基于IPS的校園網動態防御系統的研究

杜理明

(隴南師范高等專科學校 物理與信息技術系，甘肅 成縣 742500)

近年來，高校校園網的建設呈現出迅猛的發展勢頭，正在積極推動教育與科研事業的前進.但是，由于校園網具有開放性、共享性和互聯性等特點，被入侵和攻擊成為不可避免的現實，并且這些安全問題正在變得日益嚴重，使教學、科研工作受到巨大的危害.究其原因主要有：校園網中的設備種類和型號多、生產商復雜，網絡安全維護的人力和財力投入少，管理跟不上；校園里很多學生通過網絡在線看電影、聽音樂，很容易造成網絡擁塞和病毒傳播；也有些大學生對網絡新技術和攻擊技術非常好奇，經常嘗試；還有來自網絡內部的病毒、蠕蟲、木馬威脅等等.不過，最重要的問題是：在校園網上缺乏先進的網絡安全技術、工具手段和優秀產品，目前使用的防火墻、防病毒軟件等構成的靜態安全防御系統，以及入侵檢測系統在設計上都存在很大的漏洞，已不能勝任對當前計算機和網絡全方位的保護.因此，我們在未來校園網規模更大、受攻擊更多、更難檢測、危害也將更嚴重的形勢下，應該結合當前網絡環境，不斷創新技術，構建更加安全的防御系統.本文在目前流行的防火墻和入侵檢測系統基礎上，嘗試引入新的技術——入侵防御系統(IPS，Intrusion Prevention system)，建立基于入侵防御系統的校園網安全動態防御系統，可以有效提高校園網的安全性能.

1 防火墻與入侵檢測技術

1.1 防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性的安全技術[1]，是保護校園網絡安全使用最廣泛的安全技術之一.它是一種用于過濾由公眾互聯網連接到用戶內部網絡或計算機系統上的軟件或硬件設備的集合.防火墻需要事先制定相應的安全規則，根據規則決定某些報文可以通過，而某些報文則不允許通過.它對內部和外部網絡之間的信息交換和訪問行為進行掃描，將一些攻擊過濾掉，防止在目標計算機上被執行，以達到控制和檢測的目的.防火墻可以通過關閉不使用的端口，控制特定端口不能流出通信，也可以禁止來自特殊站點的訪問，攔截來自入侵者甚至是不明入侵者的所有通信.防火墻使用訪問控制策略，在兩個或更多網絡之間安裝防火墻，以阻斷來自外部網絡對內部網絡的威脅和入侵，并過濾不想要的信息，保留想要的信息，增強內部網絡的安全性[2].

1.2 入侵檢測技術

入侵檢測系統(IDS)是一種主動信息安全防范技術，它通過對計算機網絡或計算機系統中的若干關鍵點的信息收集和分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊可能的一種安全技術.入侵檢測具有檢測、記錄、報警和響應功能，它通過旁路監聽的方式不間斷的收取網絡數據，但對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警.與防火墻不同的是，入侵檢測技術不但能對外部網絡的入侵行為進行監測和檢測，也能對內部網絡的非法操作及內部發生的攻擊進行檢測和報警，這恰恰是防火墻做不到的.所以說，入侵檢測技術是防火墻的有力補充，它們是構成目前校園網安全系統的主要技術.入侵檢測系統根據系統所監測的對象可分為主機型入侵檢測系統(HIDS)和網絡型入侵檢測系統(NIDS).由于校園網結構清晰，層次分明，應用系統復雜，采用主機型入侵檢測需要部署多臺主機，投入較大，而采用網絡型入侵檢測的性價比相對較高.

1.3 防火墻與入侵檢測系統的局限性

防火墻技術使校園網的安全性有了極大的提高，不過隨著新的網絡技術的不斷出現和應用，網絡攻擊的手段和方法也在不斷更新，如利用基本網絡協議，甚至嵌入在上層應用協議中進行攻擊，這些都可以輕而易舉地逃避防火墻的攔截，顯然，防火墻有很大的局限性，主要表現在：防火墻防外不防內，無法阻止內部主動發起的攻擊；也無法檢測加密的網絡流量；防火墻的并發連接數限制容易導致擁塞或者溢出；它不能抵抗最新的未設置策略的攻擊漏洞；防火墻是一種靜態安全防御技術，不能對入侵者主動出擊，并且它本身也很容易受到攻擊.這樣，防火墻很難使網絡避免受蠕蟲、垃圾郵件、病毒傳播以及拒絕服務等的侵擾，而這些問題正是校園網安全的重災區.因此，為了更好地保護內部網絡不被攻擊，我們一般在防火墻靜態防護的基礎上，利用IDS作為補充，來保障校園網的安全，而且收到了很好地效果，這也是目前校園網普遍使用的主要安全策略.但是，在實際應用中，IDS也存在漏報率和誤報率較高；IDS系統的管理和維護復雜；IDS系統只能檢測攻擊，被動防御，不能預警和阻止攻擊等問題.

其中遇到的有些問題是致命的.所以，入侵檢測系統和防火墻一樣，并不是完全的網絡安全解決方案，要保護網絡免受外部的攻擊威脅，也必須和其它的安全措施結合起來，這樣它們才能真正有效地發揮各自的作用.[1]

2 基于校園網的入侵防御系統

2.1 IPS技術

入侵防御系統(IPS)是一種部署在網關位置的安全設備，它利用攻擊的技術對網絡數據和行為進行深層次檢測，從而更有效的抵御應用層的攻擊.它是一種主動的、智能的入侵檢測、防范和阻止系統，能夠檢測和精確阻止入侵活動和攻擊通信，而不是簡單地在惡意流量傳遞時或傳送后才發出警報，在不影響網絡性能和可用性的前提下，把所有IDS可能出現的誤報阻隔在網絡之外.當它經過檢測，如果發現有攻擊意圖的數據包時，會直接丟掉此攻擊包，或者采取措施阻斷攻擊源.入侵防御系統一般部署在網關處的防火墻之后，是一種消除漏報、誤報的新技術.

IPS檢測時，首先從入侵源將系統、網絡、數據及用戶活動的狀態和行為等信息進行收集，是由專門功能的模塊——信息采集模塊來完成的，主要檢測的是系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式等四個方面的入侵信息；然后對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息進行分析，這由另一功能模塊——信號分析模塊來完成，主要使用模式匹配、協議分析、統計分析和完整性分析等技術手段；最后對采集、分析后的結果做出相應的反應，由反應模塊完成.IPS與IDS在檢測方面的原理是相同的.如圖1所示：

圖1 IPS防御模型

圖2 基于IPS的校園網動態防御系統結構圖

IPS根據部署方式可分為3類：網絡型入侵防護系統(NIPS)、主機型入侵防護系統(HIPS)和應用型入侵防護系統(AIPS).[2]

2.2 IPS技術的特點

IPS能以更細粒度的方式檢測網絡流量，對安全事件進行主動響應，從而能夠更全面地防止攻擊，和目前常用的防火墻和IDS等安全技術相比，具有更大的優勢，其特點主要有：

(l)嵌入式在線運行模式.網絡IPS系統也稱為內嵌式IDS(in-line IDS)，它能夠實時阻攔所有可疑的數據包，實現實時安全防護.

(2)高質量的入侵特征庫.IPS根據網絡的通信環境與被入侵狀況，對新的攻擊包進行特征分析與抽取，然后立即更新特征庫，自動總結并定制最新的安全防御策略，是智能化的.

(3)先進的檢測技術.IPS對于所有流經數據包進行并行處理檢測和協議重組分析，IPS根據不同應用協議的特征與攻擊方式，對于重組后的數據包進行篩選，將有攻擊企圖的攻擊包送入特征庫，并進行比對，來提高檢測的質量與效率.

(4)高效處理數據包能力.

2.3 校園網入侵防御系統的設計

目前，校園網安全系統主要采用防火墻與入侵檢測技術，但由于在應用中技術局限性很多，面對當前復雜的網絡環境，這種安全防御模式已經顯得力不從心，不能很好地適應校園網發展的需要.不過，我們發現引入IPS技術，能夠很好地解決當前所面臨的問題.在原來防火墻和IDS的安全策略的基礎上，利用IPS技術的技術優勢，構造一個新安全系統體系，可以使校園網得到全方位的保護.

根據IPS和校園網的特點，分別使用網絡型入侵防護系統(NIPS)、主機型入侵防護系統(HIPS)和應用型入侵防護系統(AIPS).基于IPS的校園網動態防御系統結構圖，如圖2所示.在介于防火墻與路由器之間的校園網出口處布署一臺NIPS，實現網絡架構防護，可以提前攔截DoS與DDoS、未知的蠕蟲、異常應用程序等流量攻擊，避免造成的網絡中斷或擁塞，保護防火墻和核心交換機等設備免受入侵和攻擊；在三層交換機與核心交換機之間部署一臺NIPS，可以有效地監測、阻止來自一般主機對于公共訪問和重要服務器群的攻擊；在應用服務器前布署一臺AIPS，可以有效保護應用服務器；在重要服務器群和重要主機之內布署一臺HIPS，以保護這些設備的安全；在核心交換處部署一臺IDS，作為一項輔助安全設備，檢測入侵和提取入侵信息和特征；[3]而在核心交換機與IPS之間設置防火墻，可以提供訪問控制與安全策略.為了實現校園網IPS系統的安全防御功能，可以根據功能進行模塊化設計，一般由數據分析、分析檢測、管理控制、響應、規則庫、審計和協作防御等模塊實現[4]，這里不再論述.

3 入侵防御系統在校園網安全應用的意義

入侵防御系統不是一種安全技術的變革，而是對現有技術的改進.目前，全球網絡安全設備廠商都非常熱衷于入侵防御系統.將入侵防御系統應用于校園網中，不是對原有的防御系統進行推倒重建，而是在原來的基礎上加入新技術，形成了一個目前而言相對合理的校園網安全動態防御系統，具有很高的經濟價值.新系統中，入侵防御系統、防火墻、入侵檢測系統之間可以產生安全事件及規則信息的交流和共享，通過聯動檢測達到深度防御的效果.更重要的是，它對校園網絡訪問的各個環節都做了有效的防護，實現了校園網動態的、全局的安全防御，可以有效地解決校園網內存在的安全問題，為學校教師和學生的日常工作學習帶來了極大的便利.

參考文獻：

[1]劉影.分布式入侵檢測技術在校園網中的應用研究[D].合肥：合肥工業大學，2009:8.

[2]思科系統(中國)網絡技術有限公司.下一代網絡安全[M].北京:北京郵電大學出版社，2006:116～117.

[3]孫宇.網絡入侵防御系統IPS架構設計及關鍵問題研究[D].天津：天津大學電子與信息工程學院，2005:26.

[4]聶林.合作式入侵防御系統的設計與實現[D].西安：西安電子科技大學，2005:29.