基于IPS的校园网动态防御系统的研究

杜理明

(陇南师范高等专科学校 物理与信息技术系，甘肃 成县 742500)

近年来，高校校园网的建设呈现出迅猛的发展势头，正在积极推动教育与科研事业的前进.但是，由于校园网具有开放性、共享性和互联性等特点，被入侵和攻击成为不可避免的现实，并且这些安全问题正在变得日益严重，使教学、科研工作受到巨大的危害.究其原因主要有：校园网中的设备种类和型号多、生产商复杂，网络安全维护的人力和财力投入少，管理跟不上；校园里很多学生通过网络在线看电影、听音乐，很容易造成网络拥塞和病毒传播；也有些大学生对网络新技术和攻击技术非常好奇，经常尝试；还有来自网络内部的病毒、蠕虫、木马威胁等等.不过，最重要的问题是：在校园网上缺乏先进的网络安全技术、工具手段和优秀产品，目前使用的防火墙、防病毒软件等构成的静态安全防御系统，以及入侵检测系统在设计上都存在很大的漏洞，已不能胜任对当前计算机和网络全方位的保护.因此，我们在未来校园网规模更大、受攻击更多、更难检测、危害也将更严重的形势下，应该结合当前网络环境，不断创新技术，构建更加安全的防御系统.本文在目前流行的防火墙和入侵检测系统基础上，尝试引入新的技术——入侵防御系统(IPS，Intrusion Prevention system)，建立基于入侵防御系统的校园网安全动态防御系统，可以有效提高校园网的安全性能.

1 防火墙与入侵检测技术

1.1 防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性的安全技术[1]，是保护校园网络安全使用最广泛的安全技术之一.它是一种用于过滤由公众互联网连接到用户内部网络或计算机系统上的软件或硬件设备的集合.防火墙需要事先制定相应的安全规则，根据规则决定某些报文可以通过，而某些报文则不允许通过.它对内部和外部网络之间的信息交换和访问行为进行扫描，将一些攻击过滤掉，防止在目标计算机上被执行，以达到控制和检测的目的.防火墙可以通过关闭不使用的端口，控制特定端口不能流出通信，也可以禁止来自特殊站点的访问，拦截来自入侵者甚至是不明入侵者的所有通信.防火墙使用访问控制策略，在两个或更多网络之间安装防火墙，以阻断来自外部网络对内部网络的威胁和入侵，并过滤不想要的信息，保留想要的信息，增强内部网络的安全性[2].

1.2 入侵检测技术

入侵检测系统(IDS)是一种主动信息安全防范技术，它通过对计算机网络或计算机系统中的若干关键点的信息收集和分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击可能的一种安全技术.入侵检测具有检测、记录、报警和响应功能，它通过旁路监听的方式不间断的收取网络数据，但对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警.与防火墙不同的是，入侵检测技术不但能对外部网络的入侵行为进行监测和检测，也能对内部网络的非法操作及内部发生的攻击进行检测和报警，这恰恰是防火墙做不到的.所以说，入侵检测技术是防火墙的有力补充，它们是构成目前校园网安全系统的主要技术.入侵检测系统根据系统所监测的对象可分为主机型入侵检测系统(HIDS)和网络型入侵检测系统(NIDS).由于校园网结构清晰，层次分明，应用系统复杂，采用主机型入侵检测需要部署多台主机，投入较大，而采用网络型入侵检测的性价比相对较高.

1.3 防火墙与入侵检测系统的局限性

防火墙技术使校园网的安全性有了极大的提高，不过随着新的网络技术的不断出现和应用，网络攻击的手段和方法也在不断更新，如利用基本网络协议，甚至嵌入在上层应用协议中进行攻击，这些都可以轻而易举地逃避防火墙的拦截，显然，防火墙有很大的局限性，主要表现在：防火墙防外不防内，无法阻止内部主动发起的攻击；也无法检测加密的网络流量；防火墙的并发连接数限制容易导致拥塞或者溢出；它不能抵抗最新的未设置策略的攻击漏洞；防火墙是一种静态安全防御技术，不能对入侵者主动出击，并且它本身也很容易受到攻击.这样，防火墙很难使网络避免受蠕虫、垃圾邮件、病毒传播以及拒绝服务等的侵扰，而这些问题正是校园网安全的重灾区.因此，为了更好地保护内部网络不被攻击，我们一般在防火墙静态防护的基础上，利用IDS作为补充，来保障校园网的安全，而且收到了很好地效果，这也是目前校园网普遍使用的主要安全策略.但是，在实际应用中，IDS也存在漏报率和误报率较高；IDS系统的管理和维护复杂；IDS系统只能检测攻击，被动防御，不能预警和阻止攻击等问题.

其中遇到的有些问题是致命的.所以，入侵检测系统和防火墙一样，并不是完全的网络安全解决方案，要保护网络免受外部的攻击威胁，也必须和其它的安全措施结合起来，这样它们才能真正有效地发挥各自的作用.[1]

2 基于校园网的入侵防御系统

2.1 IPS技术

入侵防御系统(IPS)是一种部署在网关位置的安全设备，它利用攻击的技术对网络数据和行为进行深层次检测，从而更有效的抵御应用层的攻击.它是一种主动的、智能的入侵检测、防范和阻止系统，能够检测和精确阻止入侵活动和攻击通信，而不是简单地在恶意流量传递时或传送后才发出警报，在不影响网络性能和可用性的前提下，把所有IDS可能出现的误报阻隔在网络之外.当它经过检测，如果发现有攻击意图的数据包时，会直接丢掉此攻击包，或者采取措施阻断攻击源.入侵防御系统一般部署在网关处的防火墙之后，是一种消除漏报、误报的新技术.

IPS检测时，首先从入侵源将系统、网络、数据及用户活动的状态和行为等信息进行收集，是由专门功能的模块——信息采集模块来完成的，主要检测的是系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式等四个方面的入侵信息；然后对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析，这由另一功能模块——信号分析模块来完成，主要使用模式匹配、协议分析、统计分析和完整性分析等技术手段；最后对采集、分析后的结果做出相应的反应，由反应模块完成.IPS与IDS在检测方面的原理是相同的.如图1所示：

图1 IPS防御模型

图2 基于IPS的校园网动态防御系统结构图

IPS根据部署方式可分为3类：网络型入侵防护系统(NIPS)、主机型入侵防护系统(HIPS)和应用型入侵防护系统(AIPS).[2]

2.2 IPS技术的特点

IPS能以更细粒度的方式检测网络流量，对安全事件进行主动响应，从而能够更全面地防止攻击，和目前常用的防火墙和IDS等安全技术相比，具有更大的优势，其特点主要有：

(l)嵌入式在线运行模式.网络IPS系统也称为内嵌式IDS(in-line IDS)，它能够实时阻拦所有可疑的数据包，实现实时安全防护.

(2)高质量的入侵特征库.IPS根据网络的通信环境与被入侵状况，对新的攻击包进行特征分析与抽取，然后立即更新特征库，自动总结并定制最新的安全防御策略，是智能化的.

(3)先进的检测技术.IPS对于所有流经数据包进行并行处理检测和协议重组分析，IPS根据不同应用协议的特征与攻击方式，对于重组后的数据包进行筛选，将有攻击企图的攻击包送入特征库，并进行比对，来提高检测的质量与效率.

(4)高效处理数据包能力.

2.3 校园网入侵防御系统的设计

目前，校园网安全系统主要采用防火墙与入侵检测技术，但由于在应用中技术局限性很多，面对当前复杂的网络环境，这种安全防御模式已经显得力不从心，不能很好地适应校园网发展的需要.不过，我们发现引入IPS技术，能够很好地解决当前所面临的问题.在原来防火墙和IDS的安全策略的基础上，利用IPS技术的技术优势，构造一个新安全系统体系，可以使校园网得到全方位的保护.

根据IPS和校园网的特点，分别使用网络型入侵防护系统(NIPS)、主机型入侵防护系统(HIPS)和应用型入侵防护系统(AIPS).基于IPS的校园网动态防御系统结构图，如图2所示.在介于防火墙与路由器之间的校园网出口处布署一台NIPS，实现网络架构防护，可以提前拦截DoS与DDoS、未知的蠕虫、异常应用程序等流量攻击，避免造成的网络中断或拥塞，保护防火墙和核心交换机等设备免受入侵和攻击；在三层交换机与核心交换机之间部署一台NIPS，可以有效地监测、阻止来自一般主机对于公共访问和重要服务器群的攻击；在应用服务器前布署一台AIPS，可以有效保护应用服务器；在重要服务器群和重要主机之内布署一台HIPS，以保护这些设备的安全；在核心交换处部署一台IDS，作为一项辅助安全设备，检测入侵和提取入侵信息和特征；[3]而在核心交换机与IPS之间设置防火墙，可以提供访问控制与安全策略.为了实现校园网IPS系统的安全防御功能，可以根据功能进行模块化设计，一般由数据分析、分析检测、管理控制、响应、规则库、审计和协作防御等模块实现[4]，这里不再论述.

3 入侵防御系统在校园网安全应用的意义

入侵防御系统不是一种安全技术的变革，而是对现有技术的改进.目前，全球网络安全设备厂商都非常热衷于入侵防御系统.将入侵防御系统应用于校园网中，不是对原有的防御系统进行推倒重建，而是在原来的基础上加入新技术，形成了一个目前而言相对合理的校园网安全动态防御系统，具有很高的经济价值.新系统中，入侵防御系统、防火墙、入侵检测系统之间可以产生安全事件及规则信息的交流和共享，通过联动检测达到深度防御的效果.更重要的是，它对校园网络访问的各个环节都做了有效的防护，实现了校园网动态的、全局的安全防御，可以有效地解决校园网内存在的安全问题，为学校教师和学生的日常工作学习带来了极大的便利.

参考文献：

[1]刘影.分布式入侵检测技术在校园网中的应用研究[D].合肥：合肥工业大学，2009:8.

[2]思科系统(中国)网络技术有限公司.下一代网络安全[M].北京:北京邮电大学出版社，2006:116～117.

[3]孙宇.网络入侵防御系统IPS架构设计及关键问题研究[D].天津：天津大学电子与信息工程学院，2005:26.

[4]聂林.合作式入侵防御系统的设计与实现[D].西安：西安电子科技大学，2005:29.