启明星辰网络安全预警体系遏制“熊猫烧香”(1) 

三、IDS规模部署是实现预警的基础

在上述蠕虫病毒应急事件中，先期部署的预警体系发挥了极大作用，通过一个快速反应、运行良好的预警机制，可以在危机前兆阶段就将其消灭在萌芽状态，在事前->事中->事后3个阶段全面抑制蠕虫病毒的传播。而IDS的规模部署是实现预警的基础。

入侵检测系统（IDS）通常架设在网络重要节点与主机系统之上，可监测网络流量与内容、分析网络内的信息流动。

一谈到入侵检测系统，都会自然而然地想到防黑客入侵，但是防黑客只是IDS的功能之一，入侵检测系统是用来全面、实时了解网络动态的设备。通过对网络上数据的形态、内容、行为（包括合法的、不合法的）的全面监控，可以全面实时了解网络动态现状，对网络行为进行综合分析和预测，在第一时间对网络中的危害做出反应。

1. 加强IDS的管理功能

为了提高IDS的可用性，提高对应急响应体系的支持力度，一些主流的安全厂商着力加强了IDS的安全管理功能，提高对全局安全事件的管理能力。主要包括如下几个方面：

1) 分布式部署。分布式部署是入侵检测系统能够支持应急响应体系建设的基本要素，只有进行全网范围内的部署，才能发现整个网络中的安全问题，也才能够进行全网的应急响应。

2) 分级控制。对于大型网络来说，分布式部署的IDS对管理提出了更高的要求。为了有效管理众多的分布式探测引擎，主流IDS已经具备了三级以上的分级控制功能，各级控制中心一方面管理本地的探测引擎，另一方面作为上级IDS的子控，起到“上传下达”的作用。

3) 集中管理。以启明星辰公司天阗IDS为核心部署的入侵管理系统，有一个总控制中心，它连接分控制中心、网络探测引擎和主机探测引擎。通过策略下发机制，可使上级部门能够统一全网的安全防护策略；通过信息上传机制，可使上级部门能够及时了解和监控全网的安全状态。同时可以制定并下发全局安全事件管理策略，接收并显示全局网络安全态势。

2. 入侵检测系统对应急响应的支撑

入侵检测系统，可以在以下几个方面支撑应急响应体系的建设：

1) 建立全局预警体系，做到一点发现，全网皆知并及时响应。对于较大规模的网络系统，由于一种攻击从一个区域向其它区域渗透会有一定的延时，在这段延时期间内，入侵检测系统有能力将这种警报发布到尚未受攻击的区域中，以起到及时防范的作用。入侵检测系统不仅能发现局域网上发生的入侵事件，而且可以据此对整个网络做出有针对性的全局预警。

2) 联合多种安全设备，组成立体防御体系。利用入侵验证系统确认攻击结果，利用IP定位系统补充地址信息，与防火墙联动实时阻断非法连接，与漏洞扫描系统联动确认漏洞、降低误报率，以形成各个安全子系统协同工作的联合防御体系，是对应急响应的支持。

3) 全局网络安全态势的地图化显示。入侵检测系统采用拓扑发现和地址定位技术，与GIS显示系统相结合，以地图显示的方式实现安全事件的可视化，能够直观显示全局和各个结点的安全态势，并可及时定位攻击源。用户可以清晰地看到网络安全事件的源头或目标对象，不同地域的网络安全事件发生比例以及事件级别比例。天阗入侵检测系统的定位显示功能如图表3所示。

图表 3：天阗入侵检测系统安全事件定位显示