网络入侵防御系统（NIPS）在校园网中的应用

李洪民

摘要：高校正在建设以数字化校园为主要内容的网络应用，为保证校园网络的正常运行，网络安全是校园网络应用的重要保证，尤其数据安全、网络安全、运行安全等，在努力建设应用的过程中，必须将安全放在重要位置，本文介绍了网络入侵防御系统的原理、功能及在高校校园网中的应用

关键词：IDS HIPS NIPS 数字化校园

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）08-0186-02

在不断加强校园网络应用的过程中，网络安全始终是校园网络建设的关键，DOS、DDos、安全漏洞、僵尸、黑客等暴力类型攻击以其操作简单，效果显著的特点，逐渐成为互联网上的主要攻击手段；高速网络上各种网络蠕虫层出不穷，以很快的速度在全球网络中传播，给用户带来了无尽的困扰，某些校园用户甚至服务器已经成僵尸主机，为黑客的攻击提供了阶梯和便利；由内部用户发起的攻击行为也对校园网造成了不良的影响，传统的网络安全技术如防火墙，入侵检测、漏洞扫描、蜜罐等，已不能满足网络安全的需要，特别是校园一卡通系统、人事系统、网络教学平台、财务系统均在校园网上运行，并将数据全部存储在数据中心，给管理员带来了很大的压力。入侵防御系统克服了入侵检测系统（IDS）被动检测的弊端，综合了各种传统网络安全技术的优点，从而为网络提供更加主动全面的安全保护。

1 入侵防御系统简介

入侵防御系统（IPS英文全称是Intrusion Prevention System）是一种主动的、智能的入侵检测和防御系统。它是继入侵检测技术之后发展起来的新型技术，继承了入侵检测技术优势的同时，避免了入侵检测系统（IDS）存在的一些不足，适应了现代高速互联网络对安全的要求。入侵防御系统设计的目的是将收集到的数据流在进入受保护网络之前，对可疑数据包、非法入侵和各种攻击进行拦截。

入侵防御系统根据部署方式分为基于主机的入侵防御系统（Host-based Intrusion Prevention System，简称HIPS）和基于网络的入侵防御系统（Network-based Intrusion Prevention System，简称NIPS）。NIPS兼有IDS、防火墙和反病毒等安全组件的特性，有时也被称为内嵌式IDS或网关式IDS。NIPS通常串联在网络的主干线上，所有通过受保护网段的数据流都要通过它。NIPS通过特征匹配、协议分析等方法检测通过的数据流，一旦检测到恶意的数据包，就会根据实际情况选择适当的响应方式，如终止会话、丢弃包、报警等，而合法数据包就从另一个接口传递到目的主机。我校在校园网络主干部署了北京天融信科技股份有限公司的网络入侵防御系统TI-51628，该系统自部署以来，工作稳定，Web界面操作方便，校园网络安全得到了一定程度的防护，以下介绍NIPS TI-51628的工作原理、功能及其在校园网中的应用。

2 基本原理

NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击；协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。分析能够理解不同协议的工作原理，以此分析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于标准（如RFC），还基于协议的具体实现，这是因为很多协议的实现偏离了协议标准。通过协议分析，NIPS能够针对插入（Insertion）与规避（Evasion）攻击进行检测；异常检测的误报率比较高，NIPS不将其作为主要技术。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机服务器操作系统平台无关。

3 网络入侵防御系统TI-51628简介

网络入侵防御系统TI-51628采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络服务资源，使其免受各种外部攻击侵扰。TI-51628能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。TI-51628还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。TI-51628采用多核处理器硬件平台，基于新一代并行处理技术架构，内置处理器动态负载均衡技术，实现了对网络数据流的高性能实时检测和防御。TI-51628采用基于目标主机的流检测引擎，可即时处理IP分片和TCP流重组，有效阻断各种逃逸检测的攻击手段，不断跟踪、挖掘和分析新出现的各种漏洞信息，全面、准确和及时有效的检测和防御。

TI-51628除入侵防御功能外，还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤、内网监控和WEB安全防御等功能，是集多种功能为一体的综合性网络安全设备，为网络安全提供完整的立体式入侵防护。

4 体系架构

TI-51628入侵防御引擎（Protect Engine）用于检测网络中数据的合法性，是TI-51628的核心组件，以嵌入模式部署于要保护的网络中，引擎内置违反安全事件数据库，用于存储检测到的安全事件信息。集中管理器（Central Manager）有两种管理方式可供选择，一种是通过Web方式对单一引擎设备进行管理，安全事件信息存储于引擎设备本地；另一种是通过集中管理器对多个引擎设备进行统一的集中控制和管理，同时集中存储安全事件信息。endprint

5 TI-51628主要功能

（1）网络适应性：直连、路由、IDS监听及混合模式接入。多端口链路聚合，支持11种负载均衡算法。支持IPv6、MPLS、PPPoE网络。（2）入侵防御：超过3500条攻击规则。全面防御溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务（DDOS）、木马、蠕虫、扫描、HTTP攻击类、系统漏洞类。（3）病毒过滤：基于数据流的查杀模式，实时阻断含有网络病毒的数据报文和连接；超过100万条病毒库、实时更新；支持HTTP、FTP、POP3、SMTP协议。（4）上网行为管理：内网实时监控，600多万条URL地址分类库，可以控制对主页的访问；基于应用（网络视频、聊天等）的细粒度控制，可以轻松对应用进行限流、禁止、限定时间段。（5）Web安全：Web服务器弱点扫描，无须安装客户端软件，实现主页防篡改，主页恢复功能。（6）DOS/DDOS防御：支持CC攻击防御；DNS异常包防御、DHCP攻击防御；非法报文攻击；统计型报文攻击；支持Flood阀值自学习功能，学习时间可设置；支持Flood服务器阈值、服务器高压阈值、单机阈值设置。（7）应用识别：支持网络在线视频、网络游戏、股票交易、及时通讯、上传下载、网络电话等各类应用。

6 TI-51628部署方案

将TI-51628网络卫士入侵防御系统部署在网络接口处，部署在防火墙后端，清洗过滤网络流量。也可两路同时接入，实现对多条链路的防护。TI-51628网络卫士入侵防御系统可根据网络环境，灵活选择一对一、多对一或者一对多的部署方式，并针对不同区域定制相应的防护规则。TI-51628网络卫士入侵防御系统可以全面监控内部网络终端的网络行为，可对办公区、学生宿舍区、教学区、综合后勤区域等进行上网行为管控，控制各种网络访问和网络应用。对特定的服务器区域，可以配置DOS/DDOS防御策略、蠕虫、木马等，保护服务器区的安全。

7 结语

随着校园网络信息程度日渐加深，学校的教学、科研、行政管理等数据更加依赖网络；网络攻击的手段更加多样化，攻击工具获取随意可得，每天上成千上万的蠕虫、病毒、木马在网络上传播，阻塞甚至中断网络甚至造成系统数据篡改和丢失。因此，部署网络入侵防御系统可以为校园网络提供全面的主动网络防护能力，全面保障校园网络的系统的运行安全、数据安全、网络安全。

参考文献

[1]刘合安.基于免疫的新型入侵防御模型.计算机应用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系统（IPS）的技术研究及其实现.通信技术，2003，（6）.

[3]康晓宁，蒋东兴.分布式高速网络入侵防御系统研究.小型微型计算机系统，2005，（11）.endprint

5 TI-51628主要功能

（1）网络适应性：直连、路由、IDS监听及混合模式接入。多端口链路聚合，支持11种负载均衡算法。支持IPv6、MPLS、PPPoE网络。（2）入侵防御：超过3500条攻击规则。全面防御溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务（DDOS）、木马、蠕虫、扫描、HTTP攻击类、系统漏洞类。（3）病毒过滤：基于数据流的查杀模式，实时阻断含有网络病毒的数据报文和连接；超过100万条病毒库、实时更新；支持HTTP、FTP、POP3、SMTP协议。（4）上网行为管理：内网实时监控，600多万条URL地址分类库，可以控制对主页的访问；基于应用（网络视频、聊天等）的细粒度控制，可以轻松对应用进行限流、禁止、限定时间段。（5）Web安全：Web服务器弱点扫描，无须安装客户端软件，实现主页防篡改，主页恢复功能。（6）DOS/DDOS防御：支持CC攻击防御；DNS异常包防御、DHCP攻击防御；非法报文攻击；统计型报文攻击；支持Flood阀值自学习功能，学习时间可设置；支持Flood服务器阈值、服务器高压阈值、单机阈值设置。（7）应用识别：支持网络在线视频、网络游戏、股票交易、及时通讯、上传下载、网络电话等各类应用。

6 TI-51628部署方案

将TI-51628网络卫士入侵防御系统部署在网络接口处，部署在防火墙后端，清洗过滤网络流量。也可两路同时接入，实现对多条链路的防护。TI-51628网络卫士入侵防御系统可根据网络环境，灵活选择一对一、多对一或者一对多的部署方式，并针对不同区域定制相应的防护规则。TI-51628网络卫士入侵防御系统可以全面监控内部网络终端的网络行为，可对办公区、学生宿舍区、教学区、综合后勤区域等进行上网行为管控，控制各种网络访问和网络应用。对特定的服务器区域，可以配置DOS/DDOS防御策略、蠕虫、木马等，保护服务器区的安全。

7 结语

随着校园网络信息程度日渐加深，学校的教学、科研、行政管理等数据更加依赖网络；网络攻击的手段更加多样化，攻击工具获取随意可得，每天上成千上万的蠕虫、病毒、木马在网络上传播，阻塞甚至中断网络甚至造成系统数据篡改和丢失。因此，部署网络入侵防御系统可以为校园网络提供全面的主动网络防护能力，全面保障校园网络的系统的运行安全、数据安全、网络安全。

参考文献

[1]刘合安.基于免疫的新型入侵防御模型.计算机应用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系统（IPS）的技术研究及其实现.通信技术，2003，（6）.

[3]康晓宁，蒋东兴.分布式高速网络入侵防御系统研究.小型微型计算机系统，2005，（11）.endprint

5 TI-51628主要功能

（1）网络适应性：直连、路由、IDS监听及混合模式接入。多端口链路聚合，支持11种负载均衡算法。支持IPv6、MPLS、PPPoE网络。（2）入侵防御：超过3500条攻击规则。全面防御溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务（DDOS）、木马、蠕虫、扫描、HTTP攻击类、系统漏洞类。（3）病毒过滤：基于数据流的查杀模式，实时阻断含有网络病毒的数据报文和连接；超过100万条病毒库、实时更新；支持HTTP、FTP、POP3、SMTP协议。（4）上网行为管理：内网实时监控，600多万条URL地址分类库，可以控制对主页的访问；基于应用（网络视频、聊天等）的细粒度控制，可以轻松对应用进行限流、禁止、限定时间段。（5）Web安全：Web服务器弱点扫描，无须安装客户端软件，实现主页防篡改，主页恢复功能。（6）DOS/DDOS防御：支持CC攻击防御；DNS异常包防御、DHCP攻击防御；非法报文攻击；统计型报文攻击；支持Flood阀值自学习功能，学习时间可设置；支持Flood服务器阈值、服务器高压阈值、单机阈值设置。（7）应用识别：支持网络在线视频、网络游戏、股票交易、及时通讯、上传下载、网络电话等各类应用。

6 TI-51628部署方案

将TI-51628网络卫士入侵防御系统部署在网络接口处，部署在防火墙后端，清洗过滤网络流量。也可两路同时接入，实现对多条链路的防护。TI-51628网络卫士入侵防御系统可根据网络环境，灵活选择一对一、多对一或者一对多的部署方式，并针对不同区域定制相应的防护规则。TI-51628网络卫士入侵防御系统可以全面监控内部网络终端的网络行为，可对办公区、学生宿舍区、教学区、综合后勤区域等进行上网行为管控，控制各种网络访问和网络应用。对特定的服务器区域，可以配置DOS/DDOS防御策略、蠕虫、木马等，保护服务器区的安全。

7 结语

随着校园网络信息程度日渐加深，学校的教学、科研、行政管理等数据更加依赖网络；网络攻击的手段更加多样化，攻击工具获取随意可得，每天上成千上万的蠕虫、病毒、木马在网络上传播，阻塞甚至中断网络甚至造成系统数据篡改和丢失。因此，部署网络入侵防御系统可以为校园网络提供全面的主动网络防护能力，全面保障校园网络的系统的运行安全、数据安全、网络安全。

参考文献

[1]刘合安.基于免疫的新型入侵防御模型.计算机应用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系统（IPS）的技术研究及其实现.通信技术，2003，（6）.

[3]康晓宁，蒋东兴.分布式高速网络入侵防御系统研究.小型微型计算机系统，2005，（11）.endprint