思科安全入侵检测与响应解决方案.doc

资源描述

《思科安全入侵检测与响应解决方案.doc》由会员分享，可在线阅读，更多相关《思科安全入侵检测与响应解决方案.doc（50页珍藏版）》请在三一文库上搜索。

1、思科安全入侵检测与响应解决方案 Version 1.0 2007-11-03 2/50 目录 1当前我们面对的主要安全问题当前我们面对的主要安全问题3 2企业网络安全技术的现状分析企业网络安全技术的现状分析7 2.1网络安全出现了哪些的问题？ .7 2.2需要统一安全管理的发展历程 .11 2.3SIM 安全信息管理的产生.13 2.4从安全信息管理 SIM 发展到安全威胁管理 STM.14 3思科安全监控和快速响应解决方案思科安全监控和快速响应解决方案18 3.1思科安全监控的手段 .18 3.1.1NetFlow实时监控网络流量.18 3.1.2思科IDS/IPS监控及网络入侵保护.23

2、3.2思科快速响应方案 .38 3.2.1CS-MARS的部署优势.42 3.2.2CS-MARS防御蠕虫病毒攻击实例.43 4思科思科 IPS/MARS 的技术指标的技术指标 50 3/50 1 当前我们面对的主要安全问题当前我们面对的主要安全问题在近日召开的 2005 中国计算机网络安全应急年会(CNCERTCC2005)上，国家计算机网络应急技术处理协调中心(简称 CNCERTCC)发布了“2004 年全国网络安全状况调查报告”。此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国 16 个城市 2800 多个企业的网络安全状况进行的。调查显示，在各类网络安全技术使

3、用中，防火墙的使用率最高，占 77.8%；其次为反病毒软件的应用，占到 73.4%；访问控制(25.6%)、加密文件系统(20.1%)和入侵检测系统(15.8%)也是通常使用的网络安全技术。生物识别技术、虚拟专用网络、数字签名和证书使用率较低，其中被访者中有很多人不清楚这些技术，还需要一段时间才能得到市场的认可。在金融、制造、电信、财税、政府、教育、交通、其他类 8 个行业中，各行业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、政府、教育行业以反病毒软件最普遍，其他行业都对防火墙使用最为普遍。被访单位在 2004 年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木

4、马攻击，占 75.3%。被调查对象认为，引发网络安全事件的原因中最主要的是 “利用未打补丁或未受保护的软件漏洞”，占 50.3%；对员工不充分的安全操作和流 4/50 程的培训及教育占 36.3%；紧随其后的是缺乏全面的网络安全意识教育，占 28.7%。调查数据显示，2004 年面临的网络安全威胁最高的是使用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占 67.3%；其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施，占 15.4%；大量或非常密集网络攻击尝试，占 13.8%。此次调查是一次比较全面、客观、公正的社会调查，调查结果反映了我国当前网络安全的实际情况。总体而言，我国

5、网络安全管理水平和技术水平较高，网络安全技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息安全的基础性工作的重视程度比较高；近 70%的被调查单位有专门的组织或机构负责内部的网络与信息安全，显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步得到贯彻执行。但是，通过调查也反映出我国企业网络安全方面存在的一些问题，比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认证技术、加密技术等普及程度较低，被调查单位内部安全规章不够完善和全面，企业采用网络安全相关标准作为指导的还不多，企业内部

6、网络安全管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务 5/50 攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措施。如何应对现在新的网络安全环境呢？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系

7、统（IDS）和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中断和收入损失。因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算

8、的必要性。 6/50 有很多相关的因素共同导致了这种僵局，例如：用于保护和监控网络的各种安全设备防火墙、IDS、VPN、身份验证设备等具有不同的、不一致的报告机制。各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于网络攻击的信息。一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息，以至于操作人员无法有效地处理这些信息。综合起来看，我们企业遇到的安全问题主要归结为一下五个方面：对实时安全信息不了解，无法及时发出预警信息安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长

9、缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高对某些特定安全事件没有适合的方法，如 DDoS 攻击，蠕虫病毒等 7/50 2 企业网络安全技术的现状分析企业网络安全技术的现状分析 2.1网络安全出现了哪些的问题？网络安全出现了哪些的问题？如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。但随之而来的威胁也越来越多黑客攻击、恶意代码、蠕虫病毒可以说，网络从没有象今天这样脆弱不堪、危机四伏，不知道什么时候灾难就会降临。在黑客技术发展层面，以及越来越频繁爆发的网络危

10、机来看，黑客们已熟悉了防火墙、IDS 等安全部件执行的传统访问控制策略。他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体，如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络安全提出了新的挑战。 8/50 从另一个角度来看，企业在网络建设初期网络安全并没有很好地规划。随着网络建设的深入，安全产品不断增加，整体缺乏统一管理，相互间没有沟通交互，信息无法有效整合，是一些信息安全的孤岛。就象现在人们在关注和谈论的 IT 孤岛问题一样，各个应用系统之间缺乏有效联系，信息得不到整合，发挥不出其应有的价值

11、。同样的问题放在网络安全上，这一效应就有可能放大成为风险，给企业 IT 系统的持续运转埋下隐患。现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独立地看待这些来自单一设备的信息，很有可能会忽略到一些重要的细节或关键因素，致使网络遭受重大打击。设想，当一个攻击发生时，防病毒、防火墙、IDS 产品都发出了自身的报警信息，由于缺乏事件的关联性，一个事件会引起多个或大量的安全信息。这使网络管理人员无法进行及时处理，往往顾此失彼，手足无

12、措，无法针对事件做出及时响应，迅速地给出一个良好、有效的解决办法。不同安全产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整整个网络的防御策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭受病毒或攻击的时候，最大限度地减少所遭受的损失。 9/50 如果这种状况持续下去，网络安全管理员所看到的永远只是一个相对独立的安全信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问题的全部，那些细节和隐藏在外表下的真相可能恰恰被忽略，而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众多的大型企业，这种问题尤为突出。我们传统

13、的手段都是通过网络设备/安全设备发送 Syslog 到服务器上，作安全的事后审计。一个大型的网络，包含若干的网络产品，这些网络设备随时随地都在发送 SysLog 信息，每天产生的 Log 信息达到数万之多，任何一个网络管理员很难通过 Syslog 来准确定位网络发生的安全故障；即使有丰富知识的网络管理员，能通过 Syslog 分析得到有用的网络信息，但是速度也是很慢的。 10/50 不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事故的响应速度。如果再加上一些莫名其妙的虚假警报，公司的网络运维人员数量将急剧增长，但这依然无法保证网络的安全，有的时候企业不得不因为某一两个人的

14、一个微小错误或疏忽而付出高昂的代价。这就是为什么企业在部署了众多安全设备后，依然无法有效地进行安全防范的原因。IT 管理者们更希望在问题发生的时候，得到一个综合全面的安全报告，以了解企业网络到底处于什么样的状态，遭受过什么样的攻击，正面临着什么样的危险？而不是每一个产品信息的简单罗列，企业需要一个能集中管理所有产品信息、智能化的安全管理中心。 “安全是三分技术，七分管理。”已为大家所广泛熟知，但是怎么管理、怎么进行有效地利用，却始终困绕着众多 CIO。诚然，一个良好的安全机制和策略能给企业提供一定的安全保障，但面对网络中数目日益庞大的不同品牌和功能的安全产品，网络管理人

15、员愈发捉襟见肘，单纯依靠人力的管理和维护不但效率低下，而且还面临很多不确定的因素和风险。综上所述，不难看出，近年来，安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。无论是网络安全的产业界，还是行业和企业用户，都越来越重视这一新兴的市场。很多厂商都从不同的层面，提出了各自的集中安全管理解决方案和思想。 11/50 2.2需要统一安全管理的发展历程需要统一安全管理的发展历程统一的安全中心的发展由最开始的基于每一台安全设备的管理，到每一类安全设备（FW/IDS/VPN）的网元级的管理，因为单独的安全设备不能解决安全的网络问题，独立的基于网元的管理

16、更不能解决日益复杂的安全的问题，必须寻求新的方法。随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追求的理想目标。那么什么是安全的网络？安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系统。单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网络

17、中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、安全策略和管理规定等，经常也被作为安全保障的重要部分。但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据， 12/50 进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急

18、响应实际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。下图为安全网络系统模型，可见安全信息管理具有非常重要的作用。安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，配置管理，风险管理，策略中心，配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系统事件管理，响应管理、控制系统，知识和情

19、报中心，专家系统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键，如下图所示安安全全实实施施安安全全监监控控和和安安全全响响应应安安全全评评测测安安全全管管理理和和安安全全改改善善安安全全实实施施安安全全监监控控和和安安全全响响应应安安全全评评测测安安全全管管理理和和安安全全改改善善安安全全产产品品和和解解决决方方案案安安全全策策略略和和正正确确流流程程安安全全管管理理安安全全网网络络系系统统模模型型安安全全产产品品和和解

20、解决决方方案案安安全全策策略略和和正正确确流流程程安安全全管管理理安安全全网网络络系系统统模模型型 13/50 在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的 Smurf 攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之

21、前有准确的的应急响应措施。目前的安全集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。 2.3SIM 安全信息管理的产生安全信息管理的产生 SIM 系统可以从多个设备接收日志数据，存储和管理所创建的大量文件，以及实现至少部分的数据证据分析。但是，SIM 仍然不能解决最其中关键的几个问题： 1、需要大量训练有素的安全分析人员解读数据和报告。 14/50 2、现有的分析深度不够，不足以及时地阻止正在进行的网络攻击。SIM 技术提供的工具可以判断网络是否遭受了攻击，某些网络组件是否受到了威胁，甚

22、至某些网络组件是否参与了攻击，SIM 并没有显示网络攻击的完整路径所需要的网络感知能力，因而无法在攻击发生时能快速制止攻击。 3、SIM 并不能提高其他安全设备的投资回报。为弥补 SIM 的不足，需要提高网络感知能力和加快分析速度，以发现实际的网络攻击并近乎实时地制止这些攻击。这种被称为安全威胁管理（STM）的能力必须能够自动执行大部分目前由安全分析人员完成的工作，降低对于训练有素的分析人员的需求，让安全人员可以集中精力处理实际的威胁和制定未来的策略及战略。 2.4从安全信息管理从安全信息管理 SIM 发展到安全威胁管理发展到安全威胁管理 STM STM 技术监控网络中的各种安全和

23、网络产品产生的日志和报告流量，采用多种创新技术以精简庞杂的网络事件信息，为网络操作人员提供监控和阻止网络攻击所必需的信息： 1、端到端的网络拓扑感知能力和攻击发现能力 2、高效能进程化和基于进程的主动关联 3、集成化的动态主机脆弱性分析和精确跟踪 STM 技术从全面感知网络拓扑开始，知道哪些协议在哪里创建了网络地址， 15/50 以便当某个攻击的源和目地地址发生变化时继续加以跟踪。简单网络管理协议（SNMP）的使用在设备的 IP 地址和它的固定硬件 MAC 地址之间提供了映射，让用户可以准确地识别网络路径上的某个设备。STM 技术可以使用来自于路由器、交换机和其他计算机的完整配置信息

24、，以及来自于安全设备的信息建立网络的完整视图。 STM 技术首先从安全设备和网络组件接收网络事件，将事件信息与它的网络感知能力结合到一起，发现网络攻击活动集中的“热点”，并且显示攻击终端之间的网络路径。随后指出操作人员可以制止攻击的网络或者安全设备，为阻止危险流量提供准确的设备位置和适当的设备配置信息。图 1（从上往下读图）显示了 STM 技术用于减少原始网络事件数据量和制止网络攻击的创新流程：网络上的多个设备包括安全设备（防火墙和 IDS）、网络设备（路由器和交换机）和终端系统（服务器）发送日志和网络信息，从路由器和交换机采集 Cisco IOS NetFlow 数据，获

25、得用于集成事件数据的网络性能和记账数据，识别异常网络流量和突变。进程化可以利用网络拓扑感知功能将多个事件汇总成端到端的进程。图 2 显示了一个典型的进程。网络地址在攻击路径中发生了变化，而 NAT 感知功能对于关联不同的事件具有重要的意义。 16/50 图图 1 从网络事件到攻击制止基于进程的主动关联可以利用内置的和用户定义的规则，将关于多个进程的信息与 NetFlow 数据关联到一起，以发现可能的完整网络攻击（简称攻击）。对于每个可能的攻击，进行自动的脆弱性扫描。这包括检查攻击是否成功到达目标（它可能会被某个防火墙或者服务器中的主机 IDS 阻截），以及目标是否的确可能

26、遭受攻击（它的操作系统可能不会遭受这种攻击的影响）。自动脆弱性扫描会使用关于终端系统的信息发现误报，制定规则以减少将来对可能攻击的分析和处理。将实际的攻击通知操作人员，并告知制止方法。精确跟踪可以自动搜集主机信息，获得关于实际事件的完整信息。每天数百万个事件可能会精简到数十个攻击一个操作人员就足以对这些事件进行解读和处理。为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的攻击还是 17/50 误报。只需做出一个决定，就可以识别误报，迅速减少获得的事件数量。作为上述流程的一个典型例子，请参考图 2 中的箭头所显示的攻击路径。 STM 技术可以接收这些事件，并利用它在不同

27、节点的网络拓扑和 NAT 感知能力将这些事件汇总为单个进程。在图 2 中，（注意攻击的目的地地址被防火墙的 NAT 更改）STM 技术可以将防火墙两侧的事件识别为同一个进程的不同部分尽管存在不同的地址。图图 2 进程化 TM STM 技术可以根据内部规则比较进程的细节（进程内部关联）和其他进程的细节（进程间关联），以发现某个潜在的攻击。如果存在潜在的攻击，会根据对攻击目标的实际扫描，进行脆弱性分析，确定潜在攻击是一个需要报告和制 18/50 止的攻击，还是一个可以忽略的误报。在最低层次上，STM 技术可以被看做一个有效的、高性能的 SIM。在较高层次上，它可以用于分析以前采

28、集的数据，以识别网络流量模式和对网络攻击进行证据分析，为安全威胁管理树立很多新的标准和方法，提高安全威胁的响应速度，从而真正实现综合统一的安全技术体系，使安全系统具有快速响应威胁的能力，利于自防御安全网络的建设。 3 思科安全监控和快速响应解决方案思科安全监控和快速响应解决方案 3.1思科安全监控的手段思科安全监控的手段网络的安全监控的前提必须实时了解网络运行的状况，包括网络的实时流量，网络整体的拓扑，网络安全设备部署的全景，网络安全策略的部署，网络设备的级别配置，等等。所以，网络安全的快速响应必须基于整个网络的安全监控分析。思科提供有多种安全监控分析的手段。思科所有的路由器和大

29、部分中高端交换机都具备的 Netflow 功能就是最常用的一种流量统计观察的常用手段；思科 IDS、网络分析模块、CSA 等也是网络安全监控的重要手段。 19/50 3.1.1 NetFlow 实时监控网络流量实时监控网络流量最近调查显示，NetFlow 的采用率正在不断上升。很象基于 RMON 的探针的 NetFlow 能够为用户提供有关特定应用在哪里被使用、为什么被使用、被如何使用以及被谁使用，以及这种使用有可能如何影响网络的信息。NetFlow 是 Cisco 公司的 IOS 软件的一部分，而其当前的版本 9 目前正在 IETF 以 IPFIX 的名称进行标准化。当然，这使得

30、 NetFlow/IPFIX 作为有关异构环境里的网络上的应用流程的信息的一致来源更具吸引力了。 NetFlow 提供 IP 源地址、IP 目的地址、源端口、目的端口、三层协议类型和服务级别信息。几年来，服务提供商一直使用 NetFlow。它们一直被 NetFlow 的如下特点所吸引：它在大型 WAN 环境里所具有的伸缩能力；它能够帮助支持对等点上的最佳传输流；它可用来进行建立在单项服务基础之上的基础设施最优化评估；它在解决服务和安全问题方面所表现出来的价值；它能够为服务计费提供基础。然而，NetFlow 却远非万能。它无法提供应用反应时间，而且，考虑到不断增长的动态端口分配

31、趋势，它在根据端口特征识别应用方面的能力还远远不够。此外，过去，NetFlow 很难实现，而且在性能方面表现也不好。因此，它实际上是无法在大多数 IT 部门实现的最佳实践。如今情况发生了很大的变化。调查发现路由器性能影响降低到了最低的大约 2%至 3%，而且，NetFlow 部署只需要一个星期的时间。采用它的另一个原因是：可以 20/50 报告和分析 NetFlow 的软件如出自 Crannog、Micromuse、NetScout 和 NetQoS 公司的管理软件包得到了很大的改进。NetQoS 公司的产品可以根据入站传输流对出站传输流进行评估以简化部署。NetFlow 同样对于服务

32、建模以及计费应用很有价值，而且，对于诸如 Q1Labs 公司和 Arbor 公司的 Peakflow 之类的安全厂商很有用，在这方面，NetFlow 所具备的捕获异常通信流量的能力对于蠕虫、拒绝服务攻击以及其他与安全相关的问题的报警很有价值。此外，第三方产品也通过诸如应用服务器映射和旨在根据广泛的 WAN 部署进行调整的包分析技术之类的方法，提高了 NetFlow 识别独特应用数据流的能力。必须指出的是，NetFlow/IPFIX 只是捕获和分析应用传输流的众多技术中的一项。NetFlow/IPFIX 所具备的与众不同的特点就是它的内在优势：能够利用当前基础设施捕获大型的且通常

33、是分布式网络上的普遍存在的连接特定的通信行为。我们以 2003 蠕虫王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Wor m) 爆发的例子来说明 Netflow 在防范网络异常流量攻击的好处。 Netflow 记录的信息：记录的信息： 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1 61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1 61.*.*.124|28.*.221.90|6511

34、1|as1|6|36|4444|1434|17|1|404|1 NetFlow 流数据典型特征：目的端口 1434，协议类型 UDP，字节数 404 从以上案例可以看出，蠕虫爆发时，应用 Neflow 分析方法，可以根据病毒流量的 NetFlow 特征快速定位感染病毒的 IP 地址，并参考 NetFlow 数据流的其它 21/50 特征在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。 3.1.1.1在思科路由器上采集分析在思科路由器上采集分析 NetFlow 数据数据判断异常流量的流向后，就可以选择合适的网络设备端口，实施 Neflow 配置，采集该端口入流量的 N

35、etFlow 数据。以下是在 Cisco GSR 路由器 GigabitEthernet10/0 端口上打开 NetFlow 的配置实例： ip flow-export source Loopback0 ip flow-export destination *.*.*.61 9995 ip flow-sampling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通过该配置把流入到 GigabitEthernet10/0 的 NetFlow 数据送到 NetFlow 采集

36、器*.*.*.61，该实例中采用 sampled 模式，采样间隔为 100:1。 3.1.1.2 处理异常流量的方法处理异常流量的方法（1）切断连接在能够确定异常流量源地址且该源地址设备可控的情况下，切断异常流量源设备的物理连接是最直接的解决办法。（2）过滤 22/50 采用 ACL（Access Control List）过滤能够灵活实现针对源目的 IP 地址、协议类型、端口号等各种形式的过滤，但同时也存在消耗网络设备系统资源的副作用，下例为利用 ACL 过滤 UDP 1434 端口的实例： access-list 101 deny udp any any eq 1434 ac

37、cess-list 101 permit ip any any 此过滤针对蠕虫王病毒（SQL Slammer），但同时也过滤了针对 SQL Server 的正常访问，如果要保证对 SQL Server 的正常访问，还可以根据病毒流数据包的大小特征实施更细化的过滤策略。（3）静态空路由过滤能确定异常流量目标地址的情况下，可以用静态路由把异常流量的目标地址指向空（Null），这种过滤几乎不消耗路由器系统资源，但同时也过滤了对目标地址的正常访问，配置实例如下： ip route 205.*.*.2 255.255.255.255 Null 0 对于多路由器的网络，还需增加相关动态路由配

38、置，保证过滤在全网生效。（4）异常流量限定利用路由器 CAR 功能，可以将异常流量限定在一定的范围，这种过滤也存在消耗路由器系统资源的副作用，以下为利用 CAR 限制 UDP 1434 端口流量的配置实例： Router# (config) access-list 150 deny udp any any eq 1434 Router# (config) access-list 150 permit ip any any Router# (config) interface fastEthernet 0/0 Router# (config-if) rate-limit input ac

39、cess-group rate-limit 150 8000 1500 23/50 20000 conform-action drop exceed-action drop 此配置限定 UDP 1434 端口的流量为 8Kbps。更多关于 Netflow 的详细信息，可以参考“网络自身安全”和“蠕虫/恶意代码防范“的相关章节。 3.1.2 思科思科 IDS/IPS 监控及网络入侵监控及网络入侵保护保护 IDS 是网络系统里面常见的安全监控组建，IDS 往往发送大量的事件报告给网络管理员，管理员经常淹没在大量的事件告警信息里面，而不知所措。早期的 IDS 系统还经常发生误报警，现在的技术逐

40、渐成熟已经可以完成 IPS 的功能。一个入侵检测系统分为四个组件：事件产生器（Event generators）；事件分析器（Event analyzers）；响应单元（Response units ）；事件数据库（Event databases ）。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。系统分类系

41、统分类根据检测对象的不同，入侵检测系统可分为主机型和网络型。 24/50 基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种 ID（intrusion detection）：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。比如 Cisco 的 CSA 就是这样的一类入侵保护系统。网络型入侵检测。它的数据源是网络上的数据包

42、。往往将一台机子的网卡设于混杂模式（promisc mode）,对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。入侵检测技术入侵检测技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组

43、系统“正常”情况的数值，如 CPU 利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、 25/50 并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。入侵检测过程入侵检

44、测过程从总体来说，入侵检测系统可以分为两个部分：收集系统和非系统中的信息然后对收集到的数据进行分析，并采取相应措施。信息收集信息收集信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统

45、的修改可能使系统功能失常并看起来跟正常的一样。例如，unix 系统的 PS 指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指 26/50 定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面（这里不包括物理形式的入侵信息）：系统和网络日志文件系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据

46、，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。非正常的目录和文件改变非正常的目录和文件改变网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏的目标。目录和文件中非正常改变（包括修改、创建和删除），特别是那

47、些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。非正常的程序执行非正常的程序执行 27/50 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如 WEB 服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明

48、黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。信号分析信号分析对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。模式匹配模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用

49、一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率 28/50 和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。统计分析统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用 GUEST 帐号登录的，突然用 ADMINI 帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。完整性分析完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如 MD5），

展开阅读全文