思科安全入侵检测与响应解决方案.doc

思科安全入侵检测与响应解决方案 Version 1.0 2007-11-03 2/50 目录 1当前我们面对的主要安全问题当前我们面对的主要安全问题3 2企业网络安全技术的现状分析企业网络安全技术的现状分析7 2.1网络安全出现了哪些的问题？ .7 2.2需要统一安全管理的发展历程 .11 2.3SIM 安全信息管理的产生.13 2.4从安全信息管理 SIM 发展到安全威胁管理 STM.14 3思科安全监控和快速响应解决方案思科安全监控和快速响应解决方案18 3.1思科安全监控的手段 .18 3.1.1NetFlow实时监控网络流量.18 3.1.2思科IDS/IPS监控及网络入侵保护.23 3.2思科快速响应方案 .38 3.2.1CS-MARS的部署优势.42 3.2.2CS-MARS防御蠕虫病毒攻击实例.43 4思科思科 IPS/MARS 的技术指标的技术指标 50 3/50 1 当前我们面对的主要安全问题当前我们面对的主要安全问题 在近日召开的 2005 中国计算机网络安全应急年会(CNCERTCC2005)上， 国家计算机网络应急技术处理协调中心(简称 CNCERTCC)发布了“2004 年全国 网络安全状况调查报告”。此次调查是在信息产业部互联网应急处理协调办公室的 指导下，针对全国 16 个城市 2800 多个企业的网络安全状况进行的。 调查显示，在各类网络安全技术使用中，防火墙的使用率最高，占 77.8%； 其次为反病毒软件的应用，占到 73.4%；访问控制(25.6%)、加密文件系统(20.1%)和 入侵检测系统(15.8%)也是通常使用的网络安全技术。生物识别技术、虚拟专用网 络、数字签名和证书使用率较低，其中被访者中有很多人不清楚这些技术，还需要 一段时间才能得到市场的认可。 在金融、制造、电信、财税、政府、教育、交通、其他类 8 个行业中，各行 业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、政府、教育行业以 反病毒软件最普遍，其他行业都对防火墙使用最为普遍。 被访单位在 2004 年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊 木马攻击，占 75.3%。被调查对象认为，引发网络安全事件的原因中最主要的是 “利用未打补丁或未受保护的软件漏洞”，占 50.3%；对员工不充分的安全操作和流 4/50 程的培训及教育占 36.3%；紧随其后的是缺乏全面的网络安全意识教育，占 28.7%。 调查数据显示，2004 年面临的网络安全威胁最高的是使用自动化网络攻击工 具，例如蠕虫或自动传播恶意代码，占 67.3%；其次是有熟练攻击经验的攻击者 成功绕过网络安全防护措施，占 15.4%；大量或非常密集网络攻击尝试，占 13.8%。 此次调查是一次比较全面、客观、公正的社会调查，调查结果反映了我国当前 网络安全的实际情况。总体而言，我国网络安全管理水平和技术水平较高，网络安 全技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息安 全的基础性工作的重视程度比较高；近 70%的被调查单位有专门的组织或机构负 责内部的网络与信息安全，显示出各单位将网络与信息安全作为自身安全的组成部 分的认识有所提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步 得到贯彻执行。 但是，通过调查也反映出我国企业网络安全方面存在的一些问题，比较突出地 反映在网络安全产品使用比较单一，入侵检测系统、身份认证技术、加密技术等普 及程度较低，被调查单位内部安全规章不够完善和全面，企业采用网络安全相关标 准作为指导的还不多，企业内部网络安全管理人员培训和认证工作仍有待加强等方 面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务 5/50 攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞 信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。 建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认 为是提高网络安全整体水平的最重要的宏观措施。 如何应对现在新的网络安全环境呢？如何在我们的网络上确保安全，及时地 发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管 采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其 他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。 一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以 在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们 也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中 断和收入损失。 因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发 现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实 是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。 这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要 性。 6/50 有很多相关的因素共同导致了这种僵局，例如： 用于保护和监控网络的各种安全设备防火墙、IDS、VPN、身份验证设备 等具有不同的、不一致的报告机制。 各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于网络攻击的 信息。 一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息， 以至于操作人员无法有效地处理这些信息。 综合起来看，我们企业遇到的安全问题主要归结为一下五个方面： 对实时安全信息不了解，无法及时发出预警信息 安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识 事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络 业务恢复时间长 缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本 比较高 对某些特定安全事件没有适合的方法，如 DDoS 攻击，蠕虫病毒 等 7/50 2 企业网络安全技术的现状分析企业网络安全技术的现状分析 2.1网络安全出现了哪些的问题？网络安全出现了哪些的问题？ 如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性 程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的 迅速成 长和扩大。但随之而来的威胁也越来越多黑客攻击、恶意代码、蠕虫病 毒可以说，网络从没有象今天这样脆弱不堪、危机四伏，不知道什么时候灾 难 就会降临。 在黑客技术发展层面，以及越来越频繁爆发的网络危机来看，黑客们已熟悉了 防火墙、IDS 等安全部件执行的传统访问控制策略。他们的攻击方式己不只是针 对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利 用的漏洞。攻击手段越发复杂隐蔽和立体，如冲击波、震荡波等混合了蠕虫和黑 客攻击等多重特性，对网络安全提出了新的挑战。 8/50 从另一个角度来看，企业在网络建设初期网络安全并没有很好地规划。随着网 络建设的深入，安全产品不断增加，整体缺乏统一管理，相互间没有沟通交互， 信息无法有效整合，是一些信息安全的孤岛。 就象现在人们在关注和谈论的 IT 孤岛问题一样，各个应用系统之间缺乏有效 联系，信息得不到整合，发挥不出其应有的价值。同样的问题放在网络安全上， 这一效应就有可能放大成为风险，给企业 IT 系统的持续运转埋下隐患。 现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不同的系统有 不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。 其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独立地看待 这些来自单一设备的信息，很有可能会忽略到一些重要的细节或关键因素，致使 网络遭受重大打击。 设想，当一个攻击发生时，防病毒、防火墙、IDS 产品都发出了自身的报警信 息，由于缺乏事件的关联性，一个事件会引起多个或大量的安全信息。这使网络 管理人员无法进行及时处理，往往顾此失彼，手足无措，无法针对事件做出及时 响应，迅速地给出一个良好、有效的解决办法。 不同安全产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整 整个网络的防御策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭 受病毒或攻击的时候，最大限度地减少所遭受的损失。 9/50 如果这种状况持续下去，网络安全管理员所看到的永远只是一个相对独立的安 全信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问 题的全部，那些细节和隐藏在外表下的真相可能恰恰被忽略，而它们往往是问题 的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众 多的大型企业，这种问题尤为突出。 我们传统的手段都是通过网络设备/安全设备发送 Syslog 到服务器上，作安全 的事后审计。一个大型的网络，包含若干的网络产品，这些网络设备随时随地都 在发送 SysLog 信息，每天产生的 Log 信息达到数万之多，任何一个网络管理员 很难通过 Syslog 来准确定位网络发生的安全故障；即使有丰富知识的网络管理员， 能通过 Syslog 分析得到有用的网络信息，但是速度也是很慢的。 10/50 不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事故的响应速 度。如果再加上一些莫名其妙的虚假警报，公司的网络运维人员数量将急剧增长， 但这依然无法保证网络的安全，有的时候企业不得不因为某一两个人的一个微小 错误或疏忽而付出高昂的代价。 这就是为什么企业在部署了众多安全设备后，依然无法有效地进行安全防范的 原因。IT 管理者们更希望在问题发生的时候，得到一个综合全面的安全报 告，以 了解企业网络到底处于什么样的状态，遭受过什么样的攻击，正面临着什么样的 危险？而不是每一个产品信息的简单罗列，企业需要一个能集中管理所有产品 信 息、智能化的安全管理中心。 “安全是三分技术，七分管理。”已为大家所广泛熟知，但是怎么管理、怎么进 行有效地利用，却始终困绕着众多 CIO。诚然，一个良好的安全机制和策 略能给 企业提供一定的安全保障，但面对网络中数目日益庞大的不同品牌和功能的安全 产品，网络管理人员愈发捉襟见肘，单纯依靠人力的管理和维护不但效率低下， 而且还面临很多不确定的因素和风险。 综上所述，不难看出，近年来，安全管理中心、集中安全管理平台的理念和整 体解决方案越来越得到用户认可的一个深层次原因。无论是网络安全的产业界， 还是行业和企业用户，都越来越重视这一新兴的市场。很多厂商都从不同的层面， 提出了各自的集中安全管理解决方案和思想。 11/50 2.2需要统一安全管理的发展历程需要统一安全管理的发展历程 统一的安全中心的发展由最开始的基于每一台安全设备的管理，到每一类安全 设备（FW/IDS/VPN）的网元级的管理，因为单独的安全设备不能解决安全的网络 问题，独立的基于网元的管理更不能解决日益复杂的安全的问题，必须寻求新的方 法。随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设 安全的网络是业界目前所追求的理想目标。那么什么是安全的网络？安全的网络是 指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和 管理，具有自我防御能力的网络系统。 单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防 护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安 全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入 侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网 络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。 事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同， 事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统 或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、 安全策略和管理规定等，经常也被作为安全保障的重要部分。但是不论有多少环节， 要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应 的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据， 12/50 进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实 际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目 标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但 取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全 信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态 了如指掌，快速行动，真正实现安全网络。下图为安全网络系统模型，可见安全信 息管理具有非常重要的作用。 安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，配置管理，风险管理，策略中心，配置管理， 事件管理，响应管理、控制系统，知识和情报中心，专家系统事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要 严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管 理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安 全网络的关键，如下图所示 安安全全实实施施 安安全全监监控控 和和 安安全全响响应应 安安全全评评测测 安安全全管管理理 和和 安安全全改改善善 安安全全实实施施 安安全全监监控控 和和 安安全全响响应应 安安全全评评测测 安安全全管管理理 和和 安安全全改改善善 安安全全产产品品和和解解决决方方案案 安安全全策策略略和和正正确确流流程程 安安全全管管理理 安安全全网网络络系系统统模模型型 安安全全产产品品和和解解决决方方案案 安安全全策策略略和和正正确确流流程程 安安全全管管理理 安安全全网网络络系系统统模模型型 13/50 在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做 出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安 全信息所淹没。比如一次简单的 Smurf 攻击，网络入侵监测系统会报警，防火墙 会报警，遭受攻击的主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全 管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和 优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实 性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。目前的安全 集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以 搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。 2.3SIM 安全信息管理的产生安全信息管理的产生 SIM 系统可以从多个设备接收日志数据，存储和管理所创建的大量文件， 以及实现至少部分的数据证据分析。但是，SIM 仍然不能解决最其中关键的几 个问题： 1、需要大量训练有素的安全分析人员解读数据和报告。 14/50 2、现有的分析深度不够，不足以及时地阻止正在进行的网络攻击。SIM 技术 提供的工具可以判断网络是否遭受了攻击，某些网络组件是否受到了威胁，甚 至某些网络组件是否参与了攻击，SIM 并没有显示网络攻击的完整路径所需要 的网络感知能力，因而无法在攻击发生时能快速制止攻击。 3、SIM 并不能提高其他安全设备的投资回报。 为弥补 SIM 的不足，需要提高网络感知能力和加快分析速度，以发现实际 的网络攻击并近乎实时地制止这些攻击。这种被称为安全威胁管理（STM）的 能力必须能够自动执行大部分目前由安全分析人员完成的工作，降低对于训练 有素的分析人员的需求，让安全人员可以集中精力处理实际的威胁和制定未来 的策略及战略。 2.4从安全信息管理从安全信息管理 SIM 发展到安全威胁管理发展到安全威胁管理 STM STM 技术监控网络中的各种安全和网络产品产生的日志和报告流量，采用 多种创新技术以精简庞杂的网络事件信息，为网络操作人员提供监控和阻止网 络攻击所必需的信息： 1、端到端的网络拓扑感知能力和攻击发现能力 2、高效能进程化和基于进程的主动关联 3、集成化的动态主机脆弱性分析和精确跟踪 STM 技术从全面感知网络拓扑开始，知道哪些协议在哪里创建了网络地址， 15/50 以便当某个攻击的源和目地地址发生变化时继续加以跟踪。简单网络管理协议 （SNMP）的使用在设备的 IP 地址和它的固定硬件 MAC 地址之间提供了映射， 让用户可以准确地识别网络路径上的某个设备。STM 技术可以使用来自于路由 器、交换机和其他计算机的完整配置信息，以及来自于安全设备的信息建立网 络的完整视图。 STM 技术首先从安全设备和网络组件接收网络事件，将事件信息与它的网 络感知能力结合到一起，发现网络攻击活动集中的“热点”，并且显示攻击终端 之间的网络路径。随后指出操作人员可以制止攻击的网络或者安全设备，为阻 止危险流量提供准确的设备位置和适当的设备配置信息。 图 1（从上往下读图）显示了 STM 技术用于减少原始网络事件数据量和制 止网络攻击的创新流程： 网络上的多个设备包括安全设备（防火墙和 IDS） 、网络设备（路由器 和交换机）和终端系统（服务器）发送日志和网络信息，从路由器和交换 机采集 Cisco IOS NetFlow 数据，获得用于集成事件数据的网络性能和记账数 据，识别异常网络流量和突变。 进程化可以利用网络拓扑感知功能将多个事件汇总成端到端的进程。图 2 显示了一个典型的进程。网络地址在攻击路径中发生了变化，而 NAT 感知功能 对于关联不同的事件具有重要的意义。 16/50 图图 1 从网络事件到攻击制止 基于进程的主动关联可以利用内置的和用户定义的规则，将关于多个 进程的信息与 NetFlow 数据关联到一起，以发现可能的完整网络攻击（简称攻 击） 。 对于每个可能的攻击，进行自动的脆弱性扫描。这包括检查攻击是否成功到达 目标（它可能会被某个防火墙或者服务器中的主机 IDS 阻截） ，以及目标是否 的确可能遭受攻击（它的操作系统可能不会遭受这种攻击的影响） 。自动脆弱性 扫描会使用关于终端系统的信息发现误报，制定规则以减少将来对可能攻击的 分析和处理。 将实际的攻击通知操作人员，并告知制止方法。精确跟踪可以自动搜 集主机信息，获得关于实际事件的完整信息。每天数百万个事件可能会精简到 数十个攻击一个操作人员就足以对这些事件进行解读和处理。 为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的攻击还是 17/50 误报。只需做出一个决定，就可以识别误报，迅速减少获得的事件数量。 作为上述流程的一个典型例子，请参考图 2 中的箭头所显示的攻击路径。 STM 技术可以接收这些事件，并利用它在不同节点的网络拓扑和 NAT 感知能 力将这些事件汇总为单个进程。在图 2 中， （注意攻击的目的地地址被防火墙 的 NAT 更改）STM 技术可以将防火墙两侧的事件识别为同一个进程的不同部 分尽管存在不同的地址。 图图 2 进程化 TM STM 技术可以根据内部规则比较进程的细节（进程内部关联）和其他进程 的细节（进程间关联） ，以发现某个潜在的攻击。如果存在潜在的攻击，会根据 对攻击目标的实际扫描，进行脆弱性分析，确定潜在攻击是一个需要报告和制 18/50 止的攻击，还是一个可以忽略的误报。 在最低层次上，STM 技术可以被看做一个有效的、高性能的 SIM。在较高 层次上，它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击 进行证据分析，为安全威胁管理树立很多新的标准和方法，提高安全威胁的响 应速度，从而真正实现综合统一的安全技术体系，使安全系统具有快速响应威 胁的能力，利于自防御安全网络的建设。 3 思科安全监控和快速响应解决方案思科安全监控和快速响应解决方案 3.1思科安全监控的手段思科安全监控的手段 网络的安全监控的前提必须实时了解网络运行的状况，包括网络的实时流量， 网络整体的拓扑，网络安全设备部署的全景，网络安全策略的部署，网络设备的级 别配置，等等。所以，网络安全的快速响应必须基于整个网络的安全监控分析。思 科提供有多种安全监控分析的手段。思科所有的路由器和大部分中高端交换机都具 备的 Netflow 功能就是最常用的一种流量统计观察的常用手段；思科 IDS、网络分 析模块、CSA 等也是网络安全监控的重要手段。 19/50 3.1.1 NetFlow 实时监控网络流量实时监控网络流量 最近调查显示，NetFlow 的采用率正在不断上升。很象基于 RMON 的探针的 NetFlow 能够为用户提供有关特定应用在哪里被使用、为什么被使用、被如何使用 以及被谁使用，以及这种使用有可能如何影响网络的信息。NetFlow 是 Cisco 公司 的 IOS 软件的一部分，而其当前的版本 9 目前正在 IETF 以 IPFIX 的名称进行标准 化。当然，这使得 NetFlow/IPFIX 作为有关异构环境里的网络上的应用流程的信息 的一致来源更具吸引力了。 NetFlow 提供 IP 源地址、IP 目的地址 、源端口、目的端口、三层协议类型 和服务级别信息。 几年来，服务提供商一直使用 NetFlow。它们一直被 NetFlow 的如下特点所 吸引：它在大型 WAN 环境里所具有的伸缩能力；它能够帮助支持对等点上的最佳 传输流；它可用来进行建立在单项服务基础之上的基础设施最优化评估；它在解决 服务和安全问题方面所表现出来的价值；它能够为服务计费提供基础。 然而，NetFlow 却远非万能。它无法提供应用反应时间，而且，考虑到不断增 长的动态端口分配趋势，它在根据端口特征识别应用方面的能力还远远不够。此外， 过去，NetFlow 很难实现，而且在性能方面表现也不好。因此，它实际上是无法在 大多数 IT 部门实现的最佳实践。 如今情况发生了很大的变化。调查发现路由器性能影响降低到了最低的大约 2%至 3%，而且，NetFlow 部署只需要一个星期的时间。采用它的另一个原因是：可以 20/50 报告和分析 NetFlow 的软件如出自 Crannog、Micromuse、NetScout 和 NetQoS 公司的管理软件包得到了很大的改进。NetQoS 公司的产品可以根据入站 传输流对出站传输流进行评估以简化部署。NetFlow 同样对于服务建模以及计费应 用很有价值，而且，对于诸如 Q1Labs 公司和 Arbor 公司的 Peakflow 之类的安全 厂商很有用，在这方面，NetFlow 所具备的捕获异常通信流量的能力对于蠕虫、拒 绝服务攻击以及其他与安全相关的问题的报警很有价值。此外，第三方产品也通过 诸如应用服务器映射和旨在根据广泛的 WAN 部署进行调整的包分析技术之类的方 法，提高了 NetFlow 识别独特应用数据流的能力。 必须指出的是，NetFlow/IPFIX 只是捕获和分析应用传输流的众多技术中的一 项。NetFlow/IPFIX 所具备的与众不同的特点就是它的内在优势：能够利用当前基 础设施捕获大型的且通常是分布式网络上的普遍存在的连接特定的通信行为。 我们以 2003 蠕虫王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Wor m) 爆发的例子来说明 Netflow 在防范网络异常流量攻击的好处。 Netflow 记录的信息：记录的信息： 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1 61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1 61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1 NetFlow 流数据典型特征：目的端口 1434，协议类型 UDP，字节数 404 从以上案例可以看出，蠕虫爆发时，应用 Neflow 分析方法，可以根据病毒 流量的 NetFlow 特征快速定位感染病毒的 IP 地址，并参考 NetFlow 数据流的其它 21/50 特征在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。 在思科路由器上采集分析在思科路由器上采集分析 NetFlow 数据数据 判断异常流量的流向后，就可以选择合适的网络设备端口，实施 Neflow 配置， 采集该端口入流量的 NetFlow 数据。 以下是在 Cisco GSR 路由器 GigabitEthernet10/0 端口上打开 NetFlow 的配 置实例： ip flow-export source Loopback0 ip flow-export destination *.*.*.61 9995 ip flow-sampling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通过该配置把流入到 GigabitEthernet10/0 的 NetFlow 数据送到 NetFlow 采集 器*.*.*.61，该实例中采用 sampled 模式，采样间隔为 100:1。 处理异常流量的方法处理异常流量的方法 （1）切断连接 在能够确定异常流量源地址且该源地址设备可控的情况下，切断异常流量源 设备的物理连接是最直接的解决办法。 （2）过滤 22/50 采用 ACL（Access Control List）过滤能够灵活实现针对源目的 IP 地址、协 议类型、端口号等各种形式的过滤，但同时也存在消耗网络设备系统资源的副作用， 下例为利用 ACL 过滤 UDP 1434 端口的实例： access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 此过滤针对蠕虫王病毒（SQL Slammer） ，但同时也过滤了针对 SQL Server 的正常访问，如果要保证对 SQL Server 的正常访问，还可以根据病毒流数据包的 大小特征实施更细化的过滤策略。 （3）静态空路由过滤 能确定异常流量目标地址的情况下，可以用静态路由把异常流量的目标地址 指向空（Null） ，这种过滤几乎不消耗路由器系统资源，但同时也过滤了对目标地 址的正常访问，配置实例如下： ip route 205.*.*.2 55 Null 0 对于多路由器的网络，还需增加相关动态路由配置，保证过滤在全网生效。 （4）异常流量限定 利用路由器 CAR 功能，可以将异常流量限定在一定的范围，这种过滤也存在 消耗路由器系统资源的副作用，以下为利用 CAR 限制 UDP 1434 端口流量的配置 实例： Router# (config) access-list 150 deny udp any any eq 1434 Router# (config) access-list 150 permit ip any any Router# (config) interface fastEthernet 0/0 Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 23/50 20000 conform-action drop exceed-action drop 此配置限定 UDP 1434 端口的流量为 8Kbps。 更多关于 Netflow 的详细信息，可以参考“网络自身安全”和“蠕虫/恶意代码防 范“的相关章节。 3.1.2 思科思科 IDS/IPS 监控及网络入侵监控及网络入侵保护保护 IDS 是网络系统里面常见的安全监控组建，IDS 往往发送大量的事件报告给网 络管理员，管理员经常淹没在大量的事件告警信息里面，而不知所措。早期的 IDS 系统还经常发生误报警，现在的技术逐渐成熟已经可以完成 IPS 的功能。 一个入侵检测系统分为四个组件：事件产生器（Event generators）；事件分 析器（Event analyzers）；响应单元（Response units ）；事件数据库（Event databases ）。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此 事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作 出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以 只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是 复杂的数据库，也可以是简单的文本文件。 系统分类系统分类 根据检测对象的不同，入侵检测系统可分为主机型和网络型。 24/50 基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为 数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行 分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测 的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种 ID（intrusion detection）：位于操作系统的内核之中并监测系统的最底层行为。 所有这些系统最近已经可以被用于多种平台。比如 Cisco 的 CSA 就是这样的一类 入侵保护系统。 网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于 混杂模式（promisc mode）,对所有本网段内的数据包并进行信息收集，并进行判 断。一般网络型入侵检测系统担负着保护整个网段的任务。 入侵检测技术入侵检测技术 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功 能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种 基于异常情况（anomaly-based）。 对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网 络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此 方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如 CPU 利用 率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、 25/50 并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得 出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的 核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型， 但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无 法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发 觉的攻击。 入侵检测过程入侵检测过程 从总体来说，入侵检测系统可以分为两个部分：收集系统和非系统中的信息然 后对收集到的数据进行分析，并采取相应措施。 信息收集信息收集 信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且，需要在 计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽 可能扩大检测范围的因素外，还有一个就是对来自不同源的信息进行特征分析之后 比较得出问题所在的因素。 入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利 用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和 移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统 的修改可能使系统功能失常并看起来跟正常的一样。例如，unix 系统的 PS 指令可 以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指 26/50 定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网 络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防 止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面（这里 不包括物理形式的入侵信息）： 系统和网络日志文件系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网络 日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这 些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现 成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各 种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包 含登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。很显然地， 对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位 置以及非授权的企图访问重要文件等等。 非正常的目录和文件改变非正常的目录和文件改变 网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏 的目标。目录和文件中非正常改变（包括修改、创建和删除），特别是那些正常情 况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和 破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹， 都会尽力去替换系统程序或修改系统日志文件。 非正常的程序执行非正常的程序执行 27/50 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定 目的的应用，例如 WEB 服务器。每个在系统上执行的程序由一到多个进程来实现。 一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用 的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间 其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将 程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操 作。 信号分析信号分析 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过 三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于 实时的入侵检测，而完整性分析则用于事后分析。 模式匹配模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比 较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找 一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状 态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个 输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著 减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率 28/50 和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑 客攻击手法，不能检测到从未出现过的黑客攻击手段。 统计分析统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计 描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系 统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如， 本来都默认用 GUEST 帐号登录的，突然用 ADMINI 帐号登录。这样做的优点是可 检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常 行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于 神经网络的分析方法，目前正处于研究热点和迅速发展之中。 完整性分析完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内 容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析 利用强有力的加密机制，称为消息摘要函数（例如 MD5），它能识别哪怕是微小 的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的 攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式 实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络 安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析 模块，对网络系统进行全面地扫描检查。 29/50 专家系统专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为，是较为智能的方法。 专家系统主要是运用规则进行分析，规则即知识，不同的系统与设置具有不同的规 则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的 完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测 专家系统的关键。在系统实现中，将有关入侵的知识转化为 if-then 结构（也可以 是复合结构），条件部分为入侵特征，then 部分是系统防范措施。运用专家系统 防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。 Cisco IPS 4200 系列传感器是思科自防御网络的一个核心组件。在当今繁忙 的网络环境中，业务连续性的实现主要依靠于网络入侵保护，它能在恶意攻击、蠕 虫和病毒影响您的数据和资源前终止它们的运行。Cisco IPS 4200 能准确地检测、 分类和终止恶意流量的传输。 Cisco IPS技术能够防御恶意活动，包括蠕虫、直接攻击、分布式拒绝服务攻击、 侦察和应用滥用。 模块化检测功能以先进的思科安全特性和网络智能为基础，能检测和防御对于 从应用到ARP的整个网络堆叠的威胁。Cisco IPS技术提供业界领先的入侵保护， 增强了这一功能。 Cisco IPS提供自适应安全漏洞和异常流量检测。签名主要集中于安全漏洞，那 么即使发生改变，检测威胁的能力也不会受到影响。为应对新兴的“零日”威 30/50 胁，Cisco IPS能学习您的网络，发现异常行为，并在无需升级签名的情况下防 御攻击。 Cisco IPS技术和签名服务是由思科全球安全专家团队开发的。这些专家对新兴 威胁、检测方法和防御策略进行长期研究，以便不断提供基于安全漏洞的最新 签名和先进的入侵防御功能。 精确的响应精确的响应 Cisco IPS 4200系列传感器提供精确的威胁影响分析，帮助您自信地应对威胁。 Cisco IPS为每个事件进行实时风险衡量，使您最充分地了解潜在威胁的影响。 自适应多维算法结合了攻击细节与实时网络知识，生成标准化的风险评估结果。 Cisco IPS拥有最丰富的响应措施集，执行灵活、精确的响应策略。您能为每个 网络环境和威胁定制IPS策略 直接丢弃数据包、终接进程、限速，或在网络 中的路由器和其他安全设备上实施接入控制和速率限制。 Cisco IPS威胁评定特性能够评估响应后的风险，使安全事件处理者集中精力处 理对业务影响最大的事件。在积极响应，优先处理对业务潜在影响最大的事件 之后，更新风险衡量结果。 Cisco IPS记录每个报警的实时、深入的信息，帮助事件处理者迅速诊断和解决 问题。环境数据和进程记录提供了每个事件之前、期间和之后的数据包级具体 信息。 31/50 自防御网络的入侵防御功能自防御网络的入侵防御功能 集成集成 最具多样性的IPS传感器系列为网络任意位置的适当工作提供适当工具 入侵防御已集成到网络阵列中 解决方案以思科安全特性和网络智能为基础 自适应自适应 模块化检测引擎提供了迅速响应和最短停机时间 异常行为检测能防御零日攻击 基于风险的动态威胁评定能实时调整应对攻击的策略 协作协作 机箱和网络级关联使用户更为自信 网络和端点协作提供了更高可视性和效率 基于解决方案的通用管理界面有助于降低运营开支 基于策略的管理基于策略的管理 Cisco IPS 4200系列传感器减少了实施安全措施所需的时间和精力，使用注重于策略 的管理和关联工具，并提供了必要的精确度，以便您准确调整IPS配置。 32/50 利用集成的图形化管理和事件浏览工具，开箱即能提高安全可视性，并方便地 定义检测策略。 利用思科安全监控、分析和响应系统(MARS)，获得有关您的安全状态的统一、 端到端视图，并利用统一方式来管理安全事件。 利用功能丰富的思科安全管理器(CSM)图形化界面，只需简单的几步就能更新 数千设备上的策略，从而降低变更和配置管理活动的成本。 企业永续性企业永续性 Cisco IPS 4200系列传感器具容错性，能够缩短停机时间，确保您的IPS解决方案能 够承受日常运营中的高峰流量压力。 内置的全面监控功能可检测出每个运营层次的潜在故障，包括设备、服务、通 信和监控链路故障。 自动和手动保证连接选项使您能为最坏的情况定义合适的策略，比如每个通过 的数据包都必须检查，或是“无论发生什么情况”您的流量都必须通过等。集 成硬件旁路能帮助您将此策略扩展应用到整个系统和电源故障。 灵活的部署灵活的部署 作为最多样化的IPS技术产品系列的一个组件，Cisco IPS 4200系列传感器能部署在 各种网络环境之中。IPS 4200系列广泛的性能和接口配置能帮助您在网络边缘、园 区网和数据中心中，以无与伦比的灵活性实施高效的入侵防御。 33/50 Cisco IPS 4200系列传感器能部署为线内IPS配置、混合IDS配置，或同时支持线 内和混合配置。 Cisco IPS 4200系列设备提供多种多接口配置，包括铜缆和光纤千兆以太网以及 万兆以太网接口。您还能配置数千个逻辑接口，并在您的VLAN环境中实施入 侵防御，为您提供了设计灵活性，以支持您所有繁简不一的部署要求。 Cisco IPS技术还提供业界领先的虚拟化功能。虚拟传感器支持配置和传感器状 态的虚拟化。 如图1所示，传感器几乎能部署在任何需要安全可视性，以便高效终止蠕虫和病毒 运行的企业网段之中。 34/50 多个 IPS 传感器通过 Cisco Catalyst 交换机上的以太通道来提供具高可扩展性的负载 均衡解决方案 提供出色性能提供出色性能 Cisco IPS传感器能满足多种应用和网络的严格要求。在当今的企业中，应用受益于 互联网的程度已达到前所未有的水平。IP语音、电子商务、流视频和Web 2.0改进 了生产率和员工协作。这些网络应用对资源，如连接速率、并发连接数、流量长度、 事务处理规模等提出了不同需求。从性能的角度来看，出现了一系列应用类型，从 支持融合内容的多媒体环境到通过快速、轻量连接构建的、能进行大量事务处理的 环境。 Cisco IPS技术在“多媒体”和“事务处理”环境中评估多种参数，帮助您根据实际 环境的独特特征，预计真正的IPS性能。 多媒体多媒体 多媒体环境的特征是有丰富的内容。大多数流行网站上的内容都属于多媒体范畴， 如视频内容和文件传输等。如果您的环境需访问大量数据和融合内容，您的环境就 属于多媒体环境。 事务处理事务处理 35/50 事务处理环境的特征是有大量连接。许多类型的电子商务环境都属于事务处理环境， 如即时消息传递和语音等。如果您