網絡入侵防御系統（NIPS）在校園網中的應用

李洪民

摘要：高校正在建設以數字化校園為主要內容的網絡應用，為保證校園網絡的正常運行，網絡安全是校園網絡應用的重要保證，尤其數據安全、網絡安全、運行安全等，在努力建設應用的過程中，必須將安全放在重要位置，本文介紹了網絡入侵防御系統的原理、功能及在高校校園網中的應用

關鍵詞：IDS HIPS NIPS 數字化校園

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0186-02

在不斷加強校園網絡應用的過程中，網絡安全始終是校園網絡建設的關鍵，DOS、DDos、安全漏洞、僵尸、黑客等暴力類型攻擊以其操作簡單，效果顯著的特點，逐漸成為互聯網上的主要攻擊手段；高速網絡上各種網絡蠕蟲層出不窮，以很快的速度在全球網絡中傳播，給用戶帶來了無盡的困擾，某些校園用戶甚至服務器已經成僵尸主機，為黑客的攻擊提供了階梯和便利；由內部用戶發起的攻擊行為也對校園網造成了不良的影響，傳統的網絡安全技術如防火墻，入侵檢測、漏洞掃描、蜜罐等，已不能滿足網絡安全的需要，特別是校園一卡通系統、人事系統、網絡教學平臺、財務系統均在校園網上運行，并將數據全部存儲在數據中心，給管理員帶來了很大的壓力。入侵防御系統克服了入侵檢測系統（IDS）被動檢測的弊端，綜合了各種傳統網絡安全技術的優點，從而為網絡提供更加主動全面的安全保護。

1 入侵防御系統簡介

入侵防御系統（IPS英文全稱是Intrusion Prevention System）是一種主動的、智能的入侵檢測和防御系統。它是繼入侵檢測技術之后發展起來的新型技術，繼承了入侵檢測技術優勢的同時，避免了入侵檢測系統（IDS）存在的一些不足，適應了現代高速互聯網絡對安全的要求。入侵防御系統設計的目的是將收集到的數據流在進入受保護網絡之前，對可疑數據包、非法入侵和各種攻擊進行攔截。

入侵防御系統根據部署方式分為基于主機的入侵防御系統（Host-based Intrusion Prevention System，簡稱HIPS）和基于網絡的入侵防御系統（Network-based Intrusion Prevention System，簡稱NIPS）。NIPS兼有IDS、防火墻和反病毒等安全組件的特性，有時也被稱為內嵌式IDS或網關式IDS。NIPS通常串聯在網絡的主干線上，所有通過受保護網段的數據流都要通過它。NIPS通過特征匹配、協議分析等方法檢測通過的數據流，一旦檢測到惡意的數據包，就會根據實際情況選擇適當的響應方式，如終止會話、丟棄包、報警等，而合法數據包就從另一個接口傳遞到目的主機。我校在校園網絡主干部署了北京天融信科技股份有限公司的網絡入侵防御系統TI-51628，該系統自部署以來，工作穩定，Web界面操作方便，校園網絡安全得到了一定程度的防護，以下介紹NIPS TI-51628的工作原理、功能及其在校園網中的應用。

2 基本原理

NIPS通過檢測流經的網絡流量，提供對網絡系統的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。NIPS必須基于特定的硬件平臺，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點?；跔顟B的特征匹配不但檢測攻擊行為的特征，還要檢查當前網絡的會話狀態，避免受到欺騙攻擊；協議分析是一種較新的入侵檢測技術，它充分利用網絡協議的高度有序性，并結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特征。協議分析正在逐漸進入成熟應用階段。分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基于標準（如RFC），還基于協議的具體實現，這是因為很多協議的實現偏離了協議標準。通過協議分析，NIPS能夠針對插入（Insertion）與規避（Evasion）攻擊進行檢測；異常檢測的誤報率比較高，NIPS不將其作為主要技術。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機服務器操作系統平臺無關。

3 網絡入侵防御系統TI-51628簡介

網絡入侵防御系統TI-51628采用在線部署方式，能夠實時檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務、木馬、蠕蟲、系統漏洞等在內的11大類超過3500種網絡攻擊行為，有效保護用戶網絡服務資源，使其免受各種外部攻擊侵擾。TI-51628能夠阻斷或限制p2p下載、網絡視頻、網絡游戲等各種網絡帶寬濫用行為，確保網絡業務通暢。TI-51628還提供了詳盡的攻擊事件記錄、各種統計報表，并以可視化方式動態展示，實現實時的全網威脅分析。TI-51628采用多核處理器硬件平臺，基于新一代并行處理技術架構，內置處理器動態負載均衡技術，實現了對網絡數據流的高性能實時檢測和防御。TI-51628采用基于目標主機的流檢測引擎，可即時處理IP分片和TCP流重組，有效阻斷各種逃逸檢測的攻擊手段，不斷跟蹤、挖掘和分析新出現的各種漏洞信息，全面、準確和及時有效的檢測和防御。

TI-51628除入侵防御功能外，還具有智能協議識別、P2P流量控制、網絡病毒防御、上網行為管理、惡意網站過濾、內網監控和WEB安全防御等功能，是集多種功能為一體的綜合性網絡安全設備，為網絡安全提供完整的立體式入侵防護。

4 體系架構

TI-51628入侵防御引擎（Protect Engine）用于檢測網絡中數據的合法性，是TI-51628的核心組件，以嵌入模式部署于要保護的網絡中，引擎內置違反安全事件數據庫，用于存儲檢測到的安全事件信息。集中管理器（Central Manager）有兩種管理方式可供選擇，一種是通過Web方式對單一引擎設備進行管理，安全事件信息存儲于引擎設備本地；另一種是通過集中管理器對多個引擎設備進行統一的集中控制和管理，同時集中存儲安全事件信息。endprint

5 TI-51628主要功能

（1）網絡適應性：直連、路由、IDS監聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網絡。（2）入侵防御：超過3500條攻擊規則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統漏洞類。（3）病毒過濾：基于數據流的查殺模式，實時阻斷含有網絡病毒的數據報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協議。（4）上網行為管理：內網實時監控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網絡在線視頻、網絡游戲、股票交易、及時通訊、上傳下載、網絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網絡衛士入侵防御系統部署在網絡接口處，部署在防火墻后端，清洗過濾網絡流量。也可兩路同時接入，實現對多條鏈路的防護。TI-51628網絡衛士入侵防御系統可根據網絡環境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區域定制相應的防護規則。TI-51628網絡衛士入侵防御系統可以全面監控內部網絡終端的網絡行為，可對辦公區、學生宿舍區、教學區、綜合后勤區域等進行上網行為管控，控制各種網絡訪問和網絡應用。對特定的服務器區域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區的安全。

7 結語

隨著校園網絡信息程度日漸加深，學校的教學、科研、行政管理等數據更加依賴網絡；網絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網絡上傳播，阻塞甚至中斷網絡甚至造成系統數據篡改和丟失。因此，部署網絡入侵防御系統可以為校園網絡提供全面的主動網絡防護能力，全面保障校園網絡的系統的運行安全、數據安全、網絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統（IPS）的技術研究及其實現.通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網絡入侵防御系統研究.小型微型計算機系統，2005，（11）.endprint

5 TI-51628主要功能

（1）網絡適應性：直連、路由、IDS監聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網絡。（2）入侵防御：超過3500條攻擊規則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統漏洞類。（3）病毒過濾：基于數據流的查殺模式，實時阻斷含有網絡病毒的數據報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協議。（4）上網行為管理：內網實時監控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網絡在線視頻、網絡游戲、股票交易、及時通訊、上傳下載、網絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網絡衛士入侵防御系統部署在網絡接口處，部署在防火墻后端，清洗過濾網絡流量。也可兩路同時接入，實現對多條鏈路的防護。TI-51628網絡衛士入侵防御系統可根據網絡環境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區域定制相應的防護規則。TI-51628網絡衛士入侵防御系統可以全面監控內部網絡終端的網絡行為，可對辦公區、學生宿舍區、教學區、綜合后勤區域等進行上網行為管控，控制各種網絡訪問和網絡應用。對特定的服務器區域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區的安全。

7 結語

隨著校園網絡信息程度日漸加深，學校的教學、科研、行政管理等數據更加依賴網絡；網絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網絡上傳播，阻塞甚至中斷網絡甚至造成系統數據篡改和丟失。因此，部署網絡入侵防御系統可以為校園網絡提供全面的主動網絡防護能力，全面保障校園網絡的系統的運行安全、數據安全、網絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統（IPS）的技術研究及其實現.通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網絡入侵防御系統研究.小型微型計算機系統，2005，（11）.endprint

5 TI-51628主要功能

（1）網絡適應性：直連、路由、IDS監聽及混合模式接入。多端口鏈路聚合，支持11種負載均衡算法。支持IPv6、MPLS、PPPoE網絡。（2）入侵防御：超過3500條攻擊規則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務（DDOS）、木馬、蠕蟲、掃描、HTTP攻擊類、系統漏洞類。（3）病毒過濾：基于數據流的查殺模式，實時阻斷含有網絡病毒的數據報文和連接；超過100萬條病毒庫、實時更新；支持HTTP、FTP、POP3、SMTP協議。（4）上網行為管理：內網實時監控，600多萬條URL地址分類庫，可以控制對主頁的訪問；基于應用（網絡視頻、聊天等）的細粒度控制，可以輕松對應用進行限流、禁止、限定時間段。（5）Web安全：Web服務器弱點掃描，無須安裝客戶端軟件，實現主頁防篡改，主頁恢復功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報文攻擊；統計型報文攻擊；支持Flood閥值自學習功能，學習時間可設置；支持Flood服務器閾值、服務器高壓閾值、單機閾值設置。（7）應用識別：支持網絡在線視頻、網絡游戲、股票交易、及時通訊、上傳下載、網絡電話等各類應用。

6 TI-51628部署方案

將TI-51628網絡衛士入侵防御系統部署在網絡接口處，部署在防火墻后端，清洗過濾網絡流量。也可兩路同時接入，實現對多條鏈路的防護。TI-51628網絡衛士入侵防御系統可根據網絡環境，靈活選擇一對一、多對一或者一對多的部署方式，并針對不同區域定制相應的防護規則。TI-51628網絡衛士入侵防御系統可以全面監控內部網絡終端的網絡行為，可對辦公區、學生宿舍區、教學區、綜合后勤區域等進行上網行為管控，控制各種網絡訪問和網絡應用。對特定的服務器區域，可以配置DOS/DDOS防御策略、蠕蟲、木馬等，保護服務器區的安全。

7 結語

隨著校園網絡信息程度日漸加深，學校的教學、科研、行政管理等數據更加依賴網絡；網絡攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬的蠕蟲、病毒、木馬在網絡上傳播，阻塞甚至中斷網絡甚至造成系統數據篡改和丟失。因此，部署網絡入侵防御系統可以為校園網絡提供全面的主動網絡防護能力，全面保障校園網絡的系統的運行安全、數據安全、網絡安全。

參考文獻

[1]劉合安.基于免疫的新型入侵防御模型.計算機應用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統（IPS）的技術研究及其實現.通信技術，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網絡入侵防御系統研究.小型微型計算機系統，2005，（11）.endprint