【摘要】高校校園網(wǎng)作為學校的信息平臺，經(jīng)常會受到來自校園外部黑客以及內(nèi)部學生的攻擊，提出了通過入侵防御系統(tǒng)實現(xiàn)對校園網(wǎng)的監(jiān)控及遇到攻擊時如何自動保護校園網(wǎng)不受影響。通過入侵防御來保障校園網(wǎng)信息安全的兩種方法，對入侵防御的分類也進行相應(yīng)的研究，最終分析了入侵防御的功能，結(jié)合自身教學工作經(jīng)驗，分析與研究入侵檢測策略制定的重要性，以及在網(wǎng)絡(luò)中放置入侵檢測設(shè)備的位置提出了一些意見和看法。

【關(guān)鍵詞】校園網(wǎng);信息安全;入侵防御

1.前言

伴隨著國內(nèi)校園網(wǎng)建設(shè)不斷完善，校園網(wǎng)已經(jīng)成為校園的非常重要的辦公和教學基礎(chǔ)設(shè)施，而交換機在校園網(wǎng)中占有重要的地位，通常是整個校園網(wǎng)絡(luò)的核心所在。校園網(wǎng)作為一個開放的網(wǎng)絡(luò)平臺，也經(jīng)常會被本校學生或是外部的黑客當成是攻擊目標。入侵防御系統(tǒng)（IPS）可以對校園網(wǎng)中的不安全因素實時監(jiān)控以及對網(wǎng)絡(luò)危害進行相應(yīng)的處理。

入侵防御能夠提供實時的入侵檢測和預防入侵功能，而且入侵防御以其獨有的專用設(shè)備、簡單易用的管理功能以及高度準確的檢測功能結(jié)合起來，幫助校園網(wǎng)實現(xiàn)了更深層次的防護目標。由于一些復雜行為很難判斷它是否是惡意攻擊，還是正常的網(wǎng)絡(luò)流量，如果出現(xiàn)誤判，會將正常的數(shù)據(jù)包丟棄，如果是復雜行為一律通過的話，一些隱藏在復雜信息里面的攻擊就不能被找出，就不能保障校園網(wǎng)內(nèi)的信息安全， IPS采用兩種方法來解決以上問題，一種是基于攻擊特征的阻斷方法，另外一種是基于攻擊躲避原理的阻斷方法，采用了這兩種阻斷方法之后，不僅僅提升了對多種深層攻擊方式的判斷識別能力，加快識別速度，此外，入侵檢測系統(tǒng)還會向安全管理員提交一份簡潔易讀的分析結(jié)果報表，而不是沒有編排雜亂無章的信息，因此大大提升了數(shù)據(jù)分析的效率，也降低了監(jiān)控網(wǎng)絡(luò)所花的人力和物力，節(jié)約開銷。并且入侵防御系統(tǒng)很大程度上降低了檢測過程中的誤報率。

如圖1所示IPS入侵防御實時監(jiān)控網(wǎng)絡(luò)，通過偵測數(shù)據(jù)包每一層的詳細信息，將網(wǎng)絡(luò)流量中的攻擊流量識別出來，并且進行分析，最后采取措施丟棄含有病毒、蠕蟲、木馬、間諜軟件等網(wǎng)絡(luò)數(shù)據(jù)包，為網(wǎng)絡(luò)提供一個響應(yīng)速度非?？斓膶崟r全面的保護。

圖1 入侵防御

2.入侵防御的分類

2.1 基于主機的入侵防護（HIPS）

如圖2所示HIPS 以軟件的方式在服務(wù)器和客戶機上安裝，實時監(jiān)控是否有病毒或是木馬對系統(tǒng)進行修改或是破壞，在操作系統(tǒng)的進程中也進行監(jiān)控，一旦察覺注冊表被修改或是系統(tǒng)文件被改動或是大小發(fā)生了變化馬上進行響應(yīng)，通過以上功能實現(xiàn)服務(wù)器和主機的入侵防御。及時阻止病毒或是木馬對系統(tǒng)和應(yīng)用的破壞，而且對于不同平臺的系統(tǒng)只需要安裝相應(yīng)的軟件包就可以實現(xiàn)支持。

圖2 基于主機的入侵防御

2.2 基于網(wǎng)絡(luò)的入侵防護（NIPS）

如圖3所示NIPS 是一個放置在防火墻之后的一臺硬件網(wǎng)絡(luò)設(shè)備，擁有自己的獨立CPU和內(nèi)存，檢測及監(jiān)控經(jīng)過自己的所有網(wǎng)絡(luò)流量，一旦發(fā)現(xiàn)有危害的數(shù)據(jù)包或是網(wǎng)絡(luò)流量，馬上將該會話斷開，數(shù)據(jù)包則丟棄。但是這種方法如果網(wǎng)絡(luò)的流量過大，將會導致網(wǎng)絡(luò)瓶頸。

圖3 基于網(wǎng)絡(luò)的入侵防御

3.IPS防御系統(tǒng)功能分析

如圖4所示，這是基于網(wǎng)絡(luò)的入侵防御系統(tǒng)，它的具體功能如下：

圖4 入侵防御功能

3.1 入侵抵御

通過專有引擎，實時對網(wǎng)絡(luò)監(jiān)控，實時檢測，對于網(wǎng)絡(luò)攻擊有很好的預防作用，學生濫用網(wǎng)絡(luò)也可以及時控制。

3.2 病毒查殺

可以結(jié)合和殺毒軟件公司的防病毒引擎，進行病毒預防，通過專門的病毒引擎進行病毒查殺，定期自動更新病毒庫，對于各種病毒，以及病毒的變形，包括未知病毒都可以進行準確的查殺。

3.3 應(yīng)用保護

定期為操作系統(tǒng)自動打補丁，建立有特色的特征庫，特征庫里面包括了對操作系統(tǒng)進行保護的特征庫，應(yīng)用系統(tǒng)特征庫，數(shù)據(jù)庫漏洞特征庫，并且可以實現(xiàn)定期更新，增強系統(tǒng)的抗病毒能力。

3.4 帶寬濫用控制

校園網(wǎng)內(nèi)的關(guān)鍵業(yè)務(wù)帶寬得到預留，保障了正常的辦公教學，學生如果出現(xiàn)濫用帶寬現(xiàn)象，將會被及時察覺，并限制帶寬或關(guān)閉端口，提升網(wǎng)絡(luò)使用效率。

3.5 網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護

對網(wǎng)絡(luò)設(shè)備具有保護功能，其中就包括了交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備，如果發(fā)現(xiàn)異常流量或是數(shù)據(jù)包，自動終止異常流量會話，有害數(shù)據(jù)包也會被丟棄。這樣就保護了對網(wǎng)絡(luò)設(shè)備的危害。

3.6 靈活的組網(wǎng)模式

兩種部署方式，第一種是在線方式，設(shè)備之間放于防火墻之后，所有網(wǎng)絡(luò)流量都必須通過它的檢測才能通過，另一種方式為旁路方式，接到核心交換機監(jiān)控網(wǎng)絡(luò)，可以根據(jù)網(wǎng)絡(luò)規(guī)模自由選擇。

3.7 便捷的管理方式

支持本地和分布式管理?？梢灾苯油ㄟ^IPS內(nèi)置的Web界面進行圖形化管理，方便管理配置。

3.8 高性能高可靠性

好的IPS系統(tǒng)可以實現(xiàn)多種備份功能，雙機備份，電源冗余，防止單點故障。

云南工商學院入侵防御設(shè)備集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能，如圖5所示，該設(shè)備可以檢測七層模型的任何一層，從物理層到應(yīng)用層，都可以實現(xiàn)實時分析，將隱藏在網(wǎng)絡(luò)流通領(lǐng)域里面的病毒、木馬、蠕蟲等惡意攻擊查找出來，還可以和入侵檢測系統(tǒng)，防火墻聯(lián)合使用，實現(xiàn)一個完整的安全保障。

圖5 云南工商學院入侵防御實施

4.結(jié)束語

高校校園網(wǎng)可以通過使用入侵檢測系統(tǒng)檢測網(wǎng)絡(luò)流量，審核數(shù)據(jù)包，根據(jù)需要制定具體的安全策略，后面所有對網(wǎng)絡(luò)的檢測都必須根據(jù)策略進行，所以策略的制定至關(guān)重要，IPS放到骨干鏈路上，直接對入侵或是病毒木馬進行攔截，通過入侵檢測系統(tǒng)，保障校園網(wǎng)的信息安全。

參考文獻

[1]凌力.網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全[M].北京：清華大學出版社，2007.

[2]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].清華大學出版社，2004.

[3]謝希仁.計算機網(wǎng)絡(luò)（第四版）[M].電子工業(yè)出版社， 2003.

[4]賈鐵軍.網(wǎng)絡(luò)安全管理及實用技術(shù)[M].機械工業(yè)出版社，2010.

[5]Merike Kaeo.網(wǎng)絡(luò)安全性設(shè)計[M].人民郵電出版社，2000.

[6] Bace，R.G.入侵檢測[M].人民郵電出版社，2001.