高校校园网入侵防御的分析与应用
【摘要】高校校园网作为学校的信息平台,经常会受到来自校园外部黑客以及内部学生的攻击,提出了通过入侵防御系统实现对校园网的监控及遇到攻击时如何自动保护校园网不受影响。
通过入侵防御来保障校园网信息安全的两种方法,对入侵防御的分类也进行相应的研究,最终分析了入侵防御的功能,结合自身教学工作经验,分析与研究入侵检测策略制定的重要性,以及在网络中放置入侵检测设备的位置提出了一些意见和看法。
【关键词】校园网;信息安全;入侵防御
1.前言
伴随着国内校园网建设不断完善,校园网已经成为校园的非常重要的办公和教学基础设施,而交换机在校园网中占有重要的地位,通常是整个校园网络的核心所在。
校园网作为一个开放的网络平台,也经常会被本校学生或是外部的黑客当成是攻击目标。
入侵防御系统(IPS)可以对校园网中的不安全因素实时监控以及对网络危害进行相应的处理。
入侵防御能够提供实时的入侵检测和预防入侵功能,而且入侵防御以其独有的专用设备、简单易用的管理功能以及高度准确的检测功能结合起来,帮助校园网实现了更深层次的防护目标。
由于一些复杂行为很难判断它是否是恶意攻击,还是正常的网络流量,如果出现误判,会将正常的数据包丢弃,如果是复杂行为一律通过的话,一些隐藏在复杂信息里面的攻击就不能被找出,就不能保障校园网内的信息安全,IPS采用两种方法来解决以上问题,一种是基于攻击特征的阻断方法,另外一种是基于攻击躲避原理的阻断方法,采用了这两种阻断方法之后,不仅仅提升了对多种深层攻击方式的判断识别能力,加快识别速度,此外,入侵检测系统还会向安全管理员提交一份简洁易读的分析结果报表,而不是没有编排杂乱无章的信息,因此大大提升了数据分析的效率,也降低了监控网络所花的人力和物力,节约开销。
并且入侵防御系统很大程度上降低了检测过程中的误报率。
如图1所示IPS入侵防御实时监控网络,通过侦测数据包每一层的详细信息,将网络流量中的攻击流量识别出来,并且进行分析,最后采取措施丢弃含有病毒、蠕虫、木马、间谍软件等网络数据包,为网络提供一个响应速度非常快的实时全面的保护。
图1 入侵防御
2.入侵防御的分类
2.1 基于主机的入侵防护(HIPS)
如图2所示HIPS 以软件的方式在服务器和客户机上安装,实时监控是否有病毒或是木马对系统进行修改或是破坏,在操作系统的进程中也进行监控,一旦察觉注册表被修改或是系统文件被改动或是大小发生了变化马上进行响应,通过以上功能实现服务器和主机的入侵防御。
及时阻止病毒或是木马对系统和应用的破坏,而且对于不同平台的系统只需要安装相应的软件包就可以实现支持。
图2 基于主机的入侵防御
2.2 基于网络的入侵防护(NIPS)
如图3所示NIPS 是一个放置在防火墙之后的一台硬件网络设备,拥有自己的独立CPU和内存,检测及监控经过自己的所有网络流量,一旦发现有危害的数据包或是网络流量,马上将该会话断开,数据包则丢弃。
但是这种方法如果网络的流量过大,将会导致网络瓶颈。
图3 基于网络的入侵防御
3.IPS防御系统功能分析
如图4所示,这是基于网络的入侵防御系统,它的具体功能如下:
图4 入侵防御功能
3.1 入侵抵御
通过专有引擎,实时对网络监控,实时检测,对于网络攻击有很好的预防作用,学生滥用网络也可以及时控制。
3.2 病毒查杀
可以结合和杀毒软件公司的防病毒引擎,进行病毒预防,通过专门的病毒引擎进行病毒查杀,定期自动更新病毒库,对于各种病毒,以及病毒的变形,包括未知病毒都可以进行准确的查杀。
3.3 应用保护
定期为操作系统自动打补丁,建立有特色的特征库,特征库里面包括了对操作系统进行保护的特征库,应用系统特征库,数据库漏洞特征库,并且可以实现定期更新,增强系统的抗病毒能力。
3.4 带宽滥用控制
校园网内的关键业务带宽得到预留,保障了正常的办公教学,学生如果出现滥用带宽现象,将会被及时察觉,并限制带宽或关闭端口,提升网络使用效率。
3.5 网络基础设施保护
对网络设备具有保护功能,其中就包括了交换机、路由器、防火墙等网络设备,如果发现异常流量或是数据包,自动终止异常流量会话,有害数据包也会被丢弃。
这样就保护了对网络设备的危害。
3.6 灵活的组网模式
两种部署方式,第一种是在线方式,设备之间放于防火墙之后,所有网络流量都必须通过它的检测才能通过,另一种方式为旁路方式,接到核心交换机监控网络,可以根据网络规模自由选择。
3.7 便捷的管理方式
支持本地和分布式管理。
可以直接通过IPS内置的Web界面进行图形化管理,方便管理配置。
3.8 高性能高可靠性
好的IPS系统可以实现多种备份功能,双机备份,电源冗余,防止单点故障。
云南工商学院入侵防御设备集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,如图5所示,该设备可以检测七层模型的任何一层,从物理层到应用层,都可以实现实时分析,将隐藏在网络流通领域里面的病毒、木马、蠕虫等恶意攻击查找出来,还可以和入侵检测系统,防火墙联合使用,实现一个完整的安全保障。
图5 云南工商学院入侵防御实施
4.结束语
高校校园网可以通过使用入侵检测系统检测网络流量,审核数据包,根据需要制定具体的安全策略,后面所有对网络的检测都必须根据策略进行,所以策略的制定至关重要,IPS放到骨干链路上,直接对入侵或是病毒木马进行拦截,通过入侵检测系统,保障校园网的信息安全。
参考文献
[1]凌力.网络协议与网络安全[M].北京:清华大学出版社,2007.
[2]张仕斌.网络安全技术[M].清华大学出版社,2004.
[3]谢希仁.计算机网络(第四版)[M].电子工业出版社,2003.
[4]贾铁军.网络安全管理及实用技术[M].机械工业出版社,2010.
[5]Merike Kaeo.网络安全性设计[M].人民邮电出版社,2000.
[6] Bace,R.G.入侵检测[M].人民邮电出版社,2001.。