企業(yè)網(wǎng)絡(luò)安全入侵檢測與響應(yīng)解決方案

企業(yè)網(wǎng)絡(luò)安全入侵檢測與響應(yīng)解決方案1當(dāng)前我們面對的主要安全問題 32企業(yè)網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀分析 72.1網(wǎng)絡(luò)安全出現(xiàn)了哪些的問題? 72.2需要統(tǒng)一安全管理的發(fā)展歷程 2.3SIM安全信息管理的產(chǎn)生 3企業(yè)網(wǎng)絡(luò)安全監(jiān)控和快速響應(yīng)解決方案 3.1企業(yè)網(wǎng)絡(luò)安全監(jiān)控的手段 3.1.1NetFlow實時監(jiān)控網(wǎng)絡(luò)流量 3.1.2企業(yè)網(wǎng)絡(luò)IDS/IPS監(jiān)控及網(wǎng)絡(luò)入侵保護 3.2企業(yè)網(wǎng)絡(luò)快速響應(yīng)方案 錯誤!未定義書簽。在近日召開的2005中國計算機網(wǎng)絡(luò)安全應(yīng)急年會(CNCERT/部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室的指導(dǎo)下，針對全國16個城市2800多個77.8%;其次為反病毒軟件的應(yīng)用，占到73.4%;訪問控制(25.6%)、加密文件系統(tǒng)(20.1%)和入侵檢測系統(tǒng)(15.8%)也是通常使用的網(wǎng)絡(luò)安全在金融、制造、電信、財稅、政府、教育、交通、其他類8個行業(yè)被訪單位在2004年所受到的網(wǎng)絡(luò)攻擊類型中最普遍的是病毒、蠕蟲或特洛伊木馬攻擊，占75.3%。被調(diào)查對象認為，引發(fā)網(wǎng)絡(luò)安全事件的原因中最主要的是“利用未打補丁或未受保護的軟件漏洞”,占50.3%;對員工不充分的安全操作和流程的培訓(xùn)及教育占36.3%;緊隨其后的是缺乏全面的網(wǎng)絡(luò)安全意識教育，占28.7%。絡(luò)攻擊工具，例如蠕蟲或自動傳播惡意代碼，占67.3%;其次是有熟練攻擊經(jīng)驗的攻擊者成功繞過網(wǎng)絡(luò)安全防護措施，占15.4%;大量或非常密集網(wǎng)絡(luò)攻擊嘗試，占13.8%。近70%的被調(diào)查單位有專門的組織或機構(gòu)負責(zé)顯示出各單位將網(wǎng)絡(luò)與信息安全作為自身安全的組成部分的認識有所公眾網(wǎng)絡(luò)安全意識被認為是提高網(wǎng)絡(luò)安全整體水平的最重要的宏觀措如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)安全環(huán)境呢?如何在我們的網(wǎng)絡(luò)上確保安制、入侵檢測系統(tǒng)(IDS)和其他技術(shù)來保障網(wǎng)絡(luò)安全，但是網(wǎng)絡(luò).一個典型企業(yè)中的各種安全設(shè)備可能會產(chǎn)生大量關(guān)于網(wǎng)絡(luò)中流經(jīng)的絡(luò)”的意識蟲病毒等市場中的迅速成長和擴大。但隨之而來的威脅也越來越多——黑客攻危機四伏，不知道什么時候災(zāi)難就會降臨。系統(tǒng)、網(wǎng)絡(luò)(軟硬件)安全的全國性網(wǎng)絡(luò)、網(wǎng)絡(luò)中安全產(chǎn)品數(shù)量眾多的大型企業(yè)，這種問題尤為合全面的安全報告，以了解企業(yè)網(wǎng)絡(luò)到底處于什么樣的狀態(tài)，遭受過羅列，企業(yè)需要一個能集中管理所有產(chǎn)品信息、智能化的安全管理中的安全機制和策略能給企業(yè)提供一定的安全保障，但面對網(wǎng)絡(luò)中數(shù)目2.2需要統(tǒng)一安全管理的發(fā)展歷程統(tǒng)一的安全中心的發(fā)展由最開始的基于每一臺安全設(shè)備的管理，到求的理想目標。那么什么是安全的網(wǎng)絡(luò)?安全的網(wǎng)絡(luò)是指能夠提供安全單純從技術(shù)的角度而言，目前業(yè)界比較認可的安全網(wǎng)絡(luò)的主要環(huán)節(jié)常重要的作用。安全網(wǎng)絡(luò)系統(tǒng)模型實用的，完整的安全信息集中管理平臺。安全管理在安全網(wǎng)絡(luò)建設(shè)的循環(huán)中，起到一個承前啟后的作用，是實現(xiàn)安全網(wǎng)絡(luò)的關(guān)鍵，如下圖所示和在安全集中信息管理平臺中，我們目前所面臨的最大挑戰(zhàn)之一是，幫助我們做出正確判斷的依據(jù)被不斷增加的、多個廠商的安全設(shè)備和多個系統(tǒng)所產(chǎn)生的大量安全信息所淹沒。比如一次簡單的Smurf攻擊，網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)會報警，防火墻會報警，遭受攻擊的主機會報警，相關(guān)的路由器甚至交換機都會報警，匯聚到安全管理平臺就是多次報警，而其實攻擊就只有一次。只有能夠提供有效管理、隔離和優(yōu)先處理代表著的安全集中管理關(guān)鍵技術(shù)之一是一種稱為安全信息管理(SIM)的軟件2.4從安全信息管理SIM發(fā)展到安全威脅管理STM網(wǎng)絡(luò)地址，以便當(dāng)某個攻擊的源和目地地址發(fā)生變化時繼續(xù)加以跟與它的網(wǎng)絡(luò)感知能力結(jié)合到一起，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊活動集中的“熱圖1(從上往下讀圖)顯示了STM技術(shù)用于減少原始網(wǎng)絡(luò)事件數(shù)網(wǎng)絡(luò)上的多個設(shè)備——包括安全設(shè)備(防火墻和IDS)、網(wǎng)絡(luò)設(shè)備(路由器和交換機)和終端系統(tǒng)(服務(wù)器)——發(fā)送日志和網(wǎng)絡(luò)信息，進程化可以利用網(wǎng)絡(luò)拓撲感知功能將多個事件匯總成端到端的sssoaxonw基于進程的主動關(guān)聯(lián)可以利用內(nèi)置的和用戶定義的規(guī)則，將網(wǎng)絡(luò)攻擊(簡稱攻擊)。成功到達目標(它可能會被某個防火墻或者服務(wù)器中的主機IDS阻截),以及目標是否的確可能遭受攻擊(它的操作系統(tǒng)可能不會遭受將實際的攻擊通知操作人員，并告知制止方法。精確跟蹤可事件可能會精簡到數(shù)十個攻擊一—一個操作人員就足以對這些事件為分析人員提供一定數(shù)量(可設(shè)置)的事件，由其確定它們是真正的感知能力將這些事件匯總為單個進程。在圖2中，(注意攻擊的目的A圖2進程化STM技術(shù)可以根據(jù)內(nèi)部規(guī)則比較進程的細節(jié)(進程內(nèi)部關(guān)聯(lián))和其他進程的細節(jié)(進程間關(guān)聯(lián)),以發(fā)現(xiàn)某個潛在的攻擊。如果存在建設(shè)。3.1企業(yè)網(wǎng)絡(luò)安全監(jiān)控的手段網(wǎng)絡(luò)的安全監(jiān)控的前提必須實時了解網(wǎng)絡(luò)運行的狀3.1.1NetFlow實時監(jiān)控網(wǎng)絡(luò)流量9目前正在IETF以IPFIX的名稱進行標準化。當(dāng)然，這使得NetFlow提供IP源地址、IP目的地址、源端口、目的端口、三層幾年來，服務(wù)提供商一直使用NetFlow。它們一直被NetFlow的如現(xiàn)也不好。因此，它實際上是無法在大多數(shù)IT部門實現(xiàn)的最佳實踐。低的大約2%至3%,而且，NetFlow部署只需要一個星期的時間。采用它的另一個原因是：可以報告和分析NetFlow的軟件一如出自Crannog、NetQoS公司的產(chǎn)品可以根據(jù)入站傳輸流對出站傳輸流進行評估以簡化諸如Q1Labs公司和Arbor公司的Peakflow之類的安全廠商很有用，在我們以2003蠕蟲王61.*.*.124|28.*.17.190|65111|as1|6|361.*.*.124|28.*.154.90|6561.*.*.124|28.*.221.90|6字節(jié)數(shù)404以下是在CiscoGSR路由器GigabitEthernet10/0端口(1)切斷連接在能夠確定異常流量源地址且該源地址設(shè)備可控的情況(2)過濾采用ACL(AccessControlList)過濾能夠靈活實現(xiàn)針此過濾針對蠕蟲王病毒(SQLSlammer),但同時也過濾了針對SQLServer的正常訪問，如(3)靜態(tài)空路由過濾能確定異常流量目標地址的情況下，可以用異常流量的目標地址指向空(Null),這種過濾幾乎不消耗路由器系統(tǒng)iproute205.*.*.2255.255.255.255Null0對于多路由器的網(wǎng)絡(luò)，還需增加相關(guān)動態(tài)路由配置，保(4)異常流量限定Router#(config-if)rate-limitinputaccess-3.1.2企業(yè)網(wǎng)絡(luò)IDS/IPS監(jiān)控及網(wǎng)絡(luò)入侵保護事件分析器(Eventanalyzers);響應(yīng)單元(Responseunits);事系統(tǒng)分類日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所的網(wǎng)卡設(shè)于混雜模式(promiscmod統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標志 (signature-based),另一種基于異常情況(anomaly-based)。(至少在理論上可以)判別更廣范、甚至未發(fā)覺的攻擊。信息收集跟正常的一樣。例如，unix系統(tǒng)的PS指令可以被替換為一個不顯示侵 (黑客隱藏了初試文件并用另一版本代替)。這需要保證用來檢測網(wǎng)絡(luò)以下三個方面(這里不包括物理形式的入侵信息):非正常的程序執(zhí)行信號分析模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式通過字符串匹配以尋找一個簡單的條目或指令),也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化)。一般來講，一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權(quán)限)來表統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)(例專家系統(tǒng)策略-直接丟棄數(shù)據(jù)包、終接集成·最具多樣性的IPS傳感器系列為網(wǎng)絡(luò)任意位置具·入侵防御已集成到網(wǎng)絡(luò)陣列中·解決方案以企業(yè)網(wǎng)絡(luò)安全特性和網(wǎng)絡(luò)智能為基礎(chǔ)·模塊化檢測引擎提供了迅速響應(yīng)和最短停機時間·異常行為檢測能防御零日攻擊·基于風(fēng)險的動態(tài)威脅評定能實時調(diào)整應(yīng)對攻擊的策略協(xié)作·機箱和網(wǎng)絡(luò)級關(guān)聯(lián)使用戶更為自信·網(wǎng)絡(luò)和端點協(xié)作提供了更高可視性和效率·基于解決方案的通用管理界面有助于降低運營開支todeliverIDSservicesoutsiderouter多個IPS傳感器通過CiscoCatalyst交換機上的以太通道來提供具高CiscoIPS技術(shù)在“多媒體”和“事務(wù)處理”環(huán)境中評估多種參數(shù)，幫多媒體體性數(shù)據(jù)性能接口4個或4個4個4個接口000BASE--SX(光纖)(共16個監(jiān)控接口)●4個個監(jiān)控接●2個X(4個光纖監(jiān)控接口)無無(5個監(jiān)控接口)有可選無無無自動支持**支持**支持*支持*支持*機型4機架單元2機架單元元1機架單元1機架單元高度6.94英寸(17.6厘(87.6毫米)1.72英寸(4.37厘1.72英寸(4.37厘寬度(48.3厘(435.3毫米)17.25英寸(43.82厘米)17.25英寸(43.82厘16.8英寸(42.72厘長度26.5英寸(67.3厘20英寸(508毫14.5英寸(36.83厘14.5英寸(36.83厘11.8英寸(29.97厘80磅(36.3公斤)40磅(18.14公時)(9.07公20磅(9.07公斤)機架支持支持支持支持支持自動100到240100到240VAC100到240100到240100到240單相單相Hz,單相Hz,單相工作工作溫度10到35°C(50到10到35°C(50到95°F)0到40°C(32到0到40°C(32到5到40°C(41到-40到-20到非工-40到70°C-20到-25到(-104到(-104到到到149°F)到158°F)工作10到85%(非10到85%5到95%(非濕度(非冷凝)冷凝)(非冷凝)(非冷凝)冷凝)非工作相對濕5到95%(非冷凝)5到95%(非冷(非冷凝)(非冷凝)5到95%(非冷凝)全功率時的熱*配備第三方產(chǎn)品**配備旁路接口卡CiscoIPS4215能準確地查看和保護65/80Mbps(事務(wù)性應(yīng)用/多媒體應(yīng)用)流量，適用于多T1/E1和T3環(huán)境。此外，CiscoIPS4215上支持多個監(jiān)控接口，能在單一設(shè)備中提供入侵檢測和防御(IDS/IPS)運行于250/300Mbps(事務(wù)性應(yīng)用/多媒體應(yīng)用)的CiscCiscoIPS4255提供500/600Mbps(事務(wù)性應(yīng)用/多媒體應(yīng)用)的CiscoIPS4260提供1/2Gbps(事務(wù)性應(yīng)用/多媒體應(yīng)用)的保護息。這一定制設(shè)備支持銅線和光纖網(wǎng)絡(luò)接口卡(NICiscoIPS4270提供2/4Gbps(事務(wù)性應(yīng)用/多媒體應(yīng)用)的保護息。支持端口數(shù)量可以達到16個GE,配合虛擬IPS的功能，可以靈活3.2企業(yè)網(wǎng)絡(luò)快速響應(yīng)方案企業(yè)網(wǎng)絡(luò)于2005年2月分收購了著名的防御與響應(yīng)系統(tǒng)解決方案提供商ProtegoNetworks公司(簡稱PN),PN提供的PN—MARS核心全面的設(shè)備支持能力有助于實現(xiàn)集成。該公司提供的CS-MARSGC(全局控制器)可以充當(dāng)一個額外的集中策略控制和安全管理層。高度可視化的、基于Web的管理界面讓經(jīng)過授權(quán)的用戶可以從任何地方訪問CS-MARS。目前，CS-MARS可以提供一種獨一無二的防御功能：用戶可以利用攻擊路徑中的關(guān)鍵設(shè)備(路由器、交換機、防火墻)制止攻擊或者控是相同的。每個設(shè)備都是一個一攬子解決方案，可以通過嵌入式進程的安全事件信息視圖是根據(jù)預(yù)定義和用戶自定義的事件規(guī)則自人員可以及時更改配置；半自動或者手動將其應(yīng)用到網(wǎng)絡(luò)和安全設(shè)然關(guān)注于傾聽客戶需求和提供卓越的服務(wù)?！逼渌恍┛蛻舯硎荆骸八麄兡軌蛟趲字苤畠?nèi)將設(shè)想的概念變成可用的功能…我對他們能夠如此迅速地實現(xiàn)我們所希望的功能感到驚訝。”人們認為CS-MARS產(chǎn)品的便利性超出了市場上的其他知能力，可以將數(shù)百萬個安全事件縮減為數(shù)百個實際報告的網(wǎng)絡(luò)事2、及時制止攻擊：該設(shè)備具有足夠的性能和內(nèi)置智能，可以在3、端到端的網(wǎng)絡(luò)感知功能：利用各種網(wǎng)絡(luò)設(shè)備和終端系統(tǒng)的所蠕蟲的特殊性使得它成為一種尤其難以解決的問題。一旦一臺網(wǎng)絡(luò)網(wǎng)上的很多計算機都沒有安裝微軟公司此前發(fā)布的一個補丁2。另外一要有效地處理像Blaster蠕蟲這樣的網(wǎng)絡(luò)攻擊涉及到很多方面。在這種攻擊首次發(fā)生時(這個時間通常被稱為“零日”),現(xiàn)有的網(wǎng)絡(luò)安全組件一—例如網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)、主機入侵檢測系統(tǒng)(HIDS)和標。零日攻擊的功能—一即使該行為并不處于監(jiān)控網(wǎng)絡(luò)的安全設(shè)備的特征Blaster蠕蟲代碼；這可能發(fā)生在它連接互聯(lián)網(wǎng)的過程中(可能是在用戶家中);也可能發(fā)生在企業(yè)核心網(wǎng)絡(luò)上，當(dāng)它在互聯(lián)網(wǎng)防火墻內(nèi)部進測到了主機H3發(fā)送的部分流量。這些流量在圖1中用虛線表示。PathsofRlasterWorm圖1.網(wǎng)絡(luò)拓撲和Blaster蠕蟲攻擊事件，如圖2所示。企業(yè)網(wǎng)絡(luò)安全入侵檢測與響應(yīng)解決方案oaattssettBerantmcdants口wutTrp0