企业网络安全入侵检测与响应解决方案

企业网络安全入侵检测与响应解决方案

企业网络安全入侵检测与响应解决方案

目录

1当前我们面对的主要安全问题............................................3

2企业网络安全技术的现状分析...........................................7

2.1网络安全出现了哪些的问题？.......................................7

2.2需要统一安全管理的发展历程.......................................12

2.3SIM安全信息管理的产生............................................15

2.4从安全信息管理SIM发展到安全威胁管理STM................................................16

3企业网络安全监控和快速响应解决方案...................................20

3.1企业网络安全监控的手段...........................................20

3.1.1NetHow实时监控网络流量......................................20

3.1.2企业网络IDS/IPS监控及网络入侵保护..........................25

3.2企业网络快速响应方案.............................................45

3.2.1CS-MARS的部署优势............................................49

3.2.2CS-MARS防御蠕虫病毒攻击实例.................................50

4企业网络IPS/MARS的技术指标.......................错误！未定义书签。

2/58

企业网络安全入侵检测与响应解决方突

1当前我们面对的主要安全问题

在近日召开的2005中国计算机网络安全应急年会（CNCERT/

CC2OO5）上，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）

发布了“2004年全国网络安全状况调查报告”。此次调查是在信息产业

部互联网应急处理协调办公室的指导下，针对全国16个城市2800多个

企业的网络安全状况进行的。

调查显示，在各类网络安全技术使用中，防火墙的使用率最高，占

77.8%;其次为反病毒软件的应用,占到73.4%;访问控制（25.6%）、加

密文件系统（20.1粉和入侵检测系统（15.8%）也是通常使用的网络安全

技术。生物识别技术、虚拟专用网络、数字签名和证书使用率较低，其

中被访者中有很多人不清楚这些技术，还需要一段时间才能得到市场的

认可。

在金融、制造、电信、财税、政府、教育、交通、其他类8个行业

中，各行业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、

政府、教育行业以反病毒软件最普遍，其他行业都对防火墙使用最为普

遍。

3/58

企业网络安全入侵检测与响应解决方案

被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕

虫或特洛伊木马攻击，占75.3%。被调查对象认为，引发网络安全事件

的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”，占

50.3猊对员工不充分的安全操作和流程的培训及教育占36.3%;紧随其

后的是缺乏全面的网络安全意识教育，占28.7%。

调查数据显示，2004年面临的网络安全威胁最高的是使用自动化网

络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%;其次是有熟练

攻击经验的攻击者成功绕过网络安全防护措施，占15.4%;大量或非常

密集网络攻击尝试，占13.8机

此次调查是一次比较全面、客观、公正的社会调查，调查结果反映

了我国当前网络安全的实际情况。总体而言，我国网络安全管理水平和

技术水平较高，网络安全技术和产品，如防火墙、反病毒产品的普及率

达到较高水平；企业对保证信息安全的基础性工作的重视程度比较高；

近70%的被调查单位有专门的组织或机构负贡内部的网络与信息安全，

显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所

提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步得

到贯彻执行。

4/58

企业网络安全入侵检测与响应解决方舆

但是，通过调查也反映出我国企业网络安全方面存在的一些问题，

比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认

证技术、加密技术等普及程度较低，被调查单位内部安全规章不够完善

和全面，企业采用网络安全相关标准作为指导的还不多，企业内部网络

安全管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映

出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面

临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信

息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是

最需要的。建立网络安全法律法规、建立网络安全技术监测平台、提高

公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措

施。

如何应对现在新的网络安全环境呢？如何在我们的网络上确保安

全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思

考的问题。现在尽管采用了防火墙、虚拟专用网（VPN）、身份验证机

制、入侵检测系统（IDS）和其他技术来保障网络安全，但是网络攻击

的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需

要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染

整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会

企业网络安全入侵检测与响应解决方舆

产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中

断和收入损失。

因此，企业在网络上部署安全设备和应用的目的不再只是控制访问

权限和发现可能的问题C其首要目标已经变成以最佳的方式保持网络的

正常运行。而现实是现芍的安全产品通常不能够采取足够快的措施制止

攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购

买更多的安全技术而增加预算的必要性。

有很多相关的因素共同导致了这种僵局，例如：

•用于保护和监控网络的各种安全设备一一防火墙、IDS、VPN、身份

验证设备等一一具有不同的、不一致的报告机制。

•各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于

网络攻击的信息。

.一个典型企业中的各种安全设备可能会产生大量关于网络中流经的

数据的信息，以至于操作人员无法有效地处理这些信息。

综合起来看，我们企业遇到的安全问题主要归结为一下五个方面：

对实时安全信息不了解，无法及时发出预警信息

6/58

企业网络安全入侵检测与响应解决方案

安全设备的管理往往是孤立的安全设备，缺乏整个“网

络”的意识

事件发生后，无法确诊网络故障的原因或感染源/攻击

源，网络业务恢复时间长

缺乏“经验丰富”的网络安全专家去监控，分析，解决

问题；成本比较高

对某些特定安全事件没有适合的方法，如DDoS攻击，蠕

虫病毒等

2企业网络安全技术的现状分析

2.1网络安全出现了哪些的问题？

如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、

共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球

市场中的迅速成长和扩大。但随之而来的威胁也越来越多一一黑客攻

击、恶意代码、蠕虫病毒……可以说，网络从没有象今天这样脆弱不堪、

危机四伏，不知道什么时候灾难就会降临。

7/58

企业网络安全入侵检测与响应解决方案

在黑客技术发展层而，以及越来越频繁爆发的网络危机来看，黑客

们已熟悉了防火墙、IDS等安全部件执行的传统方间控制策略。他们的

攻击方式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应

用程序层面，寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体，

如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络安全提

出了新的挑战。

从另一个角度来看，企业在网络建设初期网络安全并没有很好地规

划。随着网络建设的深入，安全产品不断增加，整体缺乏统一管理，相

互间没有沟通交互，信息无法有效整合，是一些信息安全的孤岛。

就象现在人们在关注和谈论的IT孤岛问题一样，各个应用系统之间

缺乏有效联系，信息得不到整合，发挥不出其应有的价值。同样的问题

放在网络安全上，这一效应就有可能放大成为风险，给企业IT系统的

持续运转埋下隐患。

8/58

企业网络安全入侵检测与响应解决方舆

现在的防病毒软件有自己的管理系统，防火墙有自身管理系统，不

同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品

管理系统信息的检查。

其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独

立地看待这些来自单一设备的信息，很有可能会忽略到一些重耍的细节

或关键因素，致使网络遭受重大打击。

设想，当一个攻击发生时，防病毒、防火墙、IDS产品都发出了自

身的报警信息，由于缺乏事件的关联性，一个事件会引起多个或大量的

安全信息。这使网络管理人员无法进行及时处理，往往顾此失彼，手足

无措，无法针对事件做出及时响应，迅速地给出一个良好、有效的解决

办法。

不同安全产品的管理人员处理问题往往只针对自己产品本身，而没

有统一调整整个网络的防御策略，这样往往会错过处理的最佳时机，而

无法使企业网络在遭受病毒或攻击的时候，最大限度地减少所遭受的损

失。

如果这种状况持续下去，网络安全管理员所看到的永远只是一个相

对独立的安全信息，就像是那个盲人摸象的故事。看问题只是看到了一

个角，而没有看到问题的全部，那些细节和隐藏在外表下的真相可能恰

恰被忽略，而它们往往是问题的关键所在。像电信运营商这样拥有庞大

9/58

企业网络安全入侵检测与响应解决方案

的全国性网络、网络中安全产品数量众多的大型企业，这种问题尤为

突出。

我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器

上，作安全的事后审计。一个大型的网络，包含若干的网络产品，这些

网络设备随时随地都在发送SysLog信息，每天产生的Log信息达到数

万之多，任何•个网络管理员很难通过Syslog来准确定位网络发生的

安全故障；即使有丰富知识的网络管理员，能通过Syslog分析得到有

用的网络信息，但是速度也是很慢的。

看不完的记录信展2

1®Log/告

■，庭一e

至三三衣由CE―――

版EFS三寓主£后备"5充能既丽H满母£二^

r^^ya^v

匚之网络IDS的Logs___________

•1

Pccntaton_100am40ayinhe.cs

10/58

企业网络安全入侵检测与响应解决方案

不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事

故的响应速度。如果再加上一些莫名其妙的虚假警报，公司的网络运维

人员数量将急剧增长，但这依然无法保证网络的安全，有的时候企业不

得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。

这就是为什么企业在部署了众多安全设备后，依然无法有效地进行

安全防范的原因。IT管理者们更希望在问题发生的时候，得到一个综

合全面的安全报告，以了解企业网络到底处于什么样的状态，遭受过

什么样的攻击，正面临着什么样的危险?而不是每一个产品信息的简单

罗列，企业需要一个能集中管理所有产品信息、智能化的安全管理中

心。

“安全是二分技术，七分管埋。”已为大家所广泛熟知，但是怎么

管理、怎么进行有效地利用，却始终困绕着众多CIO。诚然，一个良好

的安全机制和策略能给企业提供一定的安全保障，但面对网络中数目

日益庞大的不同品牌和功能的安全产品，网络管理人员愈发捉襟见肘，

单纯依靠人力的管理和维护不但效率低下，而且还面临很多不确定的因

素和风险。

综上所述，不难看出，近年来，安全管理中心、集中安全管理平台

的理念和整体解决方案越来越得到用户认可的一个深层次原因。无论是

网络安全的产业界，还是行业和企业用户，都越来越重视这一新兴的市

11/58

企业网络安全入侵检测与响应解决方案

场。很多厂商都从不同的层面，提出了各自的集中安全管理解决方案和

思想。

2.2需要统一安全管理的发展历程

统一的安全中心的发展由最开始的基于每一台安全设备的管理.，到

每一类安全设备(FW/IDS/VPN)的网元级的管理，因为单独的安仝设备

不能解决安全的网络问题，独立的基于网元的管理更不能解决日益复杂

的安全的问题，必须寻求新的方法。随着信息技术的发展，面对新一代

的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追

求的理想目标。那么什么是安全的网络？安全的网络是指能够提供安全

连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，

具有自我防御能力的网络系统。

单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节

包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是

在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值

和目标，制定相应的解诀方案。入侵检测主要是通过对网络和主机中各

种有关安全信息的采集却及时分析，来发现网络中的入侵行为或异常行

为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当

发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，

事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在

数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。

12/58

企业网络安全入侵检测与响应解决方案

除此之外，风险评估、安全策略和管理规定等，经常也被作为安全保障

的重要部分。但是不论有多少环节，要想实现安全的网络，风险评估、

策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些

准备工作，事件响应才可以及时得到各种必要的审计数据，进行准确的

分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实

际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网

络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止

攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于

使用和管理产品的人以及网络安全信息管理平台C优秀的信息管理分析

工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真

正实现安全网络。下图为安全网络系统模型，可见安全信息管理具有非

常重要的作用。安全网络系统模型

安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，

配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系

统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，

13/58

企业网络安全入侵检测与响应解决方案

实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循

环中，起到一个承前启后的作用，是实现安全网络的关键，如下图所示

安仝实施

在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，

帮助我们做出止确判断的依据被不断增加的、多个1商的安全设备和多

个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网

络入侵监测系统会报警，防火墙会报警，遭受攻击的主机会报警，相关

的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而

其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着

14/58

企业网络安全入侵检测与响应解决方案

实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，

从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。目前

的安全集中管理关键技术之一是一种称为安全信息管理(SIM)的软件

技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强

大的智能分析和处理能力。

2.3SIM安全信息管理的产生

SIM系统可以从多个设备接收日志数据，存储和管理所创建的大

量文件，以及实现至少部分的数据证据分析。但是，SIM仍然不能解

决最其中关键的几个问题：

1、需要大量训练有素的安全分析人员解读数据和报告。

2、现有的分析深度不够，不足以及时地阻止正在进行的网络攻击。

SIM技术提供的工具可以判断网络是否遭受了攻击，某些网络组件是

否受到了威胁，甚至某些网络组件是否参与了攻击，SIM并没有显示

网络攻击的完整路径所需要的网络感知能力，因而无法在攻击发生时

能快速制止攻击。

3、SIM并不能提高其他安全设备的投资回报。

为弥补SIM的不足，需要提高网络感知能力和加快分析速度，以

发现实际的网络攻击并近乎实时地制止这些攻击。这种被称为安全威

15/58

企业网络安全入侵检测与响应解决方案

胁管理(STM)的能力必须能够自动执行大部分目前由安全分析人员

完成的工作，降低对于训练有素的分析人员的需求，让安全人员可以

集中精力处理实际的威胁和制定未来的策略及战略。

2.4从安全信息管理SIM发展到安全威胁管理STM

STM技术监控网络中的各种安全和网络产品产生的日志和报告流

量，采用多种创新技术以精简庞杂的网络事件信息，为网络操作人员

提供监控和阻止网络攻击所必需的信息：

1、端到端的网络拓扑感知能力和攻击发现能力

2、高效能进程化和基于进程的主动关联

3、集成化的动态主机脆弱性分析和精确跟踪

STM技术从全面感知网络拓扑开始，知道哪些协议在哪里创建了

网络地址，以便当某个攻击的源和目地地址发生变化时继续加以跟

踪。简单网络管理协议(SNMP)的使用在设备的IP地址和它的固定

硬件MAC地址之间提供了映射，让用户可以准确地识别网络路径上的

某个设备。STM技术可以使用来自于路由器、交换机和其他计算机的

完整配置信息，以及来自于安全设备的信息建立网络的完整视图。

STM技术首先从安全设备和网络组件接收网络事件，将事件信息

与它的网络感知能力结合到一起，发现网络攻击活动集中的“热

点”，并且显示攻击终端之间的网络路径。随后指出操作人员可以制

16/58

企业网络安全入侵检测与响应解决方案

止攻击的网络或者安全设备，为阻止危险流量提供准确的设备位置和

适当的设备配置信息。

图1（从上往下读图）显示了STM技术用于减少原始网络事件数

据量和制止网络攻击的创新流程：

网络上的多个设备一一包括安全设备（防火墙和IDS）、网络设备

（路由器和交换机）和终端系统（服务器）一一发送日志和网络信息，

从路由器和交换机采集CiscoIOSNetFlow数据，获得用于集成事件

数据的网络性能和记账数据，识别异常网络流量和突变。

进程化可以利用网络拓扑感知功能将多个事件汇总成端到端的

进程。图2显示了一个典型的进程。网络地址在攻击路径中发生了变

化，而NAT感知功能对于关联不同的事件具有重要的意义。

firrMnl1爆terver

routeriogs加岫events

NetFlow

ssstKixon

commouat

RAWINCDENT5

FALSEPOSITIVESTopology

Information

INODENT

MTGATION

图1从网络事件到攻击制止

基于进程的主动关联可以利用内置的和用户定义的规则，将

关于多个进程的信息与NetFlow数据关联到一起，以发现可能的完整

17/58

企业网络安全入侵检测与响应解决方案

网络攻击（简称攻击）。

对于每个可能的攻击，进行自动的脆弱性扫描c这包括检查攻击是否

成功到达目标（它可能会被某个防火墙或者服务器中的主机IDS阻

截），以及目标是否的确可能遭受攻击（它的操作系统可能不会遭受

这种攻击的影响）。自动脆弱性扫描会使用关于终端系统的信息发现

误报，制定规则以减少将来对可能攻击的分析和处理。

将实际的攻击通知操作人员，并告知制止方法。精确跟踪可

以自动搜集主机信息，获得关于实际事件的完整信息。每天数百万个

事件可能会精简到数十个攻击------个操作人员就足以对这些事件

进行解读和处理。

为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的

攻击还是误报。只需做出一个决定，就可以识别误报，迅速减少获得

的事件数量。

作为上述流程的一个典型例子，请参考图2中的箭头所显示的攻击路

径。

STM技术可以接收这些事件，并利用它在不同节点的网络拓扑和NAT

感知能力将这些事件汇总为单个进程。在图2中，（注意攻击的目的

地地址被防火墙的NAT更改）STM技术可以将防火墙两侧的事件识别

为同一个进程的不同部分一一尽管存在不同的地址。

18/58

企业网络安全入侵检测与响应解决方案

STM技术可以根据内部规则比较进程的细节（进程内部关联）和

其他进程的细节（进程间关联），以发现某个潜在的攻击。如果存在

潜在的攻击，会根据对攻击目标的实际扫描，进行脆弱性分析、确定

潜在攻击是一个需要报告和制止的攻击，还是一个可以忽略的误报。

在最低层次上，STM技术可以被看做一个有效的、高性能的SIM。

在较高层次上，它可以用于分析以前采集的数据，以识别网络流量模

式和对网络攻击进行证据分析，为安全威胁管理树立很多新的标准和

方法，提高安全威胁的响应速度，从而真正实现综合统一的安全技术

体系，使安全系统具有快速响应威胁的能力，利于自防御安全网络的

建设。

19/58

企业网络安全入侵检测与响应解决方案

3企业网络安全监控和快速响应解决方案

3・1企业网络安全监控的手段

网络的安全监控的前提必须实时了解网络运行的状况，包括网络的

实时流量，网络整体的?石扑，网络安全设备部署的全景，网络安全策略

的部署，网络设备的级别配置，等等。所以，网络安全的快速响应必须

基于整个网络的安全监控分析。企业网络提供有多种安全监控分析的手

段。企业网络所有的路由器和大部分中高端交换矶都具备的Netflow功

能就是最常用的一种流量统计观察的常用手段；企业网络IDS、网络分

析模块、CSA等也是网络安全监控的重要手段。

3.1.1NetFlow实时监控网络流量

最近调查显示，NetFlow的采用率正在不断上升。很象基于RMON

的探针的NetFlow能够为用户提供有关特定应用在哪里被使用、为什么

被使用、被如何使用以及被谁使用，以及这种使用有可能如何影响网络

的信息。NetFlow是Cisco公司的IOS软件的一部分，而其当前的版本

9目前正在IETF以IPFIX的名称进行标准化。当然，这使得

20/58

企业网络安全入侵检测与响应解决方案

NetFlow/IPFIX作为有关异构环境里的网络上的应用流程的信息的一致

来源更具吸引力了。

NetFlow提供IP源地址、IP目的地址、源端口、目的端口、三层

协议类型和服务级别信息。

几年来，服务提供商一直使用NetFlow。它们一直被NetFlow的如

下特点所吸引：它在人型WAN环境里所具有的伸缩能力；它能够帮助支

持对等点上的最佳传输流；它可用来进行建立在单项服务基础之上的基

础设施最优化评估；它在解决服务和安全问题方面所表现出来的价值；

它能够为服务计费提供基础。

然而，NetFlow却远非万能。它无法提供应不反应时间，而且，考

虑到不断增长的动态端口分配趋势，它在根据端口特征识别应用方面的

能力还远远不够。此外，过去，NetFlow很难实现，而且在性能方面表

现也不好。因此，它实际上是无法在大多数IT部门实现的最佳实践。

如今情况发生了很大的变化。调查发现路由器性能影响降低到了最

低的大约2%至3%,而且，NetFlow部署只需要一个星期的时间。采用它

的另一个原因是：可以报告和分析NetFlow的软件一如出自Crannog、

Micromuse.NetScout和NetQoS公司的管理软件包得到了很大的改进。

NetQoS公司的产品可以根据入站传输流对出站传输流进行评估以简化

部署。NetFlow同样对于服务建模以及计费应用很有价值，而且，对于

诸如QILabs公司和Arbor公司的Peakflow之类的安全厂商很有用，在

21/58

企业网络安全入侵检测与响应解决方案

这方面，NeiFlow所具备的捕获异常通信流量的能力对于蠕虫、拒绝服

务攻击以及其他与安全相关的问题的报警很有价值。此外，第三方产品

也通过诸如应用服务器映射和旨在根据广泛的WAN部署进行调整的包分

析技术之类的方法，提高了NetFlow识别独特应月数据流的能力。

必须指出的是，NctFlow/IPFIX只是捕获和分析应用传输流的众多技

术中的一项。NetFlow/IPFIX所具备的与众不同的特点就是它的内在优

势：能够利用当前基础设施捕获大型的且通常是分布式网络上的普遍存

在的连接特定的通信行为。

我们以2003蠕虫王(Worm.NetKiner2003,WORM_SQLP1434,

W32.Slammer,W32.SQLExp.Worm)爆发的例子来说明Netflow在防范网

络异常流量攻击的好处。

Netflow记录的信息：

61.*.*124|28.*.17.190|6511l|asl|6|34|4444|l434|17|1|404|1

61124|28.*.154.90|65111|as116|70|4444|143

4|17|1|404|1

61124|28.*.221.90|65111|asl|6|36|4444|143

4|17|1|404|1

NetFlow流数据典型特征：目的端口1434,协议类型UDP,

字节数404

22/58

企业网络安全入侵检测与响应解决方案

从以上案例可以看出，蠕虫爆发时，应用Neflow分析

方法，可以根据病毒流量的NetFlow特征快速定位感染病毒的IP地址，

并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤

措施，从而达到抑制病毒流量传播的目的。

在企业网络路由器上采集分析NetFlow数据

判断异常流量的流向后，就可以选择合适的网络设备端

H,实施Neflow配置，采集该端口入流量的NetFlow数据。

以下是在CiscoGSR路由器GigabitEthernetlO/O端口

上打开NeiFlow的配置实例：

ipflow-exportsourceLoopbackO

ipflow-exportdestination*.*.*.619995

ipflow-sampling-modepacket-interval100

interfaceGigabitEthernetl0/0

iproute-cacheflowsampled

通过该配置把流入到GigabitEthemetlO/O的NetFlow

数据送到NetFlow采集器*.*.*.61,该实例中采用sampled模式，采样

间隔为100:1。

23/58

企业网络安全入侵检测与响应解决方案

3.1.1,2处理异常流量的方法

(1)切断连接

在能够确定异常流量源地址且该源地址设备可控的情况

下，切断异常流量源设备的物理连接是最直接的解决办法。

(2)过滤

采用ACL(AccessControlList)过滤能够灵活实现针

对源目的IP地址、协议类型、端口号等各种形式的过滤，但同时也存

在消耗网络设备系统资源的副作用，下例为利用ACL过滤UDP1434端

口的实例：

access-list101denyudpanyanyeq1434

access-list101permitipanyany

此过滤针对蠕虫王病毒(SQLSkimmer),但同时也过滤

了针对SQLServer的正常访问，如果要保证对SQLServer的正常访问，

还可以根据病毒流数据包的大小特征实施更细化的过滤策略。

(3)静态空路由过滤

能确定异常流量目标地址的情况下，可以用静态路由把

异常流量的目标地址指向空(Null),这种过滤几乎不消耗路由器系统

资源，但同时也过滤了对目标地址的正常访问，配置实例如下：

iproute205.*.*.255Null0

对于多路由器的网络，还需增加相关动态路由配置，保

24/58

企业网络安全入侵检测与响应解决方案

证过滤在全网生效。

(4)异常流量限定

利用路由器CAR功能，可以将异常流量限定在一定的范

围，这种过滤也存在消耗路由器系统资源的副作用，以下为利用CAR限

制UDP1434端口流量的配置实例：

Rouier#(config)access-lisi150denyudpanyany

eq1434

Router#(config)access-Iist150permitipanyany

Router#(config)interfacefastEthemet0/0

Router#(config-if)rate-limitinputaccess-group

rate-limit1508000150020000

conform-actiondropexceed-actiondrop

此配置限定UDP1434端口的流量为8Kbps。

更多关于Netflow的详细信息，可以参考“网络自身安全”和“蠕

虫/恶意代码防范”的相关章节。

3.1.2企业网络H)S/IPS监控及网络入侵保护

IDS是网络系统里面常见的安全监控组建，IDS往往发送大量的事件

报告给网络管理员，管理员经常淹没在大量的事件告警信息里面，而不

知所措。早期的IDS系统还经常发生误报警，现在的技术逐渐成熟已经

可以完成IPS的功能。

25/58

企业网络安全入侵检测与响应解决方案

一个入侵检测系统分为四个组件：事件产生器(Eventgenerators);

事件分析器(Eventanalyzers);响应单元(Responseunits);事

件数据库(Eventdatabases)。

事件产生器的目的是从整个计算环境中获得事件，并向系统的其他

部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应

单元则是对分析结果作出作出反应的功能唯元，它可以作出切断连接、

改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放

各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是

简单的文本文件。

系统分类

根据检测对象的不同，入侵检测系统可分为主机型和网络型。

基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序

日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所

在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的

系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运

行的进程是否合法。最近出现的一种ID(intrusiondetection):位

于操作系统的内核之中并监测系统的最底层行为,所有这些系统最近已

经可以被用于多种平台c比如Cisco的CSA就是这样的一类入侵保护系

统。

26/58

企业网络安全入侵检测与响应解决方案

网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子

的网卡设于混杂模式(promisemode),对所有本网段内的数据包并进

行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网

段的任务。

入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系

统的核心功能。从技术上，入侵检测分为两类：一种基于标志

(signature-based),另一种基于异常情况(anomaly-based)□

对于基于标识的检测技术来说，首先要定义违背安全策略的事件的

特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收

集到的数据中出现。此方法非常类似杀毒软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，

如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义，

也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数

值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测

方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的

检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准

确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不

27/58

企业网络安全入侵检测与响应解决方舆

断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以

（至少在理论上可以）判别更广范、甚至未发觉的攻击。

入侵检测过程

从总体来说，入侵检测系统可以分为两个部分：收集系统和非系统

中的信息然后对收集到的数据进行分析，并采取相应措施。

信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。而

且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）

收集信息，这除了尽可能扩大检测范围的因素外，还有一个就是对来自

不同源的信息进行特征分析之后比较得出问题所在的因素

入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很

有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客

经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、

记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来

跟正常的一样。例如，unix系统的PS指令可以被替换为一个不显示侵

入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件

（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络

系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚

固性，防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自

以下三个方面（这里不包括物理形式的入侵信息）:

28/58

企业网络安全入侵检测与响应解决方舆

系统和网络口志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用

系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和

不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系

统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启

动相应的应急响应程序。口志文件中记录了各种行为类型，每种类型又

包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用

户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，

对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到

不期望的位置以及非授权的企图访问重要文件等等。

非正常的目录和文件改变

网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客

修改或破坏的目标。目录和文件中非正常改变（包括修改、创建和删除），

特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和

信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同

时为了隐臧系统中他们的表现及活动痕迹，都会尽力去替换系统程序或

修改系统日志文件。

非正常的程序执行

网络系统上的程序执行一般包括操作系统、网络服务、用户启动的

程序和特定目的的应用，例如WEB服务器。每个在系统上执行的程序由

29/58

企业网络安全入侵检测与响应解决方舆

一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表

现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、

文件传输、设备和其它进程，以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑

客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户

或管理员意图的方式操作。

信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，

一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式

数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如

通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利

用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模

式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表

示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，

且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效

率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出

现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

30/58

企业网络安全入侵检测与响应解决方案

统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创

建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作

失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量

属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正

常值范围之外口寸，就认为有入侵发生。例如，本来都默认用GUEST帐号

登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入

侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为

的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的

和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件

和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面

特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例

如MD5）,它能识别哪怕是微小的变化。其优点是不管模式匹配方法和

统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象

的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后

分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全

产品的必要手段之一。，列如，可以在每一天的某个特定时间内开启完整

性分析模块，对网络系统进行全面地扫描检查。

31/58

企业网络安全入侵检测与响应解决方案

专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为，是较为

智能的方法。专家系统主要是运用规则进行分析，规则即知识，不同的

系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建

立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性

与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系

统实现中，将有关入侵的知识转化为if・then结构（也可以是复合结构），

条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有

特征入侵行为的有效性完全取决于专家系统知识库的完备性。

Cisco@IPS4200系列传感器是企业网络自防御网络的一个核心组

件。在当今繁忙的网络环境中，业务连续性的实现主要依靠于网络入侵

保护，它能在恶意攻击、蠕虫和病毒影响您的数据和资源前终止它们的

运行。CiscoIPS4200能准确地检测、分类和终止恶意流量的传输。

-CiscoIPS技术能够防御恶意活动，包括蠕虫、直接攻击、分布式拒

绝服务攻击、侦察和应用滥用。

•模块化检测功能以先进的企业网络安全特性和网络智能为基础，能检

测和防御对于从应用到ARP的整个网络堆叠的威胁。CiscoIPS技术提

供业界领先的入侵保护，增强了这一功能。

-CiscoIPS提供自适应安全漏洞和异常流量检测。签名主要集中于安

32/58

企业网络安全入侵检测与响应解决方案

全漏洞，那么即使发生改变，检测威胁的能力也不会受到影响。为应

对新兴的“零日”威胁，CiscoIPS能学习您的网络，发现异常行为，

并在无需升级签名的情况下防御攻击。

-CiscoIPS技术和签名服务是由企业网络全球安全专家团队开发的。

这些专家对新兴威胁、检测方法和防御策略进行长期研究，以便不断

提供基丁安全漏洞的最新签名和先进的入侵防御功能。

精确的响应

CiscoIPS4200系列传感器提供精确的威胁影响分析，帮助您自信地应

对威胁。

-CiscoIPS为每个事件进行实时风险衡量，使您最充分地了解潜在威

胁的影响。自适应多维算法结合了攻击细节与实时网络知识，生成

标准化的风险评估结果。

-CiscoIPS拥有最丰富的响应措施集，执行灵活、精确的响应策略。

您能为每个网络环境和威胁定制IPS策略-直接丢弃数据包、终接

进程、限速，或在网络中的路由器和其他安全设备上实施接入控制和

速率限制。

•CiscoIPS威胁评定特性能够评估响应后的风险，使安全事件处理者

集中精力处理对业务影响最大的事件。在积极响应，优先处理对业务

潜在影响最大的事件之后，更新风险衡量结果。

33/58

企业网络安全入侵检测与响应解决方案

-CiscoIPS记录每个报警的实时、深入的信息，帮助事件处理者迅速

诊断和解决问题。环境数据和进程记录提供了每个事件之前、期间和

之后的数据包级具体信息。

自防御网络的入侵防御功能

集成

・最具多样性的IPS传感器系列为网络任意位置的适当工作提供适当工

具

­入侵防御已集成到网络阵列中

•解决方案以企业网络安全特性和网络智能为基础

自适应

•模块化检测引擎提供了迅速响应和最短停机时间

•异常行为检测能防御零日攻击

•基于风险的动态威胁评定能实时调整应对攻击的策略

协作

•机箱和网络级关联使用户更为自信

•网络和端点协作提供了更高可视性和效率

•基于解决方案的通用管理界面有助于降低运营开支

34/58

企业网络安全入侵检测与响应解决方案

基于策略的管理

CiscoIPS4200系列传感器减少了实施安全措施所需的时间和精力，使

用注重于策略的管理和关联工具，并提供了必要的精确度，以便您准确

调整IPS配置。

•利用集成的图形化管理和事件浏览工具，开箱即能提高安全可视性，

并方便地定义检测策略。

•利用企业网络安全监控、分析和响应系统(MARS),获得有关您的安全

状态的统一、端到端视图，并利用统一方式来管理安全事件。

•利用功能丰富的企业网络安全管理涔(CSM)图形化界面,只需简单的

几步就能更新数千设备上的策略，从而降低变更和配置管理活动的成

本。

企业永续性

CiscoIPS4200系列传感器具容错性，能够缩短停机时间，确保您的IPS

解决方案能够承受日常运营中的高峰流量压力。

­内置的全面监控功能可检测出每个运营层次的潜在故障，包括设备、

服务、通信和监控链路故障。

•自动和手动保证连接选项使您能为最坏的情况定义合适的策略，比如

每个通过的数据包都必须检查，或是“无论发生什么情况”您的流量

35/58

企业网络安全入侵检测与响应解决方案

都必须通过等。集成硬件旁路能帮助您将此策咯扩展应用到整个系统

和电源故障。

灵活的部署

作为最多样化的IPS技术产品系列的一个组件，CiscoIPS4200系列传

感器能部署在各种网络环境之中。IPS4200系列广泛的性能和接口配置

能帮助您在网络边缘、园区网和数据中心中，以无与伦比的灵活性实施

高效的入侵防御。

-CiscoIPS4200系列传感器能部署为线内IPS配置、混合IDS配置，或

同时支持线内和混合配置。

-CiscoIPS42。。系列设备提供多种多接口配置，包括铜缆和光纤千兆

以太网以及万兆以太网接口。您还能配置数千个逻辑接口，并在您的

VLAN环境中实施入侵防御，为您提供了设计灵活性，以支持您所有繁

简不一的部署要求。

•CiscoIPS技术还提供业界领先的虚拟化功能。虚拟传感器支持配置

和传感静状态的虚拟化。

如图1所示，传感器几乎能部署在任何需要安全可视性，以便高效终止

蠕虫和病毒运行的企业网段之中。

36/58

企业网络安全入侵检测与响应解决方案

MultipleIPSsensorsdeliver

ahighlyscalable,

loadbalancedsolution

PublicServicesSegment

瀛找豁榔嗡思

MainCampus

Sensordeployed

AttackerinIDSmodeSensordeployed

inIPSmode甲I

Internet

Sensordeployed

inIDSmode

ServiceProviderSensordeployedidhybridmode

PartnerorBranchtodeliveriesservicesoutsiderouter

OfficeNetworkandIPSservicesinsidetheASA5500

SeriesAppliance，GampusCore

多个IPS传感器通过CiscoCatalyst交换机上的以太通道来提供具高

可扩展性的负载均衡解决方案

提供出色性能

CiscoIPS传感器能满足多种应用和网络的严格要求。在当今的企业中，

应用受益于互联网的程度已达到前所未有的水平。IP语音、电子商务、

流视频和Web2.0改进了生产率和员工协作。这些网络应用对资源，如

连接速率、并发连接数、流量长度、事务处理规模等提出了不同需求。

从性能的角度来看，出现了一系列应用类型，从支持融合内容的多媒体

环境到通过快速、轻量连接构建的、能进行大量事务处理的环境。

37/58

企业网络安全入侵检测与响应解决方案

CiscoIPS技术在“多媒体”和“事务处理”环境中评估多种参数，帮

助您根据实际环境的独特特征，预计真正的IPS性能。

多媒体

多媒体环境的特征是有丰富的内容。大多数流行网站上的内容都属于多

媒体范畴，如视频内容和文件传输等。如果您的环境需访问大量数据和

融合内容，您的环境就属于多媒体环境。

事务处理

事务处理环境的特征是有大量连接。许多类型的电子商务环境都属于事

务处理环境，如即时消息传递和语音等。如果您的环境有需要人量连接

的应用，而事务处理的规模较小，则您的环境属于事务处理环境。

图2显示了从多媒体环境到事务处理环境间的各种环境。

Streaming

E-CommerceP2PWWW

Video

Instant

Voice.CollaborativeData

MessagingWorkspacesReplicationWeb2.0

TransactionalMedia-Rich

HigherConnectianRatesMoreTransactionsperConnection

MoreConcurrentConnectionsHigherTransactionSize

HigherTransactionRate

38/58

企业网络安全入侵检测与响应解决方案

产品规格

CiscoIPSCiscoIPSCiscoCiscoIPSCiscoIPS

42704260IPS425542404215

I

多媒4Gbps2Gbps600Mbps300Mbps80Mbps

体性

能

事务2Gbps1Gbps500Mbps250Mbps65Mbps

数据

性能

标准4个10/100/1000B4个4个10/1OOBAS

监控10/100/10ASE-TX10/100/110/100/10E-TX

接口OOBASE-TXOOOBASE-OOBASE-TX

或4个TX

1000BASE-

SX

标准10/100/1010/100/1000B10/1OOBA10/1OOBAS10/1OOBAS

命令OOBASE-TXASE-TXSE-TXE-TXE-TX

和控

39/58

企业网络安全入侵检测与响应解决方案

CiscoIPSCiscoIPSCiscoCiscoIPSCiscoIPS

42704260IPS425542404215

：二--WWW

制接

口

可选•4个・4个无无4个

监控10/100/110/100/10010/1OOBAS

接口OOOBASE-OBASE-TX（9E-TX

TX