目前,互联网中的服务大多是基于C/S模式和INTERNET/INTRANET模式的分布式应用,用户可能分布在世界的任何角落,数据在网络中传输也面临着非常多的危险。如何保证系统安全,保障数据安全,确保数据传输过程中的安全成为了各个网络服务提供商和用户非常关切的问题。而传统的防火墙和入侵检测技术却在防御日益复杂的网络攻击活动中显得力不从心,其被动防御技术队新的攻击方法无法做到快速、及时、有效的识别,从而陷入被动的地位。入侵防御系统IPS (INTRUSION PREVENTION SYSTEM)作为近两年逐渐新奇的一种新的网络安全技术,具有比入侵检测系统IDS更高的主动性和一定程度的智能性,能够保护计算机系统免受未知类型的攻击。
IPS (INTRUSION PREVENTION SYSTEM,即入侵防御系统)。IPS是继IDS(入侵检测系统)发展起来的新型安全技术,在继承了IDS优势的同时,避免了IDS的一些不足之处。入侵检测系统设计的目的是在网络数据进入受保护网络之前,对可疑数据包、各种攻击进行拦截。
入侵防御系统根据部署的方式分为基于主机的入侵防御系统、基于网络的入侵防御系统和应用入侵保护。
HIPS (HOST-BASED INTRUSION PREVENTION SYSTEM, 即基于主机的入侵防御系统) , 可以对系统进程产生的行为, 如运行、文件防伪、注册表修改等进行监控, 同时, 还能够对文件、注册表等资源进行保护, 防止未授权进程或可疑进程进行读写操作或扫描, 防止网络攻击入侵操作系统及应用程序。
HIPS一般需要通过安装的方式将程序安装在在磁盘中,并使相应进程驻留在服务器/主机的内存中。该系统能够通过特征匹配,行为监控等安全策略和主动学习极致来防止对服务器发起的如缓冲区溢出攻击、更改系统口令及其他未授权的恶意入侵。
NIPS (NET-BASED INTRUSION PREVENTION SYSTEM,即基于网络的入侵防御系统),整合了IDS、防火墙和反病毒等安全组件的功能特性。
AIP通常部署在应用服务器之前,通过AIP系统安全策略来方式基于应用协议和设计缺陷的攻击,主要被用来保护特定应用服务的网络设备。
IPS系统工作过程中,先对进过自身的数据流进行捕捉,并将捕捉到的数据送往检测模块。检测模块利用多种检测技术对数据流进行检测,并将检测结果送往响应模块,响应模块根据已配置的策略来对数据流进行相应操作,并将事件记录在日志中。
若检测模块检测到攻击时,将会将该攻击诱导进入蜜罐系统,通过蜜罐系统采集相应特征,并更新攻击入侵特征库,完成整个对攻击的主动识别和自动处理的过程。
高校数字校园的建设在部分省市已经进行得如火如荼了,其他省市也在不断地进行相关的探索和建设。数字校园建设是以信息技术和网络技术为基础,为高校教学、科研、管理、生活等方面进行服务,通过高校信息的手机、处理、整合、存储、传输和应用,是数字资源得到充分优化利用的一种教育服务平台。
通过资源、环境的全面数字化,在传统校园基础上构建出一个数字空间,拓展高校空间和时间维度,提升高校运行效率,保障高校教学质量,最终实现教育过程的标准化、规范化、全面信息化,从而达到提高管理水平和教学水平的最终目的。
在数字化校园的建设过程中,校园一卡通、网上办公、电子商务、信息服务等大量开放,意味着面临的安全风险也急剧增加。数字化校园的安全风险主要表现为:
通过系统或软件漏洞进行攻击。如SQL注入、缓冲区溢出攻击等。
通过消耗系统或网络资源造成设备或网络对合法用户无法响应的攻击。如DOS、DDOS攻击等。
IPS能够有效地阻断各种攻击和入侵,但若仅仅依赖于NIPS或HIPS却无法实现预期的效果。NIPS和HIPS由于有各自的优势和特点,具有一定的互补的特性,那么将他们放置在适合的网络位置上以便发挥出各自的效果,将会使防御体系更加全面,笔者所在的高校就采用了在关键位置上布置IPS的设计方案。其结构可用下图表示:
在这种混合型入侵防御系统网络中,HIPS和NIPS都能够发挥自己的优势,能够对对方无法发现的入侵进行检测。在图2中,NIPS被放置到了DMZ内部,监控、检测、阻断由外部或内部发起的对WEB服务器等服务器的入侵和攻击,需要大家注意的是,NIPS需要正常的发挥作用,需要将NIPS串联在网路中。下面我们以一次外部网络对数据中心敏感数据进行的黑客攻击为例进行混合型入侵防御系统功能展示。
从互联网上传输的攻击数据包先经过第一道防火墙的初步过滤,顺利渗透进入DMZ。这时,NIPS启动了相应的检测程序,对进入DMZ的攻击数据包进行检测,并依据检测结果和相应既定策略进行响应,完成了对WEB服务器的保护。假设在极端条件下,攻击数据包骗过了NIPS的检测,顺利地攻陷了WEB服务器,那么黑客还需要突破第二道防火墙才能访问数据中心网络。同时,数据中心所拥有的HIPS启动监控和检测程序,对攻击数据包再次进行检测和响应。从上面的分析可以看出,NIPS和HIPS所构成的混合型入侵防御系统配合DMZ能够非常有效的截获、阻止来自于外部网络的黑客攻击。
对于内部网络的攻击,我们可以采用VLAN等基本安全技术配合防火墙完成第一次的数据包检测和过滤。此时,NIPS没有工作,HIPS成为了主要的检测手段。HIPS安装在数据中心的每一台服务器上,对所有流入或流出的数据进行检测,相应的应用程序和操作系统的操作也会被检测,以确定是否含有攻击行为。当HIPS检测到攻击行为时,将会在网络接口层直接截获、屏蔽攻击数据包,或者启动第三方安全应用程序来阻止攻击行为。
NIPS和HIPS所构成的混合型入侵防御系统能够同时进行网络监控和主机监控,使得监控覆盖全网络,避免了监控的盲区,不光能够防御外部的攻击,也能够防御内部的攻击,在数字校园建设中,这无疑是一个非常好的方案。虽然混合型入侵防御系统能够解决数字校园建设中的网络数据安全问题,但是仍然有一些不可忽视的缺陷:
(1)单点故障。由于NIPS是串联在网络中的,所有数据通过唯一通路进行检测。如果NIPS设备自身出现了公章,就会造成网络断路,合法用户将无法防伪网络服务,影响网络的运行。
(2)网络性能影响。NIPS由于是采用复合检测手段进行网络数据检测,势必会网络数据延迟,特别是当网络数据包数量巨大的时候,NIPS的运算检测能力就将面临极大的考验。极端情况下,NIPS造成的数据延迟可能会使得合法用户的数据包面临被丢弃的境地。
(3)规则库的限制。随着网络攻击技术的发展,某一漏洞可能会被多种蠕虫病毒、木马所利用。而IPS虽然具有自动快速更新特征库的能力,但是攻击类型的急剧增加,IPS的更新难度较大。同时,规则库的急剧增长也会极大的影响IPS的工作效率。
入侵检测技术和防火墙一样,都只能进行被动防御。他们都无法预先发出警报,这可能会造成当系统进行响应的时候攻击已经完成。我们仍然会处于被动。IPS由于是串联进入网路中的,当数据流经过IPS的时候检测就已经开始了,然后通过规则库确定响应方式,从而可以在瞬间就对攻击数据包作出响应,屏蔽攻击行为。IPS也具有很多的缺陷,当前的重要任务是在保证IPS工作能力的同时如何克服IPS的缺陷。
摘要:本文利用IPS入侵防御系统配合传统安全技术构建新型网络安全手段, 并以高校“数字校园”建设为例论述了IPS在校园网络安全中的重要作用。
关键词:IPS,入侵防御,数字校园
【1】张莉;《试析几类常见的网络安全系统[J]》;成都教育学院学报;2006年08期
【2】段丹青;《入侵检测算法及关键技术研究[D]》;中南大学;2007年
【3】庞永刚;《基于事件注入技术的网络可信性评测研究[D]》;哈尔滨工程大学;2007年
【4】孙怿昉;《数据挖掘在入侵检测系统中的应用研究[D]》;大连海事大学;2008年
推荐阅读:
论地方文献资源的数字化建设问题09-24
学校管理中数字化管理平台的具体应用论文05-23
数字化工作流程在报纸印刷中的应用07-26
数字校园建设总结09-09
数字化校园汇报07-06
数字化校园校长论坛06-08
数字校园综合服务平台07-03
数字化管理应用09-28
数字化教学应用探索05-25
