思科安全入侵檢測與響應(yīng)解決方案

思科平安入侵檢測與響應(yīng)解決方案Version1.02007-11-03

書目1 當前我們面對的主要平安問題 32 企業(yè)網(wǎng)絡(luò)平安技術(shù)的現(xiàn)狀分析 72.1 網(wǎng)絡(luò)平安出現(xiàn)了哪些的問題？ 72.2 須要統(tǒng)一平安管理的發(fā)展歷程 112.3 SIM平安信息管理的產(chǎn)生 132.4 從平安信息管理SIM發(fā)展到平安威逼管理STM 143 思科平安監(jiān)控和快速響應(yīng)解決方案 183.1 思科平安監(jiān)控的手段 18 NetFlow實時監(jiān)控網(wǎng)絡(luò)流量 18 思科IDS/IPS監(jiān)控及網(wǎng)絡(luò)入侵愛護 233.2 思科快速響應(yīng)方案 38 CS-MARS的部署優(yōu)勢 42 CS-MARS防衛(wèi)蠕蟲病毒攻擊實例 434 思科IPS/MARS的技術(shù)指標 50

當前我們面對的主要平安問題在近日召開的2005中國計算機網(wǎng)絡(luò)平安應(yīng)急年會(CNCERT／CC’2005)上，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT／CC)發(fā)布了“2004年全國網(wǎng)絡(luò)平安狀況調(diào)查報告”。此次調(diào)查是在信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室的指導(dǎo)下，針對全國16個城市2800多個企業(yè)的網(wǎng)絡(luò)平安狀況進行的。

調(diào)查顯示，在各類網(wǎng)絡(luò)平安技術(shù)運用中，防火墻的運用率最高，占77.8%；其次為反病毒軟件的應(yīng)用，占到73.4%；訪問限制(25.6%)、加密文件系統(tǒng)(20.1%)和入侵檢測系統(tǒng)(15.8%)也是通常運用的網(wǎng)絡(luò)平安技術(shù)。生物識別技術(shù)、虛擬專用網(wǎng)絡(luò)、數(shù)字簽名和證書運用率較低，其中被訪者中有很多人不清晰這些技術(shù)，還須要一段時間才能得到市場的認可。

在金融、制造、電信、財稅、政府、教化、交通、其他類8個行業(yè)中，各行業(yè)被調(diào)查單位對防火墻與反病毒軟件的運用率最高，其中財稅、政府、教化行業(yè)以反病毒軟件最普遍，其他行業(yè)都對防火墻運用最為普遍。

被訪單位在2004年所受到的網(wǎng)絡(luò)攻擊類型中最普遍的是病毒、蠕蟲或特洛伊木馬攻擊，占75.3%。被調(diào)查對象認為，引發(fā)網(wǎng)絡(luò)平安事務(wù)的緣由中最主要的是“利用未打補丁或未受愛護的軟件漏洞”，占50.3%；對員工不充分的平安操作和流程的培訓(xùn)及教化占36.3%；緊隨其后的是缺乏全面的網(wǎng)絡(luò)平安意識教化，占28.7%。

調(diào)查數(shù)據(jù)顯示，2004年面臨的網(wǎng)絡(luò)平安威逼最高的是運用自動化網(wǎng)絡(luò)攻擊工具，例如蠕蟲或自動傳播惡意代碼，占67.3%；其次是有嫻熟攻擊閱歷的攻擊者勝利繞過網(wǎng)絡(luò)平安防護措施，占15.4%；大量或特別密集網(wǎng)絡(luò)攻擊嘗試，占13.8%。

此次調(diào)查是一次比較全面、客觀、公正的社會調(diào)查，調(diào)查結(jié)果反映了我國當前網(wǎng)絡(luò)平安的實際狀況?？傮w而言，我國網(wǎng)絡(luò)平安管理水平和技術(shù)水平較高，網(wǎng)絡(luò)平安技術(shù)和產(chǎn)品，如防火墻、反病毒產(chǎn)品的普及率達到較高水平；企業(yè)對保證信息平安的基礎(chǔ)性工作的重視程度比較高；近70%的被調(diào)查單位有特地的組織或機構(gòu)負責內(nèi)部的網(wǎng)絡(luò)與信息平安，顯示出各單位將網(wǎng)絡(luò)與信息平安作為自身平安的組成部分的相識有所提高，也反映了近年來國家層面對網(wǎng)絡(luò)與信息平安提出的要求已逐步得到貫徹執(zhí)行。

但是，通過調(diào)查也反映出我國企業(yè)網(wǎng)絡(luò)平安方面存在的一些問題，比較突出地反映在網(wǎng)絡(luò)平安產(chǎn)品運用比較單一，入侵檢測系統(tǒng)、身份認證技術(shù)、加密技術(shù)等普及程度較低，被調(diào)查單位內(nèi)部平安規(guī)章不夠完善和全面，企業(yè)采納網(wǎng)絡(luò)平安相關(guān)標準作為指導(dǎo)的還不多，企業(yè)內(nèi)部網(wǎng)絡(luò)平安管理人員培訓(xùn)和認證工作仍有待加強等方面。通過這次調(diào)查，反映出蠕蟲等自動傳播的惡意代碼、有閱歷的黑客、拒絕服務(wù)攻擊是我國面臨的最重要的網(wǎng)絡(luò)平安威逼。而加強配置管理、剛好獲得計算機漏洞信息和網(wǎng)絡(luò)平安事務(wù)信息、保證網(wǎng)絡(luò)平安技術(shù)措施的剛好更新等被認為是最須要的。建立網(wǎng)絡(luò)平安法律法規(guī)、建立網(wǎng)絡(luò)平安技術(shù)監(jiān)測平臺、提高公眾網(wǎng)絡(luò)平安意識被認為是提高網(wǎng)絡(luò)平安整體水平的最重要的宏觀措施。如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)平安環(huán)境呢？如何在我們的網(wǎng)絡(luò)上確保平安，剛好地發(fā)覺問題、跟蹤定位和阻擋泛濫，是每個網(wǎng)絡(luò)管理人員所思索的問題。現(xiàn)在盡管采納了防火墻、虛擬專用網(wǎng)（VPN）、身份驗證機制、入侵檢測系統(tǒng)（IDS）和其他技術(shù)來保障網(wǎng)絡(luò)平安，但是網(wǎng)絡(luò)攻擊的傳播速度可能會大大提高網(wǎng)絡(luò)的脆弱性。一個蠕蟲或者病毒通常只須要借助一臺沒有正確運用或者更新的計算機，就可以在幾分鐘之內(nèi)感染整個企業(yè)的網(wǎng)絡(luò)。即使這種攻擊不是破壞或者盜竊數(shù)據(jù)，它們也可能會產(chǎn)生大量的網(wǎng)絡(luò)流量，嚴峻影響企業(yè)開展業(yè)務(wù)的實力，從而導(dǎo)致網(wǎng)絡(luò)中斷和收入損失。因此，企業(yè)在網(wǎng)絡(luò)上部署平安設(shè)備和應(yīng)用的目的不再只是限制訪問權(quán)限和發(fā)覺可能的問題。其首要目標已經(jīng)變成以最佳的方式保持網(wǎng)絡(luò)的正常運行。而現(xiàn)實是現(xiàn)有的平安產(chǎn)品通常不能夠?qū)嵭凶銐蚩斓拇胧┲浦构艉捅３志W(wǎng)絡(luò)的穩(wěn)定性。這使得企業(yè)的平安管理人員很難確定為了購買更多的平安技術(shù)而增加預(yù)算的必要性。有很多相關(guān)的因素共同導(dǎo)致了這種僵局，例如：用于愛護和監(jiān)控網(wǎng)絡(luò)的各種平安設(shè)備――防火墻、IDS、VPN、身份驗證設(shè)備等――具有不同的、不一樣的報告機制。各個平安設(shè)備沒有足夠的網(wǎng)絡(luò)拓撲信息，因而無法剛好地供應(yīng)關(guān)于網(wǎng)絡(luò)攻擊的信息。一個典型企業(yè)中的各種平安設(shè)備可能會產(chǎn)生大量關(guān)于網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)的信息，以至于操作人員無法有效地處理這些信息。綜合起來看，我們企業(yè)遇到的平安問題主要歸結(jié)為一下五個方面：對實時平安信息不了解，無法剛好發(fā)出預(yù)警信息平安設(shè)備的管理往往是孤立的平安設(shè)備，缺乏整個“網(wǎng)絡(luò)”的意識事務(wù)發(fā)生后，無法確診網(wǎng)絡(luò)故障的緣由或感染源/攻擊源，網(wǎng)絡(luò)業(yè)務(wù)復(fù)原時間長缺乏“閱歷豐富”的網(wǎng)絡(luò)平安專家去監(jiān)控，分析，解決問題；成本比較高對某些特定平安事務(wù)沒有適合的方法，如DDoS攻擊，蠕蟲病毒等企業(yè)網(wǎng)絡(luò)平安技術(shù)的現(xiàn)狀分析網(wǎng)絡(luò)平安出現(xiàn)了哪些的問題？如今，隨著計算機和通訊技術(shù)的高速發(fā)展，網(wǎng)絡(luò)的開放性、互連性、共享性程度的擴大，企業(yè)越來越依靠信息和網(wǎng)絡(luò)技術(shù)來支持他們在全球市場中的快速成長和擴大。但隨之而來的威逼也越來越多——黑客攻擊、惡意代碼、蠕蟲病毒……可以說，網(wǎng)絡(luò)從沒有象今日這樣脆弱不堪、危機四伏，不知道什么時候災(zāi)難就會駕臨 。 在黑客技術(shù)發(fā)展層面，以及越來越頻繁爆發(fā)的網(wǎng)絡(luò)危機來看，黑客們已熟識了防火墻、IDS等平安部件執(zhí)行的傳統(tǒng)訪問限制策略。他們的攻擊方式己不只是針對防火墻等產(chǎn)品的開放端口進行掃描，而是直指應(yīng)用程序?qū)用?，找尋一切可以利用的漏洞。攻擊手段更加困難隱藏和立體，如沖擊波、震蕩波等混合了蠕蟲和黑客攻擊等多重特性，對網(wǎng)絡(luò)平安提出了新的挑戰(zhàn)。 從另一個角度來看，企業(yè)在網(wǎng)絡(luò)建設(shè)初期網(wǎng)絡(luò)平安并沒有很好地規(guī)劃。隨著網(wǎng)絡(luò)建設(shè)的深化，平安產(chǎn)品不斷增加，整體缺乏統(tǒng)一管理，相互間沒有溝通交互，信息無法有效整合，是一些信息平安的孤島。 就象現(xiàn)在人們在關(guān)注和談?wù)摰腎T孤島問題一樣，各個應(yīng)用系統(tǒng)之間缺乏有效聯(lián)系，信息得不到整合，發(fā)揮不出其應(yīng)有的價值。同樣的問題放在網(wǎng)絡(luò)平安上，這一效應(yīng)就有可能放大成為風險，給企業(yè)IT系統(tǒng)的持續(xù)運轉(zhuǎn)埋下隱患。 現(xiàn)在的防病毒軟件有自己的管理系統(tǒng)，防火墻有自身管理系統(tǒng)，不同的系統(tǒng)有不同的網(wǎng)絡(luò)管理軟件，所以網(wǎng)絡(luò)管理人員要保持對不同產(chǎn)品管理系統(tǒng)信息的檢查。其實這些來自不同平安產(chǎn)品的信息之間存在很大的相關(guān)性，假如分開獨立地看待這些來自單一設(shè)備的信息，很有可能會忽視到一些重要的細微環(huán)節(jié)或關(guān)鍵因素，致使網(wǎng)絡(luò)遭遇重大打擊。 設(shè)想，當一個攻擊發(fā)生時，防病毒、防火墻、IDS產(chǎn)品都發(fā)出了自身的報警信息，由于缺乏事務(wù)的關(guān)聯(lián)性，一個事務(wù)會引起多個或大量的平安信息。這使網(wǎng)絡(luò)管理人員無法進行剛好處理，往往顧此失彼，手足無措，無法針對事務(wù)做出剛好響應(yīng)，快速地給出一個良好、有效的解決方法。 不同平安產(chǎn)品的管理人員處理問題往往只針對自己產(chǎn)品本身，而沒有統(tǒng)一調(diào)整整個網(wǎng)絡(luò)的防衛(wèi)策略，這樣往往會錯過處理的最佳時機，而無法使企業(yè)網(wǎng)絡(luò)在遭遇病毒或攻擊的時候，最大限度地削減所遭遇的損失。 假如這種狀況持續(xù)下去，網(wǎng)絡(luò)平安管理員所看到的恒久只是一個相對獨立的平安信息，就像是那個盲人摸象的故事?？磫栴}只是看到了一個角，而沒有看到問題的全部，那些細微環(huán)節(jié)和隱藏在外表下的真相可能恰恰被忽視，而它們往往是問題的關(guān)鍵所在。像電信運營商這樣擁有浩大的全國性網(wǎng)絡(luò)、網(wǎng)絡(luò)中平安產(chǎn)品數(shù)量眾多的大型企業(yè)，這種問題尤為突出。 我們傳統(tǒng)的手段都是通過網(wǎng)絡(luò)設(shè)備/平安設(shè)備發(fā)送Syslog到服務(wù)器上，作平安的事后審計。一個大型的網(wǎng)絡(luò)，包含若干的網(wǎng)絡(luò)產(chǎn)品，這些網(wǎng)絡(luò)設(shè)備隨時隨地都在發(fā)送SysLog信息，每天產(chǎn)生的Log信息達到數(shù)萬之多，任何一個網(wǎng)絡(luò)管理員很難通過Syslog來精確定位網(wǎng)絡(luò)發(fā)生的平安故障；即使有豐富學(xué)問的網(wǎng)絡(luò)管理員，能通過Syslog分析得到有用的網(wǎng)絡(luò)信息，但是速度也是很慢的。 不斷疊加的網(wǎng)絡(luò)設(shè)備，成幾何級增長的數(shù)據(jù)，往往降低了企業(yè)對事故的響應(yīng)速度。假如再加上一些稀里糊涂的虛假警報，公司的網(wǎng)絡(luò)運維人員數(shù)量將急劇增長，但這依舊無法保證網(wǎng)絡(luò)的平安，有的時候企業(yè)不得不因為某一兩個人的一個微小錯誤或疏忽而付出昂揚的代價。 這就是為什么企業(yè)在部署了眾多平安設(shè)備后，依舊無法有效地進行平安防范的緣由。IT管理者們更希望在問題發(fā)生的時候，得到一個綜合全面的平安報告，以了解企業(yè)網(wǎng)絡(luò)究竟處于什么樣的狀態(tài)，遭遇過什么樣的攻擊，正面臨著什么樣的危急？而不是每一個產(chǎn)品信息的簡潔排列，企業(yè)須要一個能集中管理全部產(chǎn)品信息、智能化的平安管理中心。 “平安是三分技術(shù)，七分管理?！币褳榇蠹宜鶑V泛熟知，但是怎么管理、怎么進行有效地利用，卻始終困圍著眾多CIO。誠然，一個良好的平安機制和策略能給企業(yè)供應(yīng)肯定的平安保障，但面對網(wǎng)絡(luò)中數(shù)目日益浩大的不同品牌和功能的平安產(chǎn)品，網(wǎng)絡(luò)管理人員愈發(fā)捉襟見肘，單純依靠人力的管理和維護不但效率低下，而且還面臨很多不確定的因素和風險。 綜上所述，不難看出，近年來，平安管理中心、集中平安管理平臺的理念和整體解決方案越來越得到用戶認可的一個深層次緣由。無論是網(wǎng)絡(luò)平安的產(chǎn)業(yè)界，還是行業(yè)和企業(yè)用戶，都越來越重視這一新興的市場。很多廠商都從不同的層面，提出了各自的集中平安管理解決方案和思想。須要統(tǒng)一平安管理的發(fā)展歷程統(tǒng)一的平安中心的發(fā)展由最起先的基于每一臺平安設(shè)備的管理，到每一類平安設(shè)備（FW/IDS/VPN）的網(wǎng)元級的管理，因為單獨的平安設(shè)備不能解決平安的網(wǎng)絡(luò)問題，獨立的基于網(wǎng)元的管理更不能解決日益困難的平安的問題，必需尋求新的方法。隨著信息技術(shù)的發(fā)展，面對新一代的黑客攻擊，蠕蟲，病毒等平安威逼，建設(shè)平安的網(wǎng)絡(luò)是業(yè)界目前所追求的志向目標。那么什么是平安的網(wǎng)絡(luò)？平安的網(wǎng)絡(luò)是指能夠供應(yīng)平安連接、平安保證、平安認證、平安抵擋以及平安服務(wù)，平安感知和管理，具有自我防衛(wèi)實力的網(wǎng)絡(luò)系統(tǒng)。單純從技術(shù)的角度而言，目前業(yè)界比較認可的平安網(wǎng)絡(luò)的主要環(huán)節(jié)包括入侵防護、入侵檢測、事務(wù)響應(yīng)和系統(tǒng)災(zāi)難復(fù)原。入侵防護主要是在平安風險評估和對平安威逼充分了解的基礎(chǔ)上，依據(jù)對平安的期望值和目標，制定相應(yīng)的解決方案。入侵檢測主要是通過對網(wǎng)絡(luò)和主機中各種有關(guān)平安信息的采集和剛好分析，來發(fā)覺網(wǎng)絡(luò)中的入侵行為或異樣行為，剛好提示管理員實行響應(yīng)動作阻擋入侵行為的接著。事務(wù)響應(yīng)是當發(fā)生平安事務(wù)的時候所實行的處理手段，與入侵防護和入侵檢測不同，事務(wù)響應(yīng)主要體現(xiàn)為專業(yè)人員的服務(wù)和平安管理。系統(tǒng)復(fù)原是指如何在數(shù)據(jù)、系統(tǒng)或者網(wǎng)絡(luò)由于各種緣由受到損害后，盡快復(fù)原損失前的狀態(tài)。除此之外，風險評估、平安策略和管理規(guī)定等，常常也被作為平安保障的重要部分。但是不論有多少環(huán)節(jié)，要想實現(xiàn)平安的網(wǎng)絡(luò)，風險評估、策略制定、入侵防護和入侵檢測等都是應(yīng)急響應(yīng)的打算工作，有了這些打算工作，事務(wù)響應(yīng)才可以剛好得到各種必要的審計數(shù)據(jù)，進行精確的分析，實行措施降低損失或者追蹤入侵者的來源等。因此，應(yīng)急響應(yīng)事實上將各個環(huán)節(jié)貫穿起來，使得不同的環(huán)節(jié)相互協(xié)作，共同實現(xiàn)平安網(wǎng)絡(luò)的最終目標。而應(yīng)急響應(yīng)能否在攻擊者勝利達到目標之前有效地阻擋攻擊和快速響應(yīng)，不但取決于平安產(chǎn)品本身實行了什么技術(shù)，更取決于運用和管理產(chǎn)品的人以及網(wǎng)絡(luò)平安信息管理平臺。優(yōu)秀的信息管理分析工具，可以讓平安管理人員對網(wǎng)絡(luò)的平安狀態(tài)了如指掌，快速行動，真正實現(xiàn)平安網(wǎng)絡(luò)。下圖為平安網(wǎng)絡(luò)系統(tǒng)模型，可見平安信息管理具有特別重要的作用。平安信息管理平臺涵蓋的范圍特別廣泛，包括風險管理，策略中心，配置管理，事務(wù)管理，響應(yīng)管理、限制系統(tǒng)，學(xué)問和情報中心，專家系統(tǒng)等，每個部分都須要嚴密的設(shè)計，相互協(xié)作，真正實現(xiàn)一個高效率的，好用的，完整的平安信息集中管理平臺。平安管理在平安網(wǎng)絡(luò)建設(shè)的循環(huán)中，起到一個承前啟后的作用，是實現(xiàn)平安網(wǎng)絡(luò)的關(guān)鍵，如下圖所示在平安集中信息管理平臺中，我們目前所面臨的最大挑戰(zhàn)之一是，幫助我們做出正確推斷的依據(jù)被不斷增加的、多個廠商的平安設(shè)備和多個系統(tǒng)所產(chǎn)生的大量平安信息所沉沒。比如一次簡潔的Smurf攻擊，網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)會報警，防火墻會報警，遭遇攻擊的主機會報警，相關(guān)的路由器甚至交換機都會報警，匯聚到平安管理平臺就是多次報警，而其實攻擊就只有一次。只有能夠供應(yīng)有效管理、隔離和優(yōu)先處理代表著實際平安威逼的消息自動化處理系統(tǒng)，才可以保證平安響應(yīng)的時實性，從而才可以在重大的平安災(zāi)難來臨之前有精確的的應(yīng)急響應(yīng)措施。目前的平安集中管理關(guān)鍵技術(shù)之一是一種稱為平安信息管理（SIM）的軟件技術(shù)，此技術(shù)可以搜集和分析網(wǎng)絡(luò)所面臨的各種平安事務(wù)數(shù)據(jù)，供應(yīng)強大的智能分析和處理實力。SIM平安信息管理的產(chǎn)生 SIM系統(tǒng)可以從多個設(shè)備接收日志數(shù)據(jù)，存儲和管理所創(chuàng)建的大量文件，以及實現(xiàn)至少部分的數(shù)據(jù)證據(jù)分析。但是，SIM仍舊不能解決最其中關(guān)鍵的幾個問題：1、須要大量訓(xùn)練有素的平安分析人員解讀數(shù)據(jù)和報告。2、現(xiàn)有的分析深度不夠，不足以剛好地阻擋正在進行的網(wǎng)絡(luò)攻擊。SIM技術(shù)供應(yīng)的工具可以推斷網(wǎng)絡(luò)是否遭遇了攻擊，某些網(wǎng)絡(luò)組件是否受到了威逼，甚至某些網(wǎng)絡(luò)組件是否參加了攻擊，SIM并沒有顯示網(wǎng)絡(luò)攻擊的完整路徑所須要的網(wǎng)絡(luò)感知實力，因而無法在攻擊發(fā)生時能快速制止攻擊。3、SIM并不能提高其他平安設(shè)備的投資回報。 為彌補SIM的不足，須要提高網(wǎng)絡(luò)感知實力和加快分析速度，以發(fā)覺實際的網(wǎng)絡(luò)攻擊并近乎實時地制止這些攻擊。這種被稱為平安威逼管理（STM）的實力必需能夠自動執(zhí)行大部分目前由平安分析人員完成的工作，降低對于訓(xùn)練有素的分析人員的需求，讓平安人員可以集中精力處理實際的威逼和制定將來的策略及戰(zhàn)略。從平安信息管理SIM發(fā)展到平安威逼管理STM STM技術(shù)監(jiān)控網(wǎng)絡(luò)中的各種平安和網(wǎng)絡(luò)產(chǎn)品產(chǎn)生的日志和報告流量，采納多種創(chuàng)新技術(shù)以精簡龐雜的網(wǎng)絡(luò)事務(wù)信息，為網(wǎng)絡(luò)操作人員供應(yīng)監(jiān)控和阻擋網(wǎng)絡(luò)攻擊所必需的信息：1、端到端的網(wǎng)絡(luò)拓撲感知實力和攻擊發(fā)覺實力2、高效能進程化和基于進程的主動關(guān)聯(lián)3、集成化的動態(tài)主機脆弱性分析和精確跟蹤 STM技術(shù)從全面感知網(wǎng)絡(luò)拓撲起先，知道哪些協(xié)議在哪里創(chuàng)建了網(wǎng)絡(luò)地址，以便當某個攻擊的源和目地地址發(fā)生變更時接著加以跟蹤。簡潔網(wǎng)絡(luò)管理協(xié)議（SNMP）的運用在設(shè)備的IP地址和它的固定硬件MAC地址之間供應(yīng)了映射，讓用戶可以精確地識別網(wǎng)絡(luò)路徑上的某個設(shè)備。STM技術(shù)可以運用來自于路由器、交換機和其他計算機的完整配置信息，以及來自于平安設(shè)備的信息建立網(wǎng)絡(luò)的完整視圖。 STM技術(shù)首先從平安設(shè)備和網(wǎng)絡(luò)組件接收網(wǎng)絡(luò)事務(wù)，將事務(wù)信息與它的網(wǎng)絡(luò)感知實力結(jié)合到一起，發(fā)覺網(wǎng)絡(luò)攻擊活動集中的“熱點”，并且顯示攻擊終端之間的網(wǎng)絡(luò)路徑。隨后指出操作人員可以制止攻擊的網(wǎng)絡(luò)或者平安設(shè)備，為阻擋危急流量供應(yīng)精確的設(shè)備位置和適當?shù)脑O(shè)備配置信息。圖1（從上往下讀圖）顯示了STM技術(shù)用于削減原始網(wǎng)絡(luò)事務(wù)數(shù)據(jù)量和制止網(wǎng)絡(luò)攻擊的創(chuàng)新流程： 網(wǎng)絡(luò)上的多個設(shè)備――包括平安設(shè)備（防火墻和IDS）、網(wǎng)絡(luò)設(shè)備（路由器和交換機）和終端系統(tǒng)（服務(wù)器）――發(fā)送日志和網(wǎng)絡(luò)信息，從路由器和交換機采集CiscoIOSNetFlow數(shù)據(jù)，獲得用于集成事務(wù)數(shù)據(jù)的網(wǎng)絡(luò)性能和記賬數(shù)據(jù)，識別異樣網(wǎng)絡(luò)流量和突變。 進程化可以利用網(wǎng)絡(luò)拓撲感知功能將多個事務(wù)匯總成端到端的進程。圖2顯示了一個典型的進程。網(wǎng)絡(luò)地址在攻擊路徑中發(fā)生了變更，而NAT感知功能對于關(guān)聯(lián)不同的事務(wù)具有重要的意義。 圖1從網(wǎng)絡(luò)事務(wù)到攻擊制止 基于進程的主動關(guān)聯(lián)可以利用內(nèi)置的和用戶定義的規(guī)則，將關(guān)于多個進程的信息與NetFlow數(shù)據(jù)關(guān)聯(lián)到一起，以發(fā)覺可能的完整網(wǎng)絡(luò)攻擊（簡稱攻擊）。對于每個可能的攻擊，進行自動的脆弱性掃描。這包括檢查攻擊是否勝利到達目標（它可能會被某個防火墻或者服務(wù)器中的主機IDS阻截），以及目標是否的確可能遭遇攻擊（它的操作系統(tǒng)可能不會遭遇這種攻擊的影響）。自動脆弱性掃描會運用關(guān)于終端系統(tǒng)的信息發(fā)覺誤報，制定規(guī)則以削減將來對可能攻擊的分析和處理。 將實際的攻擊通知操作人員，并告知制止方法。精確跟蹤可以自動搜集主機信息，獲得關(guān)于實際事務(wù)的完整信息。每天數(shù)百萬個事務(wù)可能會精簡到數(shù)十個攻擊――一個操作人員就足以對這些事務(wù)進行解讀和處理。為分析人員供應(yīng)肯定數(shù)量（可設(shè)置）的事務(wù)，由其確定它們是真正的攻擊還是誤報。只需做出一個確定，就可以識別誤報，快速削減獲得的事務(wù)數(shù)量。作為上述流程的一個典型例子，請參考圖2中的箭頭所顯示的攻擊路徑。STM技術(shù)可以接收這些事務(wù)，并利用它在不同節(jié)點的網(wǎng)絡(luò)拓撲和NAT感知實力將這些事務(wù)匯總為單個進程。在圖2中，（留意攻擊的目的地地址被防火墻的NAT更改）STM技術(shù)可以將防火墻兩側(cè)的事務(wù)識別為同一個進程的不同部分――盡管存在不同的地址。 圖2進程化TM STM技術(shù)可以依據(jù)內(nèi)部規(guī)則比較進程的細微環(huán)節(jié)（進程內(nèi)部關(guān)聯(lián)）和其他進程的細微環(huán)節(jié)（進程間關(guān)聯(lián)），以發(fā)覺某個潛在的攻擊。假如存在潛在的攻擊，會依據(jù)對攻擊目標的實際掃描，進行脆弱性分析，確定潛在攻擊是一個須要報告和制止的攻擊，還是一個可以忽視的誤報。 在最低層次上，STM技術(shù)可以被看做一個有效的、高性能的SIM。在較高層次上，它可以用于分析以前采集的數(shù)據(jù)，以識別網(wǎng)絡(luò)流量模式和對網(wǎng)絡(luò)攻擊進行證據(jù)分析，為平安威逼管理樹立很多新的標準和方法，提高平安威逼的響應(yīng)速度，從而真正實現(xiàn)綜合統(tǒng)一的平安技術(shù)體系，使平安系統(tǒng)具有快速響應(yīng)威逼的實力，利于自防衛(wèi)平安網(wǎng)絡(luò)的建設(shè)。思科平安監(jiān)控和快速響應(yīng)解決方案思科平安監(jiān)控的手段網(wǎng)絡(luò)的平安監(jiān)控的前提必需實時了解網(wǎng)絡(luò)運行的狀況，包括網(wǎng)絡(luò)的實時流量，網(wǎng)絡(luò)整體的拓撲，網(wǎng)絡(luò)平安設(shè)備部署的全景，網(wǎng)絡(luò)平安策略的部署，網(wǎng)絡(luò)設(shè)備的級別配置，等等。所以，網(wǎng)絡(luò)平安的快速響應(yīng)必需基于整個網(wǎng)絡(luò)的平安監(jiān)控分析。思科供應(yīng)有多種平安監(jiān)控分析的手段。思科全部的路由器和大部分中高端交換機都具備的Netflow功能就是最常用的一種流量統(tǒng)計視察的常用手段；思科IDS、網(wǎng)絡(luò)分析模塊、CSA等也是網(wǎng)絡(luò)平安監(jiān)控的重要手段。NetFlow實時監(jiān)控網(wǎng)絡(luò)流量最近調(diào)查顯示，NetFlow的采納率正在不斷上升。很象基于RMON的探針的NetFlow能夠為用戶供應(yīng)有關(guān)特定應(yīng)用在哪里被運用、為什么被運用、被如何運用以及被誰運用，以及這種運用有可能如何影響網(wǎng)絡(luò)的信息。NetFlow是Cisco公司的IOS軟件的一部分，而其當前的版本9目前正在IETF以IPFIX的名稱進行標準化。當然，這使得NetFlow/IPFIX作為有關(guān)異構(gòu)環(huán)境里的網(wǎng)絡(luò)上的應(yīng)用流程的信息的一樣來源更具吸引力了。NetFlow供應(yīng)IP源地址、IP目的地址、源端口、目的端口、三層協(xié)議類型和服務(wù)級別信息。幾年來，服務(wù)供應(yīng)商始終運用NetFlow。它們始終被NetFlow的如下特點所吸引：它在大型WAN環(huán)境里所具有的伸縮實力；它能夠幫助支持對等點上的最佳傳輸流；它可用來進行建立在單項服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評估；它在解決服務(wù)和平安問題方面所表現(xiàn)出來的價值；它能夠為服務(wù)計費供應(yīng)基礎(chǔ)。然而，NetFlow卻遠非萬能。它無法供應(yīng)應(yīng)用反應(yīng)時間，而且，考慮到不斷增長的動態(tài)端口安排趨勢，它在依據(jù)端口特征識別應(yīng)用方面的實力還遠遠不夠。此外，過去，NetFlow很難實現(xiàn)，而且在性能方面表現(xiàn)也不好。因此，它事實上是無法在大多數(shù)IT部門實現(xiàn)的最佳實踐。如今狀況發(fā)生了很大的變更。調(diào)查發(fā)覺路由器性能影響降低到了最低的大約2%至3%，而且，NetFlow部署只須要一個星期的時間。采納它的另一個緣由是：可以報告和分析NetFlow的軟件—如出自Crannog、Micromuse、NetScout和NetQoS公司的管理軟件包得到了很大的改進。NetQoS公司的產(chǎn)品可以依據(jù)入站傳輸流對出站傳輸流進行評估以簡化部署。NetFlow同樣對于服務(wù)建模以及計費應(yīng)用很有價值，而且，對于諸如Q1Labs公司和Arbor公司的Peakflow之類的平安廠商很有用，在這方面，NetFlow所具備的捕獲異樣通信流量的實力對于蠕蟲、拒絕服務(wù)攻擊以及其他與平安相關(guān)的問題的報警很有價值。此外，第三方產(chǎn)品也通過諸如應(yīng)用服務(wù)器映射和旨在依據(jù)廣泛的WAN部署進行調(diào)整的包分析技術(shù)之類的方法，提高了NetFlow識別獨特應(yīng)用數(shù)據(jù)流的實力。 必需指出的是，NetFlow/IPFIX只是捕獲和分析應(yīng)用傳輸流的眾多技術(shù)中的一項。NetFlow/IPFIX所具備的別出心裁的特點就是它的內(nèi)在優(yōu)勢：能夠利用當前基礎(chǔ)設(shè)施捕獲大型的且通常是分布式網(wǎng)絡(luò)上的普遍存在的連接特定的通信行為。 我們以2003蠕蟲王(Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，m)爆發(fā)的例子來說明Netflow在防范網(wǎng)絡(luò)異樣流量攻擊的好處。

Netflow記錄的信息： 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1

61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1

NetFlow流數(shù)據(jù)典型特征：目的端口1434，協(xié)議類型UDP，字節(jié)數(shù)404

從以上案例可以看出，蠕蟲爆發(fā)時，應(yīng)用Neflow分析方法，可以依據(jù)病毒流量的NetFlow特征快速定位感染病毒的IP地址，并參考NetFlow數(shù)據(jù)流的其它特征在網(wǎng)絡(luò)設(shè)備上實行相應(yīng)的限制、過濾措施，從而達到抑制病毒流量傳播的目的。在思科路由器上采集分析NetFlow數(shù)據(jù)

推斷異樣流量的流向后，就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口，實施Neflow配置，采集該端口入流量的NetFlow數(shù)據(jù)。

以下是在CiscoGSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實例：

ipflow-exportsourceLoopback0

ipflow-exportdestination*.*.*.619995

ipflow-sampling-modepacket-interval100

interfaceGigabitEthernet10/0

iproute-cacheflowsampled

通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61，該實例中采納sampled模式，采樣間隔為100:1。處理異樣流量的方法

（1）切斷連接

在能夠確定異樣流量源地址且該源地址設(shè)備可控的狀況下，切斷異樣流量源設(shè)備的物理連接是最干脆的解決方法。

（2）過濾

采納ACL（AccessControlList）過濾能夠敏捷實現(xiàn)針對源目的IP地址、協(xié)議類型、端口號等各種形式的過濾，但同時也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用，下例為利用ACL過濾UDP1434端口的實例：

access-list101deny

udpanyanyeq1434

access-list101permitipanyany

此過濾針對蠕蟲王病毒（SQLSlammer），但同時也過濾了針對SQLServer的正常訪問，假如要保證對SQLServer的正常訪問，還可以依據(jù)病毒流數(shù)據(jù)包的大小特征實施更細化的過濾策略。

（3）靜態(tài)空路由過濾

能確定異樣流量目標地址的狀況下，可以用靜態(tài)路由把異樣流量的目標地址指向空（Null），這種過濾幾乎不消耗路由器系統(tǒng)資源，但同時也過濾了對目標地址的正常訪問，配置實例如下：

iproute205.*.*.255Null0

對于多路由器的網(wǎng)絡(luò)，還需增加相關(guān)動態(tài)路由配置，保證過濾在全網(wǎng)生效。

（4）異樣流量限定

利用路由器CAR功能，可以將異樣流量限定在肯定的范圍，這種過濾也存在消耗路由器系統(tǒng)資源的副作用，以下為利用CAR限制UDP1434端口流量的配置實例：

Router#(config)access-list150denyudpanyanyeq1434

Router#(config)access-list150permitipanyany

Router#(config)interfacefastEthernet0/0

Router#(config-if)rate-limitinputaccess-grouprate-limit1508000150020000

conform-actiondropexceed-actiondrop

此配置限定UDP1434端口的流量為8Kbps。

更多關(guān)于Netflow的具體信息，可以參考“網(wǎng)絡(luò)自身平安”和“蠕蟲/惡意代碼防范“的相關(guān)章節(jié)。思科IDS/IPS監(jiān)控及網(wǎng)絡(luò)入侵愛護 IDS是網(wǎng)絡(luò)系統(tǒng)里面常見的平安監(jiān)控組建，IDS往往發(fā)送大量的事務(wù)報告給網(wǎng)絡(luò)管理員，管理員常常沉沒在大量的事務(wù)告警信息里面，而不知所措。早期的IDS系統(tǒng)還常常發(fā)生誤報警，現(xiàn)在的技術(shù)漸漸成熟已經(jīng)可以完成IPS的功能。 一個入侵檢測系統(tǒng)分為四個組件：事務(wù)產(chǎn)生器（Eventgenerators）；事務(wù)分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事務(wù)數(shù)據(jù)庫（Eventdatabases）。事務(wù)產(chǎn)生器的目的是從整個計算環(huán)境中獲得事務(wù)，并向系統(tǒng)的其他部分供應(yīng)此事務(wù)。事務(wù)分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、變更文件屬性等劇烈反應(yīng)，也可以只是簡潔的報警。事務(wù)數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是困難的數(shù)據(jù)庫，也可以是簡潔的文本文件。系統(tǒng)分類依據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型。基于主機的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)愛護的一般是所在的系統(tǒng)。這種系統(tǒng)常常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID（intrusiondetection）：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。全部這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。比如Cisco的CSA就是這樣的一類入侵愛護系統(tǒng)。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式（promiscmode）,對全部本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行信息收集，并進行推斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著愛護整個網(wǎng)段的任務(wù)。入侵檢測技術(shù)對各種事務(wù)進行分析，從中發(fā)覺違反平安策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標記（signature-based），另一種基于異樣狀況（anomaly-based）。對于基于標識的檢測技術(shù)來說，首先要定義違反平安策略的事務(wù)的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法特別類似殺毒軟件。而基于異樣的檢測技術(shù)則是先定義一組系統(tǒng)“正常”狀況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過視察系統(tǒng)、并用統(tǒng)計的方法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”狀況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！睜顩r。兩種檢測技術(shù)的方法、所得出的結(jié)論有特別大的差異?；诋悩拥臋z測技術(shù)的核心是維護一個學(xué)問庫。對于已知的攻擊，它可以具體、精確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且學(xué)問庫必需不斷更新?；诋悩拥臋z測技術(shù)則無法精確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。入侵檢測過程從總體來說，入侵檢測系統(tǒng)可以分為兩個部分：收集系統(tǒng)和非系統(tǒng)中的信息然后對收集到的數(shù)據(jù)進行分析，并實行相應(yīng)措施。信息收集信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，須要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個就是對來自不同源的信息進行特征分析之后比較得出問題所在的因素。入侵檢測很大程度上依靠于收集信息的牢靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客常常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、記錄文件和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣。例如，unix系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這須要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特殊是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當強的堅實性，防止被篡改而收集到錯誤的信息。入侵檢測利用的信息一般來自以下三個方面（這里不包括物理形式的入侵信息）：系統(tǒng)和網(wǎng)絡(luò)日志文件黑客常常在系統(tǒng)日志文件中留下他們的蹤跡，因此，可以充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已勝利入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)覺勝利的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID變更、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很明顯地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。非正常的書目和文件變更網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，他們常常是黑客修改或破壞的目標。書目和文件中非正常變更（包括修改、創(chuàng)建和刪除），特殊是那些正常狀況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客常常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。非正常的程序執(zhí)行網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，例如WEB服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。信號分析對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較，從而發(fā)覺違反平安策略的行為。該過程可以很簡潔（如通過字符串匹配以找尋一個簡潔的條目或指令），也可以很困難（如利用正規(guī)的數(shù)學(xué)表達式來表示平安狀態(tài)的變更）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著削減系統(tǒng)負擔，且技術(shù)已相當成熟。它與病毒防火墻采納的方法一樣，檢測精確率和效率都相當高。但是，該方法存在的弱點是須要不斷的升級以應(yīng)付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、書目和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常運用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何視察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，原來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為困難的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然變更。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于探討熱點和快速發(fā)展之中。完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@常常包括文件和書目的內(nèi)容及屬性，它在發(fā)覺被更改的、被特咯伊化的應(yīng)用程序方面特殊有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如MD5），它能識別哪怕是微小的變更。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)覺入侵，只要是勝利的攻擊導(dǎo)致了文件或其它對象的任何變更，它都能夠發(fā)覺。缺點是一般以批處理方式實現(xiàn)，用于事后分析而不用于實時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)當是網(wǎng)絡(luò)平安產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。 專家系統(tǒng)用專家系統(tǒng)對入侵進行檢測，常常是針對有特征入侵行為，是較為智能的方法。專家系統(tǒng)主要是運用規(guī)則進行分析，規(guī)則即學(xué)問，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依靠于學(xué)問庫的完備性，學(xué)問庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的學(xué)問轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)學(xué)問庫的完備性。CiscoIPS4200系列傳感器是思科自防衛(wèi)網(wǎng)絡(luò)的一個核心組件。在當今繁忙的網(wǎng)絡(luò)環(huán)境中，業(yè)務(wù)連續(xù)性的實現(xiàn)主要依靠于網(wǎng)絡(luò)入侵愛護，它能在惡意攻擊、蠕蟲和病毒影響您的數(shù)據(jù)和資源前終止它們的運行。CiscoIPS4200能精確地檢測、分類和終止惡意流量的傳輸。CiscoIPS技術(shù)能夠防衛(wèi)惡意活動，包括蠕蟲、干脆攻擊、分布式拒絕服務(wù)攻擊、偵察和應(yīng)用濫用。模塊化檢測功能以先進的思科平安特性和網(wǎng)絡(luò)智能為基礎(chǔ)，能檢測和防衛(wèi)對于從應(yīng)用到ARP的整個網(wǎng)絡(luò)堆疊的威逼。CiscoIPS技術(shù)供應(yīng)業(yè)界領(lǐng)先的入侵愛護，增加了這一功能。CiscoIPS供應(yīng)自適應(yīng)平安漏洞和異樣流量檢測。簽名主要集中于平安漏洞，那么即使發(fā)生變更，檢測威逼的實力也不會受到影響。為應(yīng)對新興的“零日”威逼，CiscoIPS能學(xué)習您的網(wǎng)絡(luò)，發(fā)覺異樣行為，并在無需升級簽名的狀況下防衛(wèi)攻擊。CiscoIPS技術(shù)和簽名服務(wù)是由思科全球平安專家團隊開發(fā)的。這些專家對新興威逼、檢測方法和防衛(wèi)策略進行長期探討，以便不斷供應(yīng)基于平安漏洞的最新簽名和先進的入侵防衛(wèi)功能。精確的響應(yīng)CiscoIPS4200系列傳感器供應(yīng)精確的威逼影響分析，幫助您自信地應(yīng)對威逼。CiscoIPS為每個事務(wù)進行實時風險衡量，使您最充分地了解潛在威逼的影響。自適應(yīng)多維算法結(jié)合了攻擊細微環(huán)節(jié)與實時網(wǎng)絡(luò)學(xué)問，生成標準化的風險評估結(jié)果。CiscoIPS擁有最豐富的響應(yīng)措施集，執(zhí)行敏捷、精確的響應(yīng)策略。您能為每個網(wǎng)絡(luò)環(huán)境和威逼定制IPS策略–干脆丟棄數(shù)據(jù)包、終接進程、限速，或在網(wǎng)絡(luò)中的路由器和其他平安設(shè)備上實施接入限制和速率限制。CiscoIPS威逼評定特性能夠評估響應(yīng)后的風險，使平安事務(wù)處理者集中精力處理對業(yè)務(wù)影響最大的事務(wù)。在主動響應(yīng)，優(yōu)先處理對業(yè)務(wù)潛在影響最大的事務(wù)之后，更新風險衡量結(jié)果。CiscoIPS記錄每個報警的實時、深化的信息，幫助事務(wù)處理者快速診斷和解決問題。環(huán)境數(shù)據(jù)和進程記錄供應(yīng)了每個事務(wù)之前、期間和之后的數(shù)據(jù)包級具體信息。自防衛(wèi)網(wǎng)絡(luò)的入侵防衛(wèi)功能集成最具多樣性的IPS傳感器系列為網(wǎng)絡(luò)隨意位置的適當工作供應(yīng)適當工具入侵防衛(wèi)已集成到網(wǎng)絡(luò)陣列中解決方案以思科平安特性和網(wǎng)絡(luò)智能為基礎(chǔ)自適應(yīng)模塊化檢測引擎供應(yīng)了快速響應(yīng)和最短停機時間異樣行為檢測能防衛(wèi)零日攻擊基于風險的動態(tài)威逼評定能實時調(diào)整應(yīng)對攻擊的策略協(xié)作機箱和網(wǎng)絡(luò)級關(guān)聯(lián)運用戶更為自信網(wǎng)絡(luò)和端點協(xié)作供應(yīng)了更高可視性和效率基于解決方案的通用管理界面有助于降低運營開支基于策略的管理CiscoIPS4200系列傳感器削減了實施平安措施所需的時間和精力，運用留意于策略的管理和關(guān)聯(lián)工具，并供應(yīng)了必要的精確度，以便您精確調(diào)整IPS配置。利用集成的圖形化管理和事務(wù)閱讀工具，開箱即能提高平安可視性，并便利地定義檢測策略。利用思科平安監(jiān)控、分析和響應(yīng)系統(tǒng)(MARS)，獲得有關(guān)您的平安狀態(tài)的統(tǒng)一、端到端視圖，并利用統(tǒng)一方式來管理平安事務(wù)。利用功能豐富的思科平安管理器(CSM)圖形化界面，只需簡潔的幾步就能更新數(shù)千設(shè)備上的策略，從而降低變更和配置管理活動的成本。企業(yè)永續(xù)性CiscoIPS4200系列傳感器具容錯性，能夠縮短停機時間，確保您的IPS解決方案能夠承受日常運營中的高峰流量壓力。內(nèi)置的全面監(jiān)控功能可檢測出每個運營層次的潛在故障，包括設(shè)備、服務(wù)、通信和監(jiān)控鏈路故障。自動和手動保證連接選項使您能為最壞的狀況定義合適的策略，比如每個通過的數(shù)據(jù)包都必需檢查，或是“無論發(fā)生什么狀況”您的流量都必需通過等。集成硬件旁路能幫助您將此策略擴展應(yīng)用到整個系統(tǒng)和電源故障。敏捷的部署作為最多樣化的IPS技術(shù)產(chǎn)品系列的一個組件，CiscoIPS4200系列傳感器能部署在各種網(wǎng)絡(luò)環(huán)境之中。IPS4200系列廣泛的性能和接口配置能幫助您在網(wǎng)絡(luò)邊緣、園區(qū)網(wǎng)和數(shù)據(jù)中心中，以無與倫比的敏捷性實施高效的入侵防衛(wèi)。CiscoIPS4200系列傳感器能部署為線內(nèi)IPS配置、混合IDS配置，或同時支持線內(nèi)和混合配置。CiscoIPS4200系列設(shè)備供應(yīng)多種多接口配置，包括銅纜和光纖千兆以太網(wǎng)以及萬兆以太網(wǎng)接口。您還能配置數(shù)千個邏輯接口，并在您的VLAN環(huán)境中實施入侵防衛(wèi)，為您供應(yīng)了設(shè)計敏捷性，以支持您全部繁簡不一的部署要求。CiscoIPS技術(shù)還供應(yīng)業(yè)界領(lǐng)先的虛擬化功能。虛擬傳感器支持配置和傳感器狀態(tài)的虛擬化。如圖1所示，傳感器幾乎能部署在任何須要平安可視性，以便高效終止蠕蟲和病毒運行的企業(yè)網(wǎng)段之中。多個IPS傳感器通過CiscoCatalyst交換機上的以太通道來供應(yīng)具高可擴展性的負載均衡解決方案供應(yīng)精彩性能CiscoIPS傳感器能滿意多種應(yīng)用和網(wǎng)絡(luò)的嚴格要求。在當今的企業(yè)中，應(yīng)用受益于互聯(lián)網(wǎng)的程度已達到前所未有的水平。IP語音、電子商務(wù)、流視頻和Web2.0改進了生產(chǎn)率和員工協(xié)作。這些網(wǎng)絡(luò)應(yīng)用對資源，如連接速率、并發(fā)連接數(shù)、流量長度、事務(wù)處理規(guī)模等提出了不同需求。從性能的角度來看，出現(xiàn)了一系列應(yīng)用類型，從支持融合內(nèi)容的多媒體環(huán)境到通過快速、輕量連接構(gòu)建的、能進行大量事務(wù)處理的環(huán)境。CiscoIPS技術(shù)在“多媒體”和“事務(wù)處理”環(huán)境中評估多種參數(shù)，幫助您依據(jù)實際環(huán)境的獨特特征，預(yù)料真正的IPS性能。多媒體多媒體環(huán)境的特征是有豐富的內(nèi)容。大多數(shù)流行網(wǎng)站上的內(nèi)容都屬于多媒體范疇，如視頻內(nèi)容和文件傳輸?shù)?。假如您的環(huán)境需訪問大量數(shù)據(jù)和融合內(nèi)容，您的環(huán)境就屬于多媒體環(huán)境。事務(wù)處理事務(wù)處理環(huán)境的特征是有大量連接。很多類型的電子商務(wù)環(huán)境都屬于事務(wù)處理環(huán)境，如即時消息傳遞和語音等。假如您的環(huán)境有須要大量連接的應(yīng)用，而事務(wù)處理的規(guī)模較小，則您的環(huán)境屬于事務(wù)處理環(huán)境。圖2顯示了從多媒體環(huán)境到事務(wù)處理環(huán)境間的各種環(huán)境。產(chǎn)品規(guī)格CiscoIPS4270CiscoIPS4260CiscoIPS4255CiscoIPS4240CiscoIPS4215多媒體性能4Gbps2Gbps600Mbps300Mbps80Mbps事務(wù)數(shù)據(jù)性能2Gbps1Gbps500Mbps250Mbps65Mbps標準監(jiān)控接口4個10/100/1000BASE-TX或4個1000BASE-SX10/100/1000BASE-TX4個10/100/1000BASE-TX4個10/100/1000BASE-TX10/100BASE-TX標準吩咐和限制接口10/100/1000BASE-TX10/100/1000BASE-TX10/100BASE-TX10/100BASE-TX10/100BASE-TX可選監(jiān)控接口4個10/100/1000BASE-TX2個1000BASE-SX(光纖)(共16個監(jiān)控接口)4個10/100/1000BASE-TX(9個監(jiān)控接口)2個1000BASE-SX(4個光纖監(jiān)控接口)無無4個10/100BASE-TX(5個監(jiān)控接口)冗余電源有可選無無無自動硬件保持連接支持**支持**支持*支持*支持*機型4機架單元2機架單元1機架單元1機架單元1機架單元高度6.94英寸(17.6厘米)3.45英寸(87.6毫米)1.72英寸(4.37厘米)1.72英寸(4.37厘米)1.7英寸(4.37厘米)寬度19英寸(48.3厘米)17.14英寸(435.3毫米)17.25英寸(43.82厘米)17.25英寸(43.82厘米)16.8英寸(42.72厘米)長度26.5英寸(67.3厘米)20英寸(508毫米)14.5英寸(36.83厘米)14.5英寸(36.83厘米)11.8英寸(29.97厘米)重量80磅(36.3公斤)40磅(18.14公斤)(全加載時)20磅(9.07公斤)20磅(9.07公斤)11.5磅(4.11公斤)機架安裝支持支持支持支持支持自動切換100到240VAC100到240VAC100到240VAC100到240VAC100到240VAC頻率50–60Hz,單相47–63Hz,單相47–63Hz,單相47–63Hz,單相50–60Hz工作電流12A(100VAC),4.9A(200VAC)8.9A(100VAC)4.5A(200VAC)3.0A3.0A1.5A工作溫度10到35°C(50到95°F)10到35°C(50到95°F)0到40°C(32到104°F)0到40°C(32到104°F)5到40°C(41到104°F)非工作溫度–40到70°C(-104到158°F)–40到70°C(-104到158°F)–20到65°C(-4到149°F)–20到65°C(-4到149°F)–25到70°C(-13到158°F)工作相對濕度10到90%(非冷凝)10到85%(非冷凝)10到85%(非冷凝)10到85%(非冷凝)5到95%(非冷凝)非工作相對濕度5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)5到95%(非冷凝)全功率時的熱耗散4070Btu/hr648Btu/hr614.2Btu/hr614.2Btu/hr410Btu/hr*配備第三方產(chǎn)品**配備旁路接口卡CiscoIPS4215能精確地查看和愛護65/80Mbps（事務(wù)性應(yīng)用/多媒體應(yīng)用）流量，適用于多T1/E1和T3環(huán)境。此外，CiscoIPS4215上支持多個監(jiān)控接口，能在單一設(shè)備中供應(yīng)入侵檢測和防衛(wèi)（IDS/IPS）服務(wù)，從而同時愛護多個子網(wǎng)。運行于250/300Mbps（事務(wù)性應(yīng)用/多媒體應(yīng)用）的CiscoIPS4240能為交換環(huán)境供應(yīng)愛護，部署于多個T3子網(wǎng)上，支持多個10/100/1000接口。它可部署于僅部分運用的千兆鏈路或完全運用的全雙工100Mbps環(huán)境。CiscoIPS4240-DC以IPS4240為基礎(chǔ)，但支持直流電源。IPS4240-DC符合網(wǎng)絡(luò)設(shè)備構(gòu)建系統(tǒng)（NEBS）標準，能部署在對符合NEBSLevel3有特定要求的環(huán)境。CiscoIPS4255供應(yīng)500/600Mbps（事務(wù)性應(yīng)用/多媒體應(yīng)用）的性能，能用于愛護部分運用的千兆子網(wǎng)和從多個子網(wǎng)匯聚流量的交換機所傳輸?shù)男畔ⅰiscoIPS4260供應(yīng)1/2Gbps（事務(wù)性應(yīng)用/多媒體應(yīng)用）的愛護性能，能用于愛護千兆子網(wǎng)和從多個子網(wǎng)匯聚流量的交換機所傳輸?shù)男畔?。這肯定制設(shè)備支持銅線和光纖網(wǎng)絡(luò)接口卡（NIC）環(huán)境，實現(xiàn)了部署敏捷性。CiscoIPS4270供應(yīng)2/4Gbps（事務(wù)性應(yīng)用/多媒體應(yīng)用）的愛護性能，能用于愛護千兆子網(wǎng)和從多個子網(wǎng)匯聚流量的交換機所傳輸?shù)男畔?。支持端口?shù)量可以達到16個GE，協(xié)作虛擬IPS的功能，可以敏捷部署于網(wǎng)絡(luò)核心與數(shù)據(jù)中心等網(wǎng)絡(luò)關(guān)鍵區(qū)域。思科快速響應(yīng)方案 思科于2005年2月分收購了聞名的防衛(wèi)與響應(yīng)系統(tǒng)解決方案供應(yīng)商ProtegoNetworks公司（簡稱PN），PN供應(yīng)的PN—MARS是STM系統(tǒng)威逼管理的開山之作。這些系統(tǒng)包括軟件、硬件和插入TCP/IP網(wǎng)絡(luò)的Web管理界面。PN-MARS產(chǎn)品可以關(guān)聯(lián)網(wǎng)絡(luò)和平安設(shè)備配置信息、NetFlow、應(yīng)用日志和平安事務(wù)，讓IT人員可以從一個集中的地點實時發(fā)覺、跟蹤、分析、防衛(wèi)、報告和存儲整個企業(yè)網(wǎng)絡(luò)中的平安事務(wù)和攻擊。思科收購PN以后，新的產(chǎn)品更名為CS-MARS。核心業(yè)務(wù)策略、法規(guī)和報告CS-MARS可以通過關(guān)聯(lián)網(wǎng)絡(luò)和平安設(shè)備日志、配置和事務(wù)，擴展數(shù)據(jù)來源和支持平安策略。CS-MARS可以在不需運用代理的狀況下匯總、分析、報告和存儲大量的原始數(shù)據(jù)和事務(wù)數(shù)據(jù)?；A(chǔ)設(shè)施支持幾乎全部的TCP/IP網(wǎng)絡(luò)服務(wù)、應(yīng)用和端口，以及大部分交換機、路由器、防火墻、IDS傳感器和平安應(yīng)用。全面的設(shè)備支持實力有助于實現(xiàn)集成。該公司供應(yīng)的CS-MARSGC（全局限制器）可以充當一個額外的集中策略限制和平安管理層。平安管理和流程自動化高度可視化的、基于Web的管理界面讓經(jīng)過授權(quán)的用戶可以從任何地方訪問CS-MARS。目前，CS-MARS可以供應(yīng)一種獨一無二的防衛(wèi)功能：用戶可以利用攻擊路徑中的關(guān)鍵設(shè)備（路由器、交換機、防火墻）制止攻擊或者限制漏洞。 MARS為協(xié)調(diào)平安信息管理、平安事務(wù)管理、響應(yīng)、威逼防衛(wèi)和職責履行等任務(wù)供應(yīng)了一系列設(shè)備。每個CS-MARS設(shè)備每秒鐘都能夠有效地關(guān)聯(lián)和整合數(shù)百個甚至上千個網(wǎng)絡(luò)和平安事務(wù)，并實時地在企業(yè)網(wǎng)絡(luò)中跟蹤事務(wù)和攻擊。運用了這些產(chǎn)品的客戶表示，CS-MARS可以削減固定事務(wù)和誤報率，即那些被跟蹤的事務(wù)都是“有效的”，而不會與來自日志的干擾信息或者來自于不同網(wǎng)絡(luò)、平安設(shè)備的孤立事務(wù)混淆。 全部產(chǎn)品的核心――CS-MARS系列設(shè)備所運用的軟件――都是相同的。每個設(shè)備都是一個一攬子解決方案，可以通過嵌入式Oracle數(shù)據(jù)庫和專用Protego邏輯供應(yīng)采集、關(guān)聯(lián)、匯總、可視化、查詢、響應(yīng)和報告功能。而且，不同規(guī)格的CS-MARS設(shè)備可以互聯(lián)到一起，為不同規(guī)模的網(wǎng)絡(luò)供應(yīng)一個全面的網(wǎng)絡(luò)威逼、攻擊和業(yè)務(wù)中斷視圖。CS-MARS設(shè)備可以在本地操作和管理，或者多個MARS設(shè)備可以集中通過一個CS-MARSGC（全局限制器）進行集中協(xié)調(diào)。CS-MARSGC將作為一個附加設(shè)備供應(yīng)。 CS-MARS設(shè)備上的軟件采納了獨特的設(shè)計，可以有效地處理分散的平安相關(guān)事務(wù)數(shù)據(jù)，將其匯總到有效的攻擊進程中。這包括跨越網(wǎng)絡(luò)設(shè)備的全面NAT解析功能和異樣網(wǎng)絡(luò)流量行為檢測。Protego面對進程的平安事務(wù)信息視圖是依據(jù)預(yù)定義和用戶自定義的事務(wù)規(guī)則自動關(guān)聯(lián)的。該設(shè)備能夠檢查某個平安漏洞是否被利用，或者某個攻擊是否被制止，從而進一步匯總數(shù)據(jù)、干擾和誤報信息。用戶可以快速地調(diào)查實時事務(wù)，或者在事務(wù)發(fā)生之后調(diào)查相關(guān)的規(guī)則和原始設(shè)備數(shù)據(jù)。而且，CS-MARS軟件還可以自動生成防衛(wèi)選項，從而讓IT管理人員可以剛好更改配置；半自動或者手動將其應(yīng)用到網(wǎng)絡(luò)和平安設(shè)備，以及攻擊路徑，從而消退系統(tǒng)漏洞，防止攻擊者進入企業(yè)網(wǎng)絡(luò)。 全部這些功能都通過一個高度可視化的、實時的分析功能得以實現(xiàn)，而用戶可以通過一個詳盡的拓撲圖和交互式的Web界面運用這些功能。用戶界面會標出熱點、跟蹤軌跡和重要節(jié)點。管理功能包括創(chuàng)建定制規(guī)則，生成查詢和報告，在不丟失背景信息的狀況下細化到任何一個等級，以及從某個集中地點管理威逼并將防衛(wèi)措施推行到企業(yè)網(wǎng)絡(luò)的任何部分。另外，CS-MARS可以自動執(zhí)行包括調(diào)查、審核、攻擊路徑重建（利用實時的或者以前存儲的數(shù)據(jù)；本地存儲會被壓縮并不斷地存檔到NAS存儲）在內(nèi)的整個流程。最終，CS-MARS可以通過全面的設(shè)備支持，接收來自于幾乎任何數(shù)據(jù)來源的數(shù)據(jù)，包括大部分防火墻日志、路由器日志、VPN設(shè)備、網(wǎng)絡(luò)和主機IDS傳感器、網(wǎng)絡(luò)掃描器和應(yīng)用。 幾乎全部的MARS客戶都對CS-MARS產(chǎn)品，以及產(chǎn)品為他們的公司帶來的價值賜予了很高的評價。一位客戶表示：“我無法用市場上的其他產(chǎn)品實現(xiàn)這些功能：他們比其他競爭對手領(lǐng)先了很多年。”另外一位客戶表示：“我認為他們很快就會發(fā)展壯大：我只希望他們?nèi)耘f關(guān)注于傾聽客戶需求和供應(yīng)卓越的服務(wù)?！逼渌恍┛蛻舯硎荆骸八麄兡軌蛟趲字苤畠?nèi)將設(shè)想的概念變成可用的功能…我對他們能夠如此快速地實現(xiàn)我們所希望的功能感到驚異?！? 同時全部的客戶都表示，他們能夠剛好地檢測和跟蹤病毒、蠕蟲、拒絕服務(wù)和其他入侵，從而主動實行措施避開損失。另外，客戶還表示他們能夠跟蹤入侵的源和目的地MAC地址，從而加快調(diào)查和修復(fù)速度，避開可能會在初期問題之后發(fā)生的“二次爆發(fā)”。

人們認為CS-MARS產(chǎn)品的便利性超出了市場上的其他同類產(chǎn)品。精通網(wǎng)絡(luò)的IT人員對它的可用性賜予了很高的評價。它可以便利地擴展到數(shù)千個設(shè)備和數(shù)萬個事務(wù)，并且部署難度相對較低。同樣，牢靠性也得到了很高的評價，不過一些受訪客戶表示，因為該產(chǎn)品還很新，這家公司的成立時間也不長，所以還存在著一些有待改進的環(huán)節(jié)。CS-MARS的部署優(yōu)勢 在最低層次上，CS制止和響應(yīng)系統(tǒng)（MARS）設(shè)備可以被用作一個有效的、高性能的SIM。在較高層次上，它可以用于分析以前采集的數(shù)據(jù)，以識別網(wǎng)絡(luò)流量模式和對網(wǎng)絡(luò)攻擊進行證據(jù)分析。該產(chǎn)品的真正價值在于它為平安威逼管理樹立了很多新的標準： 1、大幅度精簡數(shù)據(jù)：CSMARS設(shè)備具有深化的網(wǎng)絡(luò)拓撲和地址感知實力，可以將數(shù)百萬個平