基于局域网的入侵防御系统构建

  • 格式:pdf
  • 大小:167.49 KB
  • 文档页数:2

1 入 侵 防御 系统 的构成
入侵防御系统 ( I P S ,I n t r u s i o n P r e v e n t i o n S y s t e m )是在 防火 墙 ( F i r e w a l 1 ) 以及入 侵 检 测 系 统 ( I D S ,I n t r u s i o n D e t e c t i o n S y s t e m s )两 个 技 术 体 系 的基 础 上 发展 起来 的 , 面 向局域 网环 境展 开
信 息时代 之 下 , 网 络 的安全 成 为 众 多群 体 所共 同关注 的重 点 问题 。 网络 安全 , 对 于 企 业局 域 网环 境 而 言 ,其 需求 尤其 突 出 , 如 何确 保 局 域 网环 境 的 数 据传 输 安 全 , 免 受外 界恶 意 攻击 的侵 袭 , 是 当前 企 业发 展 的重 点支持 背景之 一 。
H o s t — b a s e d I t r u s i o n P r e v e n t i o n S y s t e m) 。N I P S
以 串联 的方 式 布 置在 网络 边 界上 , 通 过检 测 流经 的 网络 流 量 , 提 供对 网络系 统 的 安全 保 护 。 串联 的工 作 方 式 相对 而 言 比较 安全 , 但 是 其 系 统本 身 的 运算 速 度 直 接 成为 整 个 网络环 境 的瓶颈 因素 。与 之 对应 地 , 包 括千 兆 处 理 能力 以及 数据 包 处 理 技术 和 模式 匹 配 算 法 等 的 改善 ,都 成 为 N I P S系 统 前 进 发 展 的 重 点 方 向 。而 对 于 H I P S系 统 而 言 ,本 身 作 为 布 置 在被 保 护 系 统 的主 机之 上 的 防御体 系 ,其 与操 作系 统 紧 密结 合 , 用 于 全面 监视 系 统状 态 防止 非法 的 系 统 调 用 。此种 系 统 通过 在 被保 护 系 统上 安 装软 件 代 理 程序 ,实现 对 于 网络 攻 击 的防 范 。H I P S的应用 对 于 阻 断 缓冲 区溢 出 、改变 登 录 口令 、 改 写动态 链 接
现 对 于 网络 系 统 资源 的保 护 ,以及 不安 全数 据 传输 行 为 和相 关 操 作 的排 除和 控制 。但 是入 侵检 测 系 统 同样 具 有一 定 的滞 后 特征 , 一 方 面 有效 的检 测 模 型 以及 特 征库 需 要 在实 际 工作 中不 断 建 立和 完 善 ,另 个 方 面 虽然 入 侵 检测 系 统 能 够 检测 出攻 击 行 为 , 但 是 如果 检测 速度 不够快 , 仍 然可 能产 生滞 后状 况 。 在 这 样 的情 况 之下 , 将 二者 结 合 产生 的入侵 防 御 系统 , 本 质 上 是将 入 侵检 测 系统 和 防火 墙 结合 而 放 置 在 网络边 界上 。常 规而 言 , 入 侵 防御 系 统会 以 在 线形 式 加 以安 装 ,同时实 现面 向局 域 网边 界 以及 其 内部数 据传 输 行为 的入侵 嗅探 职能 。
M E D I A T E C H N O L O G Y媒体技术
基于局域 网的入侵 防御系统构建
闫 磊’ ,张晓丽 ,杨栋 檑 ’ ,王 超 ’ 1 .国网 山西省 电 力公司 朔州供 电公 司 , 山 西朔 州 0 3 6 0 0 0; 2 .中国联 通朔 州分公 司 ,山西 朔 州 0 3 6 0 0 0 摘 要 文章首先在 防火墙和入侵检 测 系统 工作特征分析 的基础之 上 , 提 出入侵 防御 系统是 结合 二者 而形成 的 具有 未来发展 方向的安 全体 系。而后在此基础之上 , 进一 步针 对入侵 防御 系统展 开深入 的分析 , 并对其形 态和 工作特征展开 了讨论。 关键词 局域 网 ; 入侵 防御 系统 ;I P S 中图分类号 G 2 文献标识 码 A 文章编号 2 0 9 6 - 0 3 6 0( 2 0 1 5 )0 9 - 0 0 2 2 - 0 1

2 入 侵 防御 系统 的工作特 征 分析
就 当前 入 侵 防御 系统 的应 用 特 征而 言 , 其可 以 依 据 不 同 的布 置方 式分 为 两类 ,即基 于 网络 的入 侵 防御系统 ( N I P S ,N e t w o r k I n t r u s i o n P r e v e n t i o n S y s t e m ) 以及 基 于 主机 的入 侵 防 御 系 统 ( H I P S ,

安 全 监 测 的技 术 系 统 。其 有 效 将 两种 技 术 相 结 合 , 取长补短 , 形 成更 为 完善 的局域 网信 息安 全 防御 机 制 , 服 务 企业 发展 。 对 于 局域 网防火 墙而 言 , 其 放 置 于局 域 网 与外 网 的 网关 之上 , 表 现 为设 置 在 网络 安 全 区域 外 围 的 系 列 组 件集 合 , 执 行相 关 设 定 的安 全 策 略 , 对 流 入局 域 网的数 据 包进 行 过滤 ,防范 不 安 全 因素 流入 局域 网安 全环 境 中。防火 墙 对 于推 动 局 域 网环 境安 全有 着 积 极 价值 , 但 是 其本 身 也存 在 不 足 之 处。 防 火墙 的工 作 方式 相 对而 言 比较 被 动 ,虽然对 于 外 部 攻 击有 着 良好 的 防范 能力 , 但 是 其工 作 方 式默 认局 域 网 内部 为 安全 环 境 , 因 此对 于 局域 网 内部环 境 的 数 据传 输 行 为保 持 默认 安 全状 态 。但 是 就 目前的情 况看 , 网络安 全 的很多 隐患都 来这 源 于局域 网内部 , 并 且 入 侵者 还 可 以将 数据 进 行伪 造 , 绕 过 防 火墙 实 现 对 于 网络环 境 内部的攻 击 。 另 一 个方 面 对 于单 纯 的入 侵检 测 系 统而 言 , 其 能够 面 向网络 环 境 实现相 对 主 动 的供 给 检测 , 依 据 对应 的安 全策 略 实现 对 于攻 击 行为 的嗅 探 , 从而 实