IDS入侵检测系统在宣钢网络中的部署

　　2 IDS系统的功能和作用

　　IDS系统在宣钢网络中部署启用之后，对网络的安全起到了积极的作用。

　　2．1能够识别黑客常用入侵与攻击手段

　　入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行人侵的第一步探测、收集网络及系统信息时，就会被IDS捕获，并向管理员发出警告。

　　例如：系统监测到的信息：Windows系统下MsBLAST(冲击波)蠕虫及其变种传播。这是蠕虫攻击，感染蠕虫的机器试图扫描感染网络上的其他主机，并在特定的时间对微软的更新站点发动拒绝服务攻击，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　解决办法：如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫病毒：

　　(1)点击左下角的“开始”菜单，选择“运行”，在其中键人“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast．exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。

　　(2)删除系统目录下的msblast.exe。

　　(3)点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除其下的“windows auto update”=“msblast.exe”

　　(4)重新启动系统。

　　截至目前为止，一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征，可以清除该蠕虫，请更新杀毒软件的病毒特征库进行查杀。

　　另外要预防蠕虫感染请及时安装MS03-026(http：//www．microsoft．com/technet/security/bul-letin/MS03-026.asp)的安全更新。就是及时给自己机器的系统打补丁，宣钢的网络用户可以随时到宣钢内网自动补丁机上打补丁，也可以登录到Microsoft的网站上进行自动更新。

　　2．2监控网络异常通信

　　IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性，任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。例如：我们在IDS的规则库中增加了法轮功等一系列不良词语，当用户浏览的网页中出现这样的字眼时，IDS会立即做出报警。

　　2．3能够鉴别对系统漏洞及后门的利用

　　IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效发现网络通信中针对系统漏洞进行的非法行为。

　　例如：系统监测到的信息：口重叠分片包Teardrop拒绝服务攻击。这是一种畸形攻击，相关漏洞是多家厂商系统TCP/IP实现Teardrop拒绝服务攻击漏洞。远程攻击者可以利用此漏洞对服务器进行拒绝服务攻击，造成主机死机或崩溃。解决办法就是立刻安装补丁或者系统升级。Microsoft已经为此发布了相应补丁。

　　2．4完善网络安全管理

　　IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供一个集中、方便、有效的工具。

　　3 IDS存在的不足

　　目前，IDS的不足之处主要集中在两个方面，即检测的准确性和有效性的缺乏。也就是误报率高。误报的产生大致有三种情况：第一，由于特征提取或者协议分析不全面，导致特征查找具有盲目性，过于轻率地作出判断。第二，规则设置过于宽泛，可疑网络行为或攻击尝试导致大量警报产生。第三，应用环境不匹配。除去第一种情况属于检测技术不成熟外，其他两种情况主要是配置问题，部分警报不但不是误报，对于有经验的管理员或者分析工具来说还具有积极意义；IDS的另一个关键性问题就是它的漏报。除去丢包因素可导致漏报以外，很多逃避IDS的攻击方法，如编码、分片、变换路径等都可以骗过IDS的检测。还有很多目前未知特征的复杂攻击，IDS很难通过实时分析全部检测出来，造成误报率的提高。

　　4发展趋势

　　由于IDS还存在着不足之处，因此以后的发展趋势有以下几点：

　　(1)对分析技术加以改进：采用当前的分析技术和模型，会产生大量的误报和漏报，难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后，可极大地提高检测效率和准确性，从而对真正的攻击做出反应。协议分析是目前最先进的检测技术，通过对数据包进行结构化协议分析来识别人侵企图和行为，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能；行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效等。

　　(2)增进对大流量网络的处理能力：随着网络流量的不断增长，对获得的数据进行实时分析的难度加大，这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。．

　　(3)向高度可集成性发展：集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包，当发现某台设备出现问题时，可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。

　　5结束语

　　IDS入侵检测系统在宣钢网络中实施部署后，对防火墙起到了有益补充的作用，做到了实时检测网络流量，监控各种网络行为，对违反安全策略的流量及时报警和防护，实现了从事前警告、事中防护到事后取证的一体化解决方案。