【IT168 报道】网络入侵检测系统（NIDS）正在成为任何一个严肃的网络保护战略中不可或缺的组成部分。但是，NIDS技术有时可能会过于准确。为数众多、规模庞大的安全攻击每天会生成数以千计的警报，因而很容易超出管理人员的承受能力。更糟糕的是，目前的安全检测技术不能有效地解决两个关键的问题：

• 攻击是否成功？
• 应当对攻击采取什么对策？

    这两个问题虽然看起来很简单，但是可能会导致最复杂的入侵检测技术完全失效。

    1. 攻击是否成功？
    典型的NIDS采取的方式主要是监控网络流量。这是提供广泛的网络监控的有效方法，但是它缺乏对于被攻击系统的关键可见度。因为入侵受保护的系统而遭遇失败的攻击在报告时将具有与成功的攻击相同的严重等级。

    这个问题在发生警报风暴时，甚至在日常的企业网络监控中都会表现得非常明显。NIDS会检测到多个针对多台主机的攻击。所有攻击都是真实的，即便很多系统并没有受到影响。管理员将利用他们的有限资源，确定需要深入调查哪些攻击。经常发生的情况是，被选择进行调查的攻击往往是失败的攻击，而成功的攻击却没有被纳入调查范围。这种方式可能会导致潜在的严重威胁被管理员所忽视。

    2. 应当对攻击采取什么对策？
    因为管理员的大部分时间往往都被用于调查错误的警报（失败的攻击），他们很少有机会对真正的威胁采取措施。在发现一个成功的攻击之前，被攻击系统上的一些关键证据可能会被更改，从而让管理员很难成功地对攻击事件采取对策。

    a. 创新的威胁响应技术
    利用创新的、关注于受攻击系统的入侵调查流程，集成了威胁响应技术的思科入侵检测系统可以准确地确定一个NIDS警报是否需要您加以关注。主要的紧急事件响应培训中心——包括SANS（系统管理、审察、网络和安全）协会和计算机安全协会（CSI）——都强调了对受攻击主机进行详细调查，以确定某种特定的攻击是否生效的重要性。思科威胁响应可以利用这些概念，用一种可重现、可预测的方法提供自动的全天候调查。

    思科威胁响应并不是一种关联技术。它并不会试图汇总防火墙、路由器、入侵检测和其他系统日志，也不会对您的网络设计进行假设。思科威胁响应技术关注的焦点是如何调查攻击的对象。思科威胁响应技术的设计核心是三个概念：集中聚焦，事先无须了解网络结构，以及没有远程代理。

    b. 集中聚焦
    思科威胁响应技术的焦点完全集中于监控您的NIDS和提供对于每个攻击的、完全自动的调查。因为只关注于NIDS警报，所以思科威胁响应技术可以提供最准确的警报，从而最大限度地降低警报个数。思科威胁响应技术的设计建立在完全自动的调查和详细的证据分析的基础之上。

    c. 事先无须了解网络结构
    除了需要保护的IP地址之外，思科威胁响应技术并不需要事先了解您的网络架构。现代网络往往是动态变化的实体，总是在不断地添加、移除和改动设备。思科威胁响应技术只会在您的系统中的任何一个受到攻击之后才感知您的系统的结构。通过进行这种及时的分析，思科威胁响应技术可以在不影响关键网络服务的情况下进行安全扫描。一个内置的缓存机制可以实时地存储相关的攻击和目标信息——从而有助于确保思科威胁响应技术可以在不对网络造成过度影响的情况下，迅速地做出反应。

    d. 没有远程代理
    与很多基于主机的入侵检测系统（HIDS）不同，思科威胁响应技术并不需要在它所保护的系统上部署远程代理。思科威胁响应技术可以利用现有的身份验证基础设施自动地完成所有的调查响应。这种功能可以最大限度地降低部署成本，确保可能不兼容的第三方代理不会对网络系统造成影响。所有系统都会获得相同等级的保护——无论它们在何时、何地，以何种方式加入网络。

    3. 威胁响应技术的工作流程
    今天，有数以千计的漏洞可用于攻击计算机系统。所有这些攻击都需要一种不同的调查和响应步骤。即时更新这些信息所需要的工作量是非常惊人，即使对于专业的安全人员来说也是如此。思科威胁响应技术产品采用了一组范围广泛、预先定义的调查步骤来确保可以迅速地分析每个被检测到的攻击。

    a. 多阶段分析
    思科威胁响应技术调查警报的方式和一位经验丰富的安全管理员所采用的方式相同。当思科威胁响应技术收到警报时，它会启动一个多阶段的分析流程来确定一个攻击是否成功。
    1. 目标操作系统或设备的危险性——思科威胁响应技术可以迅速地发送一个代理，实时地确定受攻击系统所运行的操作系统。根据这些信息，思科威胁响应技术可以确定目标系统是否容易遭受攻击。
    2. 补丁等级检查——思科威胁响应技术可以通过检查系统，确定是否已经针对所检测的攻击安装了正确的补丁。
    3. 详细的系统调查——思科威胁响应技术可以利用读取－访问权限来进行基于攻击类型的详细系统调查。调查内容包括：

• 分析注册表条目、系统和日志文件
• 搜索特定的文件和目录，以查找攻击线索
• 其他调查方法，以准确地确定攻击的成功或失败

    4. 搜集重要证据——如果确认了一次攻击，思科威胁响应技术将迅速采取行动，搜集重要的证据，并将这些信息复制到一个安全的地点，以供离线分析和防止篡改。

    5. 攻击确认通知——思科威胁响应技术会向系统管理员发送关于攻击性质的信息，关于调查方式的完整细节，以及所搜集的重要证据的复本。

    下面两个例子可以显示思科威胁响应技术的作用。第一个介绍了如何在不使用思科威胁响应技术的情况下处理一个常见的安全攻击（如图1所示），第二个显示的是如何用思科威胁响应技术处理同一个攻击（如图2所示）。在这两个例子中使用的安全攻击是由Nimda蠕虫发动的IIS Unicode攻击，攻击的对象是Microsoft IIS服务器。

    在图1中，NIDS检测到很多可能的攻击。必须记住，这些攻击都是真实的。在一个大型企业中，管理员可能会在很短的时间内面临数百个这样的警报。有限的安全人员应当怎样支配他们的时间？如果只使用一个NIDS，安全人员将很难把成功攻击所产生的警报和误报、失败攻击区分开来。IT安全人员必须手动调查每个警报，才能确保企业的安全。（或者他们可以选择需要调查的攻击警报，但是他们可能会选择错误的警报，从而导致企业安全面临威胁）。最后，IT人员无法有效、迅速地对真实的攻击采取措施。

    系统1：Linux主机

• 进行一次检查，确定被攻击系统的操作系统。
• - 攻击是否针对该操作系统？——否。
• 降低警报等级。

    系统2：Windows NT主机（已经安装补丁）

• 进行一次检查，确定被攻击系统的操作系统。
  - 攻击是否针对该操作系统？——是。
• 登陆该主机，检查是否已经安装了相应的服务包和补丁。
  - 系统是否安装了针对该攻击的补丁？——是。
• 降低警报等级。

    系统3：Windows NT主机（尚未安装补丁）

• 进行一次检查，确定被攻击系统的操作系统。
  - 攻击是否针对该操作系统？——是。
• 登陆该主机，检查是否已经安装了相应的服务包和补丁。
  - 系统是否安装了针对该攻击的补丁？——否。
• 检查相应的Web服务器日志，搜寻成功攻击的线索。
  - 是否发现成功攻击的线索？——是。
• 查找其他入侵线索。
  - 是否有遗漏文件或者其他证据？——是。
• 将搜集到的所有证据复制到中央命令控制服务器。
• 将攻击升级到危急状态，促使管理员立即对其采取措施。

    在不到五秒的时间里，思科威胁响应技术就能够对警报进行调查，并确定哪些攻击获得成功。为了迅速地采取补救措施，思科威胁响应技术还及时地从被攻击系统中搜集了重要的证据数据（例如日志文件），以防止入侵者篡改这些信息。

总结

    当监控现代的NIDS时，必须记住什么是最关键的问题：
    1. 攻击是否成功？
    2. 应当对攻击采取什么对策？

    思科威胁响应技术可以完满地解决这两个问题。思科威胁响应技术为管理人员提供了一种独特的机制，让他们可以实时、主动地调查和响应突发的安全事件。

    思科威胁响应技术可以充当一位经验丰富的安全分析人员的眼睛，检查和分析警报，进而迅速、有效、非介入地发现和隔离您的企业面临的实际威胁。它可以在保存重要证据的同时，让管理员将有限的资源集中用于消除迫在眉睫的威胁。总而言之，部署采用威胁响应技术的思科入侵检测系统可以帮助机构防止他们的联网企业资产受到安全威胁，提高入侵防范的效率。