聯合電訊社/北京--風險控制與風險管理 缺一不可

　　面對越來越多的攻擊，網絡安全產品為保護我們的系統、數據發揮了重要作用。目前絕大部分網絡安全產品是基于邊界防御的，比如防火墻、UTM、IPS等，這些產品部署在網絡邊界，對進出的網絡數據流量進行檢測，確認是否符合訪問控制規則、是否存在攻擊行為、是否攜帶病毒文件等，然后放行或阻斷網絡數據。邊界防護類產品能根據設定的策略自動過濾流量，降低了安全風險的同時還極大簡化了管理人員的工作量，因此深受歡迎。然而攻防雙方技術交替發展，邊界防御產品并不能保證萬無一失。加上不合理的配置或人為疏忽，存在邊界防御產品保護的網絡也會碰到一定的安全問題。對于安全程度要求高的網絡來說，必須有進一步的方法來解決這個問題。

　　一般來說，攻擊分為掃描探測、攻擊、安置后門幾個步驟。入侵檢測產品都能對這幾種行為進行分析、檢測，因此入侵檢測產品早已成為網絡安全的必需品。等級保護等相關行業也明文規定了各級網絡中應該部署入侵檢測產品。

　　由于IDS可以監聽網絡內部的通訊，無論是內部主機直接的威脅還是從外到內的威脅，都可以及時報警，從而提醒網絡管理員來處理存在的威脅。在大規模蠕蟲爆發時，正是IDS的預警，使得管理員能及時采取行動，從而極大地避免了網絡崩潰導致的危害。然而還是有人認為IDS用處不大，這到底是什么原因呢

　　報警量大是阻礙IDS應用的關鍵

　　IDS作為對網絡攻擊檢測的產品，檢測的全面性毫無疑問是其重要指標。而特征庫是IDS的檢測核心部分，因而很多時候檢測的全面性被簡化為特征庫的數量，出現在招標要求或者產品的指標中。而另一個方面，同一個網絡數據包，在有的網絡環境下是威脅，而在有的網絡環境下則是完全正常的行為，這樣就只有將這樣的行為都定義在默認的特征庫中，因此通常情況下特征庫中會出現“Ping”、“HTTP連接”甚至“TCP連接”這樣的事件。這樣事件還是非常容易區分，然而很多事件卻沒有那么直截了當，比如說SNMP簡單網絡管理協議查詢。SNMP是使用得很普遍的協議，通常用于集中的網絡管理軟件管理多臺設備，用于獲取設備的信息，甚至可以用來控制設備。也正是由于這個原因，攻擊者也常利用SNMP協議來獲取目標的信息，從而到達進一步攻擊的目的或者直接利用SNMP的功能控制設備。這樣網絡管理員只有將這樣的特征都包含在檢測策略中。幾乎所有的IDS都是僅從網絡數據包進行分析，當IDS檢測到網絡中存在SNMP查詢時，是無法分辨到底是正常的網絡管理軟件還是攻擊者在收集信息，只能報警存在掃描行為甚至給出具體的每次查詢報警。

　　同樣的情況還包括正常的漏洞管理軟件與惡意的掃描、大量的連接與DDoS攻擊、一些特殊的應用等情況。通常情況下，網絡中的每臺主機每分鐘會產生一條事件，如果網絡中有五百臺主機的話，一個星期產生的日志將達到五百萬條報警。很顯然處理這樣數量的事件是一個艱巨的任務。

　　智能分析是未來IDS發展方向

　　當前各種入侵檢測產品產生的報警，往往都需要經過人工分析，才能篩選掉出重點關注事件。分析步驟一般如下：

　　1. 對事件本身的性質進行判斷。大多數IDS產品都能對ping、tcp連接等事件進行報警，一般情況下安全級別較低的報警不需要關注，如果有大量報警產生的話，確認一下是否是正常業務產生即可。

　　2. 通過結合網絡環境來判斷。首先需要確定攻擊對象和攻擊者的性質、在網絡中的位置。比如SNMP查詢這樣的事件，需要確認源地址是否正常的網管軟件，如果就是合法的網管軟件在工作，這樣的事件就不需要繼續關注了，如果不是則需要確認是錯誤地配置了網管軟件還是被控制來掃描了。而對于攻擊對象需要確認漏洞是否真實存在。

　　3. 這個攻擊是否流行。如果攻擊針對的漏洞是幾年前出現的，這樣攻擊的威脅成都就比較低。

　　4. 是否是特定關注，比如有些網絡中不允許出現網絡共享，因此如果出現針對網絡共享的攻擊必定需要仔細核實。

　　從以上步驟可以看出人工分析事件的時候，需要結合多個維度的信息進行分析。據了解，作為入侵檢測產品領頭羊的啟明星辰公司正在研發新一代的入侵檢測產品，結合其多年產品研發經驗和對大量客戶使用過程的研究，將實現對報警的智能分析系統，抑制海量事件，突出展現重點關注事件，必將推動行業向智能化方法發展。