IDS入侵檢測(cè)系統(tǒng)在宣鋼網(wǎng)絡(luò)中的部署

　　2 IDS系統(tǒng)的功能和作用

　　IDS系統(tǒng)在宣鋼網(wǎng)絡(luò)中部署啟用之后，對(duì)網(wǎng)絡(luò)的安全起到了積極的作用。

　　2．1能夠識(shí)別黑客常用入侵與攻擊手段

　　入侵檢測(cè)技術(shù)通過(guò)分析各種攻擊的特征，可以全面快速地識(shí)別探測(cè)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應(yīng)的防范。一般來(lái)說(shuō)，黑客在進(jìn)行人侵的第一步探測(cè)、收集網(wǎng)絡(luò)及系統(tǒng)信息時(shí)，就會(huì)被IDS捕獲，并向管理員發(fā)出警告。

　　例如：系統(tǒng)監(jiān)測(cè)到的信息：Windows系統(tǒng)下MsBLAST(沖擊波)蠕蟲(chóng)及其變種傳播。這是蠕蟲(chóng)攻擊，感染蠕蟲(chóng)的機(jī)器試圖掃描感染網(wǎng)絡(luò)上的其他主機(jī)，并在特定的時(shí)間對(duì)微軟的更新站點(diǎn)發(fā)動(dòng)拒絕服務(wù)攻擊，消耗主機(jī)本身的資源及大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)訪問(wèn)能力急劇下降。

　　解決辦法：如果發(fā)現(xiàn)系統(tǒng)已經(jīng)被蠕蟲(chóng)感染，我們建議您按照以下步驟手工清除蠕蟲(chóng)病毒：

　　(1)點(diǎn)擊左下角的“開(kāi)始”菜單，選擇“運(yùn)行”，在其中鍵人“taskmgr”，點(diǎn)擊“確定”。這樣就啟動(dòng)了任務(wù)管理器。在其中查找msblast．exe進(jìn)程，找到后在進(jìn)程上單擊右鍵，選擇“結(jié)束進(jìn)程”，點(diǎn)擊“是”。

　　(2)刪除系統(tǒng)目錄下的msblast.exe。

　　(3)點(diǎn)擊左下角的“開(kāi)始”菜單，選擇“運(yùn)行”，在其中鍵入“regedit”，點(diǎn)擊“確定”。這樣就啟動(dòng)注冊(cè)表編輯器。在注冊(cè)表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，刪除其下的“windows auto update”=“msblast.exe”

　　(4)重新啟動(dòng)系統(tǒng)。

　　截至目前為止，一些殺毒軟件廠商的病毒特征庫(kù)已包含該蠕蟲(chóng)的特征，可以清除該蠕蟲(chóng)，請(qǐng)更新殺毒軟件的病毒特征庫(kù)進(jìn)行查殺。

　　另外要預(yù)防蠕蟲(chóng)感染請(qǐng)及時(shí)安裝MS03-026(http：//www．microsoft．com/technet/security/bul-letin/MS03-026.asp)的安全更新。就是及時(shí)給自己機(jī)器的系統(tǒng)打補(bǔ)丁，宣鋼的網(wǎng)絡(luò)用戶可以隨時(shí)到宣鋼內(nèi)網(wǎng)自動(dòng)補(bǔ)丁機(jī)上打補(bǔ)丁，也可以登錄到Microsoft的網(wǎng)站上進(jìn)行自動(dòng)更新。

　　2．2監(jiān)控網(wǎng)絡(luò)異常通信

　　IDS系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，保證網(wǎng)絡(luò)通信的合法性，任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會(huì)被IDS偵測(cè)到并警告。例如：我們?cè)贗DS的規(guī)則庫(kù)中增加了法輪功等一系列不良詞語(yǔ)，當(dāng)用戶瀏覽的網(wǎng)頁(yè)中出現(xiàn)這樣的字眼時(shí)，IDS會(huì)立即做出報(bào)警。

　　2．3能夠鑒別對(duì)系統(tǒng)漏洞及后門(mén)的利用

　　IDS系統(tǒng)一般帶有系統(tǒng)漏洞及后門(mén)的詳細(xì)信息，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包連接的方式、連接端口以及連接中特定的內(nèi)容等特征分析，可以有效發(fā)現(xiàn)網(wǎng)絡(luò)通信中針對(duì)系統(tǒng)漏洞進(jìn)行的非法行為。

　　例如：系統(tǒng)監(jiān)測(cè)到的信息：口重疊分片包Teardrop拒絕服務(wù)攻擊。這是一種畸形攻擊，相關(guān)漏洞是多家廠商系統(tǒng)TCP/IP實(shí)現(xiàn)Teardrop拒絕服務(wù)攻擊漏洞。遠(yuǎn)程攻擊者可以利用此漏洞對(duì)服務(wù)器進(jìn)行拒絕服務(wù)攻擊，造成主機(jī)死機(jī)或崩潰。解決辦法就是立刻安裝補(bǔ)丁或者系統(tǒng)升級(jí)。Microsoft已經(jīng)為此發(fā)布了相應(yīng)補(bǔ)丁。

　　2．4完善網(wǎng)絡(luò)安全管理

　　IDS通過(guò)對(duì)攻擊或入侵的檢測(cè)及反應(yīng)，可以有效地發(fā)現(xiàn)和防止大部分的網(wǎng)絡(luò)犯罪行為，給網(wǎng)絡(luò)安全管理提供一個(gè)集中、方便、有效的工具。

　　3 IDS存在的不足

　　目前，IDS的不足之處主要集中在兩個(gè)方面，即檢測(cè)的準(zhǔn)確性和有效性的缺乏。也就是誤報(bào)率高。誤報(bào)的產(chǎn)生大致有三種情況：第一，由于特征提取或者協(xié)議分析不全面，導(dǎo)致特征查找具有盲目性，過(guò)于輕率地作出判斷。第二，規(guī)則設(shè)置過(guò)于寬泛，可疑網(wǎng)絡(luò)行為或攻擊嘗試導(dǎo)致大量警報(bào)產(chǎn)生。第三，應(yīng)用環(huán)境不匹配。除去第一種情況屬于檢測(cè)技術(shù)不成熟外，其他兩種情況主要是配置問(wèn)題，部分警報(bào)不但不是誤報(bào)，對(duì)于有經(jīng)驗(yàn)的管理員或者分析工具來(lái)說(shuō)還具有積極意義；IDS的另一個(gè)關(guān)鍵性問(wèn)題就是它的漏報(bào)。除去丟包因素可導(dǎo)致漏報(bào)以外，很多逃避IDS的攻擊方法，如編碼、分片、變換路徑等都可以騙過(guò)IDS的檢測(cè)。還有很多目前未知特征的復(fù)雜攻擊，IDS很難通過(guò)實(shí)時(shí)分析全部檢測(cè)出來(lái)，造成誤報(bào)率的提高。

　　4發(fā)展趨勢(shì)

　　由于IDS還存在著不足之處，因此以后的發(fā)展趨勢(shì)有以下幾點(diǎn)：

　　(1)對(duì)分析技術(shù)加以改進(jìn)：采用當(dāng)前的分析技術(shù)和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)，難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后，可極大地提高檢測(cè)效率和準(zhǔn)確性，從而對(duì)真正的攻擊做出反應(yīng)。協(xié)議分析是目前最先進(jìn)的檢測(cè)技術(shù)，通過(guò)對(duì)數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來(lái)識(shí)別人侵企圖和行為，這種技術(shù)比模式匹配檢測(cè)效率更高，并能對(duì)一些未知的攻擊特征進(jìn)行識(shí)別，具有一定的免疫功能；行為分析技術(shù)不僅簡(jiǎn)單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生、攻擊行為是否生效等。

　　(2)增進(jìn)對(duì)大流量網(wǎng)絡(luò)的處理能力：隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng)，對(duì)獲得的數(shù)據(jù)進(jìn)行實(shí)時(shí)分析的難度加大，這導(dǎo)致對(duì)所在入侵檢測(cè)系統(tǒng)的要求越來(lái)越高。入侵檢測(cè)產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測(cè)產(chǎn)品的重要依據(jù)。．

　　(3)向高度可集成性發(fā)展：集成網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的相關(guān)功能。入侵檢測(cè)可以檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)某臺(tái)設(shè)備出現(xiàn)問(wèn)題時(shí)，可立即對(duì)該設(shè)備進(jìn)行相應(yīng)的管理。未來(lái)的入侵檢測(cè)系統(tǒng)將會(huì)結(jié)合其它網(wǎng)絡(luò)管理軟件，形成入侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。

　　5結(jié)束語(yǔ)

　　IDS入侵檢測(cè)系統(tǒng)在宣鋼網(wǎng)絡(luò)中實(shí)施部署后，對(duì)防火墻起到了有益補(bǔ)充的作用，做到了實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量，監(jiān)控各種網(wǎng)絡(luò)行為，對(duì)違反安全策略的流量及時(shí)報(bào)警和防護(hù)，實(shí)現(xiàn)了從事前警告、事中防護(hù)到事后取證的一體化解決方案。