0前言

　　入侵检测系统(Intrusion Detection Systems,IDS)工作在计算机网络系统中的关键节点上，通过实时地收集．分析计算帆网络和系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。

　　网络人侵柱浏系统(Network Intrusion DetectionSystem，NIDS)作为主动保护自己免受攻击的网络安全技术．处于肪火墙之后，它就如同大楼内无处不在的闭路电视录像监控系统，在不影响网络性能的倍况下对网络和系统进行实时监测。它采用旁路方式全面侦听网上信息流，动态监视网络上流过的有数据包。通过检铡和实时分析，及时甚至提前发现非法或异常行为，并进行响应。

　　网络型入侵检测系统能够全天侯进行日志记录和管理，进行离线分析．对特殊事件进行智能判断和回故。可以有效地防止和减轻网络威胁。帮助系统对付网络攻击．扩展了网络管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。

　　宣钢企业有自己的内网资源．并且已经在防火墙系统上投入了一定的资金．在Internet入口处部署了思科PIX525防火墙来保证网络安全．但这样的网络组织往往是”外紧内松”．它无法阻止内部人员对同络所做的攻击。对信息流的控制也缺乏安全性。

　　入侵检测系统是对防火墙有益的补充，如果说防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。因此，在宣钢内部网络的主要链路上我们应该部署一套IDS入侵检测系统。

　　1 IDS在宣钢网络中的部署

　　根据宣钢的网络拓扑结构(见图1)，我们将IDS挂接在宣钢内部网络所有所关注流量都必须流经的链路上，用来监控东区、西区以及办公楼之间的网络情况．同时对东区和办公楼到Internet的网络情况进行监控，可以实现全网80％流量的监控。(其中办公搂与西区及外网进行数据交换时数据流要经过东区机房的主交换机)。

图1 宣钢网络简易拓扑图

　　入侵检测引擎部署在东区机房核心交换机机柜中，将Monitor(监控)端口连接到东区机房Cisco交换机4006的G4/1端口上，将通信端口连接到东区机房Cisco交换机4006的4/27端口上。其中东区机房Cisco交换机4006的G4/1端口(千兆光口)是该交换机的G1/1(东区到西区)和Gl/2(东区到办公楼)的镜像端口。控制台选用一台Dell poweredgel500sc服务器，IP地址为192.168.39.246，与该交换机的f4/28口相连。

　　在东区机房Cisco交换机4006上给G4/1配置镜像的方法如下：

　　monitor session 2 source interface Gil/1—2
　　monitor session 2 destination interface Gi4/1[page]
 

　　2 IDS系统的功能和作用

　　IDS系统在宣钢网络中部署启用之后，对网络的安全起到了积极的作用。

　　2．1能够识别黑客常用入侵与攻击手段

　　入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行人侵的第一步探测、收集网络及系统信息时，就会被IDS捕获，并向管理员发出警告。

　　例如：系统监测到的信息：Windows系统下MsBLAST(冲击波)蠕虫及其变种传播。这是蠕虫攻击，感染蠕虫的机器试图扫描感染网络上的其他主机，并在特定的时间对微软的更新站点发动拒绝服务攻击，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　解决办法：如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫病毒：

　　(1)点击左下角的“开始”菜单，选择“运行”，在其中键人“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast．exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。

　　(2)删除系统目录下的msblast.exe。

　　(3)点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除其下的“windows auto update”=“msblast.exe”

　　(4)重新启动系统。

　　截至目前为止，一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征，可以清除该蠕虫，请更新杀毒软件的病毒特征库进行查杀。

　　另外要预防蠕虫感染请及时安装MS03-026(http：//www．microsoft．com/technet/security/bul-letin/MS03-026.asp)的安全更新。就是及时给自己机器的系统打补丁，宣钢的网络用户可以随时到宣钢内网自动补丁机上打补丁，也可以登录到Microsoft的网站上进行自动更新。

　　2．2监控网络异常通信

　　IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性，任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。例如：我们在IDS的规则库中增加了法轮功等一系列不良词语，当用户浏览的网页中出现这样的字眼时，IDS会立即做出报警。

　　2．3能够鉴别对系统漏洞及后门的利用

　　IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效发现网络通信中针对系统漏洞进行的非法行为。

　　例如：系统监测到的信息：口重叠分片包Teardrop拒绝服务攻击。这是一种畸形攻击，相关漏洞是多家厂商系统TCP/IP实现Teardrop拒绝服务攻击漏洞。远程攻击者可以利用此漏洞对服务器进行拒绝服务攻击，造成主机死机或崩溃。解决办法就是立刻安装补丁或者系统升级。Microsoft已经为此发布了相应补丁。

　　2．4完善网络安全管理

　　IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供一个集中、方便、有效的工具。

　　3 IDS存在的不足

　　目前，IDS的不足之处主要集中在两个方面，即检测的准确性和有效性的缺乏。也就是误报率高。误报的产生大致有三种情况：第一，由于特征提取或者协议分析不全面，导致特征查找具有盲目性，过于轻率地作出判断。第二，规则设置过于宽泛，可疑网络行为或攻击尝试导致大量警报产生。第三，应用环境不匹配。除去第一种情况属于检测技术不成熟外，其他两种情况主要是配置问题，部分警报不但不是误报，对于有经验的管理员或者分析工具来说还具有积极意义；IDS的另一个关键性问题就是它的漏报。除去丢包因素可导致漏报以外，很多逃避IDS的攻击方法，如编码、分片、变换路径等都可以骗过IDS的检测。还有很多目前未知特征的复杂攻击，IDS很难通过实时分析全部检测出来，造成误报率的提高。

　　4发展趋势

　　由于IDS还存在着不足之处，因此以后的发展趋势有以下几点：

　　(1)对分析技术加以改进：采用当前的分析技术和模型，会产生大量的误报和漏报，难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后，可极大地提高检测效率和准确性，从而对真正的攻击做出反应。协议分析是目前最先进的检测技术，通过对数据包进行结构化协议分析来识别人侵企图和行为，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能；行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效等。

　　(2)增进对大流量网络的处理能力：随着网络流量的不断增长，对获得的数据进行实时分析的难度加大，这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。．

　　(3)向高度可集成性发展：集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包，当发现某台设备出现问题时，可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。

　　5结束语

　　IDS入侵检测系统在宣钢网络中实施部署后，对防火墙起到了有益补充的作用，做到了实时检测网络流量，监控各种网络行为，对违反安全策略的流量及时报警和防护，实现了从事前警告、事中防护到事后取证的一体化解决方案。