IDS入侵檢測系統(tǒng)在宣鋼網(wǎng)絡中的部署

　　2 IDS系統(tǒng)的功能和作用

　　IDS系統(tǒng)在宣鋼網(wǎng)絡中部署啟用之后，對網(wǎng)絡的安全起到了積極的作用。

　　2．1能夠識別黑客常用入侵與攻擊手段

　　入侵檢測技術(shù)通過分析各種攻擊的特征，可以全面快速地識別探測攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應的防范。一般來說，黑客在進行人侵的第一步探測、收集網(wǎng)絡及系統(tǒng)信息時，就會被IDS捕獲，并向管理員發(fā)出警告。

　　例如：系統(tǒng)監(jiān)測到的信息：Windows系統(tǒng)下MsBLAST(沖擊波)蠕蟲及其變種傳播。這是蠕蟲攻擊，感染蠕蟲的機器試圖掃描感染網(wǎng)絡上的其他主機，并在特定的時間對微軟的更新站點發(fā)動拒絕服務攻擊，消耗主機本身的資源及大量網(wǎng)絡帶寬，造成網(wǎng)絡訪問能力急劇下降。

　　解決辦法：如果發(fā)現(xiàn)系統(tǒng)已經(jīng)被蠕蟲感染，我們建議您按照以下步驟手工清除蠕蟲病毒：

　　(1)點擊左下角的“開始”菜單，選擇“運行”，在其中鍵人“taskmgr”，點擊“確定”。這樣就啟動了任務管理器。在其中查找msblast．exe進程，找到后在進程上單擊右鍵，選擇“結(jié)束進程”，點擊“是”。

　　(2)刪除系統(tǒng)目錄下的msblast.exe。

　　(3)點擊左下角的“開始”菜單，選擇“運行”，在其中鍵入“regedit”，點擊“確定”。這樣就啟動注冊表編輯器。在注冊表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，刪除其下的“windows auto update”=“msblast.exe”

　　(4)重新啟動系統(tǒng)。

　　截至目前為止，一些殺毒軟件廠商的病毒特征庫已包含該蠕蟲的特征，可以清除該蠕蟲，請更新殺毒軟件的病毒特征庫進行查殺。

　　另外要預防蠕蟲感染請及時安裝MS03-026(http：//www．microsoft．com/technet/security/bul-letin/MS03-026.asp)的安全更新。就是及時給自己機器的系統(tǒng)打補丁，宣鋼的網(wǎng)絡用戶可以隨時到宣鋼內(nèi)網(wǎng)自動補丁機上打補丁，也可以登錄到Microsoft的網(wǎng)站上進行自動更新。

　　2．2監(jiān)控網(wǎng)絡異常通信

　　IDS系統(tǒng)會對網(wǎng)絡中不正常的通信連接做出反應，保證網(wǎng)絡通信的合法性，任何不符合網(wǎng)絡安全策略的網(wǎng)絡數(shù)據(jù)都會被IDS偵測到并警告。例如：我們在IDS的規(guī)則庫中增加了法輪功等一系列不良詞語，當用戶瀏覽的網(wǎng)頁中出現(xiàn)這樣的字眼時，IDS會立即做出報警。

　　2．3能夠鑒別對系統(tǒng)漏洞及后門的利用

　　IDS系統(tǒng)一般帶有系統(tǒng)漏洞及后門的詳細信息，通過對網(wǎng)絡數(shù)據(jù)包連接的方式、連接端口以及連接中特定的內(nèi)容等特征分析，可以有效發(fā)現(xiàn)網(wǎng)絡通信中針對系統(tǒng)漏洞進行的非法行為。

　　例如：系統(tǒng)監(jiān)測到的信息：口重疊分片包Teardrop拒絕服務攻擊。這是一種畸形攻擊，相關(guān)漏洞是多家廠商系統(tǒng)TCP/IP實現(xiàn)Teardrop拒絕服務攻擊漏洞。遠程攻擊者可以利用此漏洞對服務器進行拒絕服務攻擊，造成主機死機或崩潰。解決辦法就是立刻安裝補丁或者系統(tǒng)升級。Microsoft已經(jīng)為此發(fā)布了相應補丁。

　　2．4完善網(wǎng)絡安全管理

　　IDS通過對攻擊或入侵的檢測及反應，可以有效地發(fā)現(xiàn)和防止大部分的網(wǎng)絡犯罪行為，給網(wǎng)絡安全管理提供一個集中、方便、有效的工具。

　　3 IDS存在的不足

　　目前，IDS的不足之處主要集中在兩個方面，即檢測的準確性和有效性的缺乏。也就是誤報率高。誤報的產(chǎn)生大致有三種情況：第一，由于特征提取或者協(xié)議分析不全面，導致特征查找具有盲目性，過于輕率地作出判斷。第二，規(guī)則設置過于寬泛，可疑網(wǎng)絡行為或攻擊嘗試導致大量警報產(chǎn)生。第三，應用環(huán)境不匹配。除去第一種情況屬于檢測技術(shù)不成熟外，其他兩種情況主要是配置問題，部分警報不但不是誤報，對于有經(jīng)驗的管理員或者分析工具來說還具有積極意義；IDS的另一個關(guān)鍵性問題就是它的漏報。除去丟包因素可導致漏報以外，很多逃避IDS的攻擊方法，如編碼、分片、變換路徑等都可以騙過IDS的檢測。還有很多目前未知特征的復雜攻擊，IDS很難通過實時分析全部檢測出來，造成誤報率的提高。

　　4發(fā)展趨勢

　　由于IDS還存在著不足之處，因此以后的發(fā)展趨勢有以下幾點：

　　(1)對分析技術(shù)加以改進：采用當前的分析技術(shù)和模型，會產(chǎn)生大量的誤報和漏報，難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后，可極大地提高檢測效率和準確性，從而對真正的攻擊做出反應。協(xié)議分析是目前最先進的檢測技術(shù)，通過對數(shù)據(jù)包進行結(jié)構(gòu)化協(xié)議分析來識別人侵企圖和行為，這種技術(shù)比模式匹配檢測效率更高，并能對一些未知的攻擊特征進行識別，具有一定的免疫功能；行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認是否確有攻擊發(fā)生、攻擊行為是否生效等。

　　(2)增進對大流量網(wǎng)絡的處理能力：隨著網(wǎng)絡流量的不斷增長，對獲得的數(shù)據(jù)進行實時分析的難度加大，這導致對所在入侵檢測系統(tǒng)的要求越來越高。入侵檢測產(chǎn)品能否高效處理網(wǎng)絡中的數(shù)據(jù)是衡量入侵檢測產(chǎn)品的重要依據(jù)。．

　　(3)向高度可集成性發(fā)展：集成網(wǎng)絡監(jiān)控和網(wǎng)絡管理的相關(guān)功能。入侵檢測可以檢測網(wǎng)絡中的數(shù)據(jù)包，當發(fā)現(xiàn)某臺設備出現(xiàn)問題時，可立即對該設備進行相應的管理。未來的入侵檢測系統(tǒng)將會結(jié)合其它網(wǎng)絡管理軟件，形成入侵檢測、網(wǎng)絡管理、網(wǎng)絡監(jiān)控三位一體的工具。

　　5結(jié)束語

　　IDS入侵檢測系統(tǒng)在宣鋼網(wǎng)絡中實施部署后，對防火墻起到了有益補充的作用，做到了實時檢測網(wǎng)絡流量，監(jiān)控各種網(wǎng)絡行為，對違反安全策略的流量及時報警和防護，實現(xiàn)了從事前警告、事中防護到事后取證的一體化解決方案。