）08-0186-02

在不斷加強校園網(wǎng)絡(luò)應(yīng)用的過程中，網(wǎng)絡(luò)安全始終是校園網(wǎng)絡(luò)建設(shè)的關(guān)鍵，DOS、DDos、安全漏洞、僵尸、黑客等暴力類型攻擊以其操作簡單，效果顯著的特點，逐漸成為互聯(lián)網(wǎng)上的主要攻擊手段；高速網(wǎng)絡(luò)上各種網(wǎng)絡(luò)蠕蟲層出不窮，以很快的速度在全球網(wǎng)絡(luò)中傳播，給用戶帶來了無盡的困擾，某些校園用戶甚至服務(wù)器已經(jīng)成僵尸主機，為黑客的攻擊提供了階梯和便利；由內(nèi)部用戶發(fā)起的攻擊行為也對校園網(wǎng)造成了不良的影響，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻，入侵檢測、漏洞掃描、蜜罐等，已不能滿足網(wǎng)絡(luò)安全的需要，特別是校園一卡通系統(tǒng)、人事系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺、財務(wù)系統(tǒng)均在校園網(wǎng)上運行，并將數(shù)據(jù)全部存儲在數(shù)據(jù)中心，給管理員帶來了很大的壓力。入侵防御系統(tǒng)克服了入侵檢測系統(tǒng)（IDS）被動檢測的弊端，綜合了各種傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的優(yōu)點，從而為網(wǎng)絡(luò)提供更加主動全面的安全保護。

1 入侵防御系統(tǒng)簡介

入侵防御系統(tǒng)（IPS英文全稱是Intrusion Prevention System）是一種主動的、智能的入侵檢測和防御系統(tǒng)。它是繼入侵檢測技術(shù)之后發(fā)展起來的新型技術(shù)，繼承了入侵檢測技術(shù)優(yōu)勢的同時，避免了入侵檢測系統(tǒng)（IDS）存在的一些不足，適應(yīng)了現(xiàn)代高速互聯(lián)網(wǎng)絡(luò)對安全的要求。入侵防御系統(tǒng)設(shè)計的目的是將收集到的數(shù)據(jù)流在進入受保護網(wǎng)絡(luò)之前，對可疑數(shù)據(jù)包、非法入侵和各種攻擊進行攔截。

入侵防御系統(tǒng)根據(jù)部署方式分為基于主機的入侵防御系統(tǒng)（Host-based Intrusion Prevention System，簡稱HIPS）和基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（Network-based Intrusion Prevention System，簡稱NIPS）。NIPS兼有IDS、防火墻和反病毒等安全組件的特性，有時也被稱為內(nèi)嵌式IDS或網(wǎng)關(guān)式IDS。NIPS通常串聯(lián)在網(wǎng)絡(luò)的主干線上，所有通過受保護網(wǎng)段的數(shù)據(jù)流都要通過它。NIPS通過特征匹配、協(xié)議分析等方法檢測通過的數(shù)據(jù)流，一旦檢測到惡意的數(shù)據(jù)包，就會根據(jù)實際情況選擇適當(dāng)?shù)捻憫?yīng)方式，如終止會話、丟棄包、報警等，而合法數(shù)據(jù)包就從另一個接口傳遞到目的主機。我校在校園網(wǎng)絡(luò)主干部署了北京天融信科技股份有限公司的網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628，該系統(tǒng)自部署以來，工作穩(wěn)定，Web界面操作方便，校園網(wǎng)絡(luò)安全得到了一定程度的防護，以下介紹NIPS TI-51628的工作原理、功能及其在校園網(wǎng)中的應(yīng)用。

2 基本原理

NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡(luò)會話，而不僅僅是復(fù)位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計成類似于交換機的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個網(wǎng)絡(luò)端口。NIPS必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點?；跔顟B(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會話狀態(tài)，避免受到欺騙攻擊；協(xié)議分析是一種較新的入侵檢測技術(shù)，它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進入成熟應(yīng)用階段。分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于標(biāo)準(zhǔn)（如RFC），還基于協(xié)議的具體實現(xiàn)，這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。通過協(xié)議分析，NIPS能夠針對插入（Insertion）與規(guī)避（Evasion）攻擊進行檢測；異常檢測的誤報率比較高，NIPS不將其作為主要技術(shù)。NIPS工作在網(wǎng)絡(luò)上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機服務(wù)器操作系統(tǒng)平臺無關(guān)。

3 網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628簡介

網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628采用在線部署方式，能夠?qū)崟r檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的11大類超過3500種網(wǎng)絡(luò)攻擊行為，有效保護用戶網(wǎng)絡(luò)服務(wù)資源，使其免受各種外部攻擊侵?jǐn)_。TI-51628能夠阻斷或限制p2p下載、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等各種網(wǎng)絡(luò)帶寬濫用行為，確保網(wǎng)絡(luò)業(yè)務(wù)通暢。TI-51628還提供了詳盡的攻擊事件記錄、各種統(tǒng)計報表，并以可視化方式動態(tài)展示，實現(xiàn)實時的全網(wǎng)威脅分析。TI-51628采用多核處理器硬件平臺，基于新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動態(tài)負(fù)載均衡技術(shù)，實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)流的高性能實時檢測和防御。TI-51628采用基于目標(biāo)主機的流檢測引擎，可即時處理IP分片和TCP流重組，有效阻斷各種逃逸檢測的攻擊手段，不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息，全面、準(zhǔn)確和及時有效的檢測和防御。

TI-51628除入侵防御功能外，還具有智能協(xié)議識別、P2P流量控制、網(wǎng)絡(luò)病毒防御、上網(wǎng)行為管理、惡意網(wǎng)站過濾、內(nèi)網(wǎng)監(jiān)控和WEB安全防御等功能，是集多種功能為一體的綜合性網(wǎng)絡(luò)安全設(shè)備，為網(wǎng)絡(luò)安全提供完整的立體式入侵防護。

4 體系架構(gòu)

TI-51628入侵防御引擎（Protect Engine）用于檢測網(wǎng)絡(luò)中數(shù)據(jù)的合法性，是TI-51628的核心組件，以嵌入模式部署于要保護的網(wǎng)絡(luò)中，引擎內(nèi)置違反安全事件數(shù)據(jù)庫，用于存儲檢測到的安全事件信息。集中管理器（Central Manager）有兩種管理方式可供選擇，一種是通過Web方式對單一引擎設(shè)備進行管理，安全事件信息存儲于引擎設(shè)備本地；另一種是通過集中管理器對多個引擎設(shè)備進行統(tǒng)一的集中控制和管理，同時集中存儲安全事件信息。endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對應(yīng)用進行限流、禁止、限定時間段。（5）Web安全：Web服務(wù)器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機閾值設(shè)置。（7）應(yīng)用識別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過濾網(wǎng)絡(luò)流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應(yīng)的防護規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)應(yīng)用。對特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務(wù)器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動網(wǎng)絡(luò)防護能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對應(yīng)用進行限流、禁止、限定時間段。（5）Web安全：Web服務(wù)器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機閾值設(shè)置。（7）應(yīng)用識別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過濾網(wǎng)絡(luò)流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應(yīng)的防護規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)應(yīng)用。對特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務(wù)器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動網(wǎng)絡(luò)防護能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對應(yīng)用進行限流、禁止、限定時間段。（5）Web安全：Web服務(wù)器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機閾值設(shè)置。（7）應(yīng)用識別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過濾網(wǎng)絡(luò)流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應(yīng)的防護規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)應(yīng)用。對特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務(wù)器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動網(wǎng)絡(luò)防護能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint