網(wǎng)絡入侵防御系統(tǒng)（NIPS）在校園網(wǎng)中的應用

李洪民

摘要：高校正在建設以數(shù)字化校園為主要內(nèi)容的網(wǎng)絡應用，為保證校園網(wǎng)絡的正常運行，網(wǎng)絡安全是校園網(wǎng)絡應用的重要保證，尤其數(shù)據(jù)安全、網(wǎng)絡安全、運行安全等，在努力建設應用的過程中，必須將安全放在重要位置，本文介紹了網(wǎng)絡入侵防御系統(tǒng)的原理、功能及在高校校園網(wǎng)中的應用

關鍵詞：IDS HIPS NIPS 數(shù)字化校園

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0186-02

在不斷加強校園網(wǎng)絡應用的過程中，網(wǎng)絡安全始終是校園網(wǎng)絡建設的關鍵，DOS、DDos、安全漏洞、僵尸、黑客等暴力類型攻擊以其操作簡單，效果顯著的特點，逐漸成為互聯(lián)網(wǎng)上的主要攻擊手段；高速網(wǎng)絡上各種網(wǎng)絡蠕蟲層出不窮，以很快的速度在全球網(wǎng)絡中傳播，給用戶帶來了無盡的困擾，某些校園用戶甚至服務器已經(jīng)成僵尸主機，為黑客的攻擊提供了階梯和便利；由內(nèi)部用戶發(fā)起的攻擊行為也對校園網(wǎng)造成了不良的影響，傳統(tǒng)的網(wǎng)絡安全技術如防火墻，入侵檢測、漏洞掃描、蜜罐等，已不能滿足網(wǎng)絡安全的需要，特別是校園一卡通系統(tǒng)、人事系統(tǒng)、網(wǎng)絡教學平臺、財務系統(tǒng)均在校園網(wǎng)上運行，并將數(shù)據(jù)全部存儲在數(shù)據(jù)中心，給管理員帶來了很大的壓力。入侵防御系統(tǒng)克服了入侵檢測系統(tǒng)（IDS）被動檢測的弊端，綜合了各種傳統(tǒng)網(wǎng)絡安全技術的優(yōu)點，從而為網(wǎng)絡提供更加主動全面的安全保護。

1 入侵防御系統(tǒng)簡介

入侵防御系統(tǒng)（IPS英文全稱是Intrusion Prevention System）是一種主動的、智能的入侵檢測和防御系統(tǒng)。它是繼入侵檢測技術之后發(fā)展起來的新型技術，繼承了入侵檢測技術優(yōu)勢的同時，避免了入侵檢測系統(tǒng)（IDS）存在的一些不足，適應了現(xiàn)代高速互聯(lián)網(wǎng)絡對安全的要求。入侵防御系統(tǒng)設計的目的是將收集到的數(shù)據(jù)流在進入受保護網(wǎng)絡之前，對可疑數(shù)據(jù)包、非法入侵和各種攻擊進行攔截。

入侵防御系統(tǒng)根據(jù)部署方式分為基于主機的入侵防御系統(tǒng)（Host-based Intrusion Prevention System，簡稱HIPS）和基于網(wǎng)絡的入侵防御系統(tǒng)（Network-based Intrusion Prevention System，簡稱NIPS）。NIPS兼有IDS、防火墻和反病毒等安全組件的特性，有時也被稱為內(nèi)嵌式IDS或網(wǎng)關式IDS。NIPS通常串聯(lián)在網(wǎng)絡的主干線上，所有通過受保護網(wǎng)段的數(shù)據(jù)流都要通過它。NIPS通過特征匹配、協(xié)議分析等方法檢測通過的數(shù)據(jù)流，一旦檢測到惡意的數(shù)據(jù)包，就會根據(jù)實際情況選擇適當?shù)捻憫绞剑缃K止會話、丟棄包、報警等，而合法數(shù)據(jù)包就從另一個接口傳遞到目的主機。我校在校園網(wǎng)絡主干部署了北京天融信科技股份有限公司的網(wǎng)絡入侵防御系統(tǒng)TI-51628，該系統(tǒng)自部署以來，工作穩(wěn)定，Web界面操作方便，校園網(wǎng)絡安全得到了一定程度的防護，以下介紹NIPS TI-51628的工作原理、功能及其在校園網(wǎng)中的應用。

2 基本原理

NIPS通過檢測流經(jīng)的網(wǎng)絡流量，提供對網(wǎng)絡系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡的瓶頸，因此NIPS通常被設計成類似于交換機的網(wǎng)絡設備，提供線速吞吐速率以及多個網(wǎng)絡端口。NIPS必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能。在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當前網(wǎng)絡的會話狀態(tài)，避免受到欺騙攻擊；協(xié)議分析是一種較新的入侵檢測技術，它充分利用網(wǎng)絡協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進入成熟應用階段。分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于標準（如RFC），還基于協(xié)議的具體實現(xiàn)，這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標準。通過協(xié)議分析，NIPS能夠針對插入（Insertion）與規(guī)避（Evasion）攻擊進行檢測；異常檢測的誤報率比較高，NIPS不將其作為主要技術。NIPS工作在網(wǎng)絡上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機服務器操作系統(tǒng)平臺無關。

3 網(wǎng)絡入侵防御系統(tǒng)TI-51628簡介

網(wǎng)絡入侵防御系統(tǒng)TI-51628采用在線部署方式，能夠?qū)崟r檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的11大類超過3500種網(wǎng)絡攻擊行為，有效保護用戶網(wǎng)絡服務資源，使其免受各種外部攻擊侵擾。TI-51628能夠阻斷或限制p2p下載、網(wǎng)絡視頻、網(wǎng)絡游戲等各種網(wǎng)絡帶寬濫用行為，確保網(wǎng)絡業(yè)務通暢。TI-51628還提供了詳盡的攻擊事件記錄、各種統(tǒng)計報表，并以可視化方式動態(tài)展示，實現(xiàn)實時的全網(wǎng)威脅分析。TI-51628采用多核處理器硬件平臺，基于新一代并行處理技術架構(gòu)，內(nèi)置處理器動態(tài)負載均衡技術，實現(xiàn)了對網(wǎng)絡數(shù)據(jù)流的高性能實時檢測和防御。TI-51628采用基于目標主機的流檢測引擎，可即時處理IP分片和TCP流重組，有效阻斷各種逃逸檢測的攻擊手段，不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息，全面、準確和及時有效的檢測和防御。

TI-51628除入侵防御功能外，還具有智能協(xié)議識別、P2P流量控制、網(wǎng)絡病毒防御、上網(wǎng)行為管理、惡意網(wǎng)站過濾、內(nèi)網(wǎng)監(jiān)控和WEB安全防御等功能，是集多種功能為一體的綜合性網(wǎng)絡安全設備，為網(wǎng)絡安全提供完整的立體式入侵防護。

4 體系架構(gòu)

TI-51628入侵防御引擎（Protect Engine）用于檢測網(wǎng)絡中數(shù)據(jù)的合法性，是TI-51628的核心組件，以嵌入模式部署于要保護的網(wǎng)絡中，引擎內(nèi)置違反安全事件數(shù)據(jù)庫，用于存儲檢測到的安全事件信息。集中管理器（Central Manager）有兩種管理方式可供選擇，一種是通過Web方式對單一引擎設備進行管理，安全事件信息存儲于引擎設備本地；另一種是通過集中管理器對多個引擎設備進行統(tǒng)一的集中控制和管理，同時集中存儲安全事件信息。endprint

5 TI-51628主要功能

（1）網(wǎng)絡適應性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網(wǎng)絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網(wǎng)絡在線視頻、網(wǎng)絡游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡接口處，部署在防火墻后端，清洗過濾網(wǎng)絡流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應的防護規(guī)則。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡終端的網(wǎng)絡行為，可對辦公區(qū)、學生宿舍區(qū)、教學區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡訪問和網(wǎng)絡應用。對特定的服務器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡信息程度日漸加深，學校的教學、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡；網(wǎng)絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡上傳播，阻塞甚至中斷網(wǎng)絡甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡入侵防御系統(tǒng)可以為校園網(wǎng)絡提供全面的主動網(wǎng)絡防護能力，全面保障校園網(wǎng)絡的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術研究及其實現(xiàn).通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡適應性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網(wǎng)絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網(wǎng)絡在線視頻、網(wǎng)絡游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡接口處，部署在防火墻后端，清洗過濾網(wǎng)絡流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應的防護規(guī)則。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡終端的網(wǎng)絡行為，可對辦公區(qū)、學生宿舍區(qū)、教學區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡訪問和網(wǎng)絡應用。對特定的服務器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡信息程度日漸加深，學校的教學、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡；網(wǎng)絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡上傳播，阻塞甚至中斷網(wǎng)絡甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡入侵防御系統(tǒng)可以為校園網(wǎng)絡提供全面的主動網(wǎng)絡防護能力，全面保障校園網(wǎng)絡的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術研究及其實現(xiàn).通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡適應性：直連、路由、IDS監(jiān)聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡。（2）入侵防御：超過3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過濾：基于數(shù)據(jù)流的查殺模式，實時阻斷含有網(wǎng)絡病毒的數(shù)據(jù)報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實時監(jiān)控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網(wǎng)絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現(xiàn)主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統(tǒng)計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網(wǎng)絡在線視頻、網(wǎng)絡游戲、股票交易、及時通訊、上傳下載、網(wǎng)絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡接口處，部署在防火墻后端，清洗過濾網(wǎng)絡流量。也可兩路同時接入，實現(xiàn)對多條鏈路的防護。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡環(huán)境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區(qū)域定制相應的防護規(guī)則。TI-51628網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡終端的網(wǎng)絡行為，可對辦公區(qū)、學生宿舍區(qū)、教學區(qū)、綜合后勤區(qū)域等進行上網(wǎng)行為管控，控制各種網(wǎng)絡訪問和網(wǎng)絡應用。對特定的服務器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區(qū)的安全。

7 結(jié)語

隨著校園網(wǎng)絡信息程度日漸加深，學校的教學、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡；網(wǎng)絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網(wǎng)絡上傳播，阻塞甚至中斷網(wǎng)絡甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡入侵防御系統(tǒng)可以為校園網(wǎng)絡提供全面的主動網(wǎng)絡防護能力，全面保障校園網(wǎng)絡的系統(tǒng)的運行安全、數(shù)據(jù)安全、網(wǎng)絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術研究及其實現(xiàn).通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡入侵防御系統(tǒng)研究.小型微型計算機系統(tǒng)，2005，（11）.endprint