IDS入侵檢測系統(tǒng)在宣鋼網(wǎng)絡(luò)中的部署

　　2 IDS系統(tǒng)的功能和作用

　　IDS系統(tǒng)在宣鋼網(wǎng)絡(luò)中部署啟用之后，對網(wǎng)絡(luò)的安全起到了積極的作用。

　　2．1能夠識別黑客常用入侵與攻擊手段

　　入侵檢測技術(shù)通過分析各種攻擊的特征，可以全面快速地識別探測攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應(yīng)的防范。一般來說，黑客在進(jìn)行人侵的第一步探測、收集網(wǎng)絡(luò)及系統(tǒng)信息時，就會被IDS捕獲，并向管理員發(fā)出警告。

　　例如：系統(tǒng)監(jiān)測到的信息：Windows系統(tǒng)下MsBLAST(沖擊波)蠕蟲及其變種傳播。這是蠕蟲攻擊，感染蠕蟲的機(jī)器試圖掃描感染網(wǎng)絡(luò)上的其他主機(jī)，并在特定的時間對微軟的更新站點(diǎn)發(fā)動拒絕服務(wù)攻擊，消耗主機(jī)本身的資源及大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)訪問能力急劇下降。

　　解決辦法：如果發(fā)現(xiàn)系統(tǒng)已經(jīng)被蠕蟲感染，我們建議您按照以下步驟手工清除蠕蟲病毒：

　　(1)點(diǎn)擊左下角的“開始”菜單，選擇“運(yùn)行”，在其中鍵人“taskmgr”，點(diǎn)擊“確定”。這樣就啟動了任務(wù)管理器。在其中查找msblast．exe進(jìn)程，找到后在進(jìn)程上單擊右鍵，選擇“結(jié)束進(jìn)程”，點(diǎn)擊“是”。

　　(2)刪除系統(tǒng)目錄下的msblast.exe。

　　(3)點(diǎn)擊左下角的“開始”菜單，選擇“運(yùn)行”，在其中鍵入“regedit”，點(diǎn)擊“確定”。這樣就啟動注冊表編輯器。在注冊表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，刪除其下的“windows auto update”=“msblast.exe”

　　(4)重新啟動系統(tǒng)。

　　截至目前為止，一些殺毒軟件廠商的病毒特征庫已包含該蠕蟲的特征，可以清除該蠕蟲，請更新殺毒軟件的病毒特征庫進(jìn)行查殺。

　　另外要預(yù)防蠕蟲感染請及時安裝MS03-026(http：//www．microsoft．com/technet/security/bul-letin/MS03-026.asp)的安全更新。就是及時給自己機(jī)器的系統(tǒng)打補(bǔ)丁，宣鋼的網(wǎng)絡(luò)用戶可以隨時到宣鋼內(nèi)網(wǎng)自動補(bǔ)丁機(jī)上打補(bǔ)丁，也可以登錄到Microsoft的網(wǎng)站上進(jìn)行自動更新。

　　2．2監(jiān)控網(wǎng)絡(luò)異常通信

　　IDS系統(tǒng)會對網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，保證網(wǎng)絡(luò)通信的合法性，任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會被IDS偵測到并警告。例如：我們在IDS的規(guī)則庫中增加了法輪功等一系列不良詞語，當(dāng)用戶瀏覽的網(wǎng)頁中出現(xiàn)這樣的字眼時，IDS會立即做出報警。

　　2．3能夠鑒別對系統(tǒng)漏洞及后門的利用

　　IDS系統(tǒng)一般帶有系統(tǒng)漏洞及后門的詳細(xì)信息，通過對網(wǎng)絡(luò)數(shù)據(jù)包連接的方式、連接端口以及連接中特定的內(nèi)容等特征分析，可以有效發(fā)現(xiàn)網(wǎng)絡(luò)通信中針對系統(tǒng)漏洞進(jìn)行的非法行為。

　　例如：系統(tǒng)監(jiān)測到的信息：口重疊分片包Teardrop拒絕服務(wù)攻擊。這是一種畸形攻擊，相關(guān)漏洞是多家廠商系統(tǒng)TCP/IP實(shí)現(xiàn)Teardrop拒絕服務(wù)攻擊漏洞。遠(yuǎn)程攻擊者可以利用此漏洞對服務(wù)器進(jìn)行拒絕服務(wù)攻擊，造成主機(jī)死機(jī)或崩潰。解決辦法就是立刻安裝補(bǔ)丁或者系統(tǒng)升級。Microsoft已經(jīng)為此發(fā)布了相應(yīng)補(bǔ)丁。

　　2．4完善網(wǎng)絡(luò)安全管理

　　IDS通過對攻擊或入侵的檢測及反應(yīng)，可以有效地發(fā)現(xiàn)和防止大部分的網(wǎng)絡(luò)犯罪行為，給網(wǎng)絡(luò)安全管理提供一個集中、方便、有效的工具。

　　3 IDS存在的不足

　　目前，IDS的不足之處主要集中在兩個方面，即檢測的準(zhǔn)確性和有效性的缺乏。也就是誤報率高。誤報的產(chǎn)生大致有三種情況：第一，由于特征提取或者協(xié)議分析不全面，導(dǎo)致特征查找具有盲目性，過于輕率地作出判斷。第二，規(guī)則設(shè)置過于寬泛，可疑網(wǎng)絡(luò)行為或攻擊嘗試導(dǎo)致大量警報產(chǎn)生。第三，應(yīng)用環(huán)境不匹配。除去第一種情況屬于檢測技術(shù)不成熟外，其他兩種情況主要是配置問題，部分警報不但不是誤報，對于有經(jīng)驗(yàn)的管理員或者分析工具來說還具有積極意義；IDS的另一個關(guān)鍵性問題就是它的漏報。除去丟包因素可導(dǎo)致漏報以外，很多逃避IDS的攻擊方法，如編碼、分片、變換路徑等都可以騙過IDS的檢測。還有很多目前未知特征的復(fù)雜攻擊，IDS很難通過實(shí)時分析全部檢測出來，造成誤報率的提高。

　　4發(fā)展趨勢

　　由于IDS還存在著不足之處，因此以后的發(fā)展趨勢有以下幾點(diǎn)：

　　(1)對分析技術(shù)加以改進(jìn)：采用當(dāng)前的分析技術(shù)和模型，會產(chǎn)生大量的誤報和漏報，難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后，可極大地提高檢測效率和準(zhǔn)確性，從而對真正的攻擊做出反應(yīng)。協(xié)議分析是目前最先進(jìn)的檢測技術(shù)，通過對數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來識別人侵企圖和行為，這種技術(shù)比模式匹配檢測效率更高，并能對一些未知的攻擊特征進(jìn)行識別，具有一定的免疫功能；行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生、攻擊行為是否生效等。

　　(2)增進(jìn)對大流量網(wǎng)絡(luò)的處理能力：隨著網(wǎng)絡(luò)流量的不斷增長，對獲得的數(shù)據(jù)進(jìn)行實(shí)時分析的難度加大，這導(dǎo)致對所在入侵檢測系統(tǒng)的要求越來越高。入侵檢測產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測產(chǎn)品的重要依據(jù)。．

　　(3)向高度可集成性發(fā)展：集成網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的相關(guān)功能。入侵檢測可以檢測網(wǎng)絡(luò)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)某臺設(shè)備出現(xiàn)問題時，可立即對該設(shè)備進(jìn)行相應(yīng)的管理。未來的入侵檢測系統(tǒng)將會結(jié)合其它網(wǎng)絡(luò)管理軟件，形成入侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。

　　5結(jié)束語

　　IDS入侵檢測系統(tǒng)在宣鋼網(wǎng)絡(luò)中實(shí)施部署后，對防火墻起到了有益補(bǔ)充的作用，做到了實(shí)時檢測網(wǎng)絡(luò)流量，監(jiān)控各種網(wǎng)絡(luò)行為，對違反安全策略的流量及時報警和防護(hù)，實(shí)現(xiàn)了從事前警告、事中防護(hù)到事后取證的一體化解決方案。