作者:顾建新等
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
下一代互联网入侵防御产品原理与应用试读:
前言
与防火墙、入侵检测系统等产品比较起来,入侵防御系统是一种能防御防火墙所不能防御的深层入侵威胁的在线部署网络安全产品,因此入侵防御系统被认为是防火墙之后的第二道安全闸门。
随着互联网技术的飞速发展,尤其是基于IPv6技术的下一代互联网技术的迅速发展,新型网络环境下的攻击事件孕育而生,抵御网络攻击、保护网络安全,对传统的网络安全产品提出了新的要求。
IPv6的安全威胁与IPv4相比是完全不同的,安全性策略是一项很重要的基本组成部分,基于IPv6的入侵防御系统成为了众多安全策略中的一种非常重要的解决方案。为了适应下一代互联网的发展需求,以及更好地应对新一代威胁的挑战,入侵防御系统必须进行全新的设计以应对和适应下一代互联网的应用及安全需求,从数据包高速捕获、数据负载均衡、模式匹配、硬件设计、协议栈处理等方面优化对IPv6报文的处理性能,支持IPv6/IPv4双栈、纯IPv6等多种IPv6应用环境,并充分发挥IPv6的性能优势,适应未来网络带宽高速增长情况下的网络转发能力。
本书作为信息安全产品系列丛书之一,在下一代互联网入侵防御系统产品的发展历程、关键技术、实现原理、技术标准、典型应用等几大方面均进行了翔实的描述。与此同时,本书突出了下一代互联网IPv6的特性,收集了许多实际数据与案例,期望能够对读者了解入侵防御系统产品的安全防护技术和标准提供一定的帮助。
本书的主要编写成员均来自公安部计算机信息系统安全产品质量监督检验中心,常年从事入侵防御系统等信息安全产品的测评工作,对入侵防御系统有着深入的研究。本书的作者牵头组织和参与了下一代互联网入侵防御系统产品标准从规范、行标到国标制修订的全部工作。因此,本书在标准介绍和描述方面具有一定的权威性。
本书由顾健作为丛书主编负责把握全书技术方向,第 1 章主要由顾建新撰写,第2章主要由张艳、沈亮撰写,第3章主要由沈亮、陆臻撰写,第4、5章主要由顾建新、张艳撰写。此外,王志佳、俞优、杨元原等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限和时间紧迫,本书不足之处在所难免,恳请各位专家和读者不吝批评指正。
本书的编写受到了国家发改委信息安全专项“下一代互联网信息安全专项标准研制”项目(发改高技〔2012〕1615号)的资金支持。
本书在编写过程中,得到了华为技术有限公司、北京神州绿盟信息安全科技股份有限公司、东软集团股份有限公司、启明星辰信息技术有限公司、网神信息技术(北京)股份有限公司等的大力协助,在此表示衷心的感谢!第1章 综述
互联网正以惊人的速度改变着人们的生活方式和工作效率。从商业机构到个人都将越来越多地通过互联网处理银行事务、发送电子邮件、购物、炒股和办公。这无疑给社会、企业乃至个人带来前所未有的便利,所有这一切都得益于互联网的开放性和匿名性特征。然而,正是这些特征也决定了互联网不可避免地存在着信息安全隐患。网络安全所包含的范围很广:我们日常上网时碰到的邮件病毒、QQ密码被盗,大一点的如一个企业或政府的网站被黑,数据内容被篡改,更大的乃至一个国家的国防、军事信息泄露或被截获等。所有这些都属于网络安全所研究讨论的范畴。
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。随着信息业的发展,信息安全也应运而生,信息安全的概念在20世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入 21 世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,构成了中国信息安全产业的主要支柱。1.1 网络信息安全背景
信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字,斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是使用加密函的古代将领之一,“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统,它是一种替代密码,通过将字母按顺序推后 3 位起到加密作用,如将字母 A 换作字母 D,将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了德国海军的 Enigma 密电码,改变了第二次世界大战的进程。美国NIST将信息安全控制分为三类:(1)技术,包括产品和过程(如防火墙、防病毒、入侵检测、加密技术)。(2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物理进入控制、备份能力、免于环境威胁的保护。(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
1.网络安全威胁的类型
网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间而变化。网络安全威胁的种类有:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。
2.网络安全机制应具有的功能
采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必需的。一个网络安全系统应有如下的功能:身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。
3.网络信息安全常用技术
通常保障网络信息安全的方法有两大类:以防火墙(Firewall)技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。
1)防火墙技术
防火墙安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤防火墙)、应用级网关、电路级网关和规则检查防火墙。(1)网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符,如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包;其次,通过定义基于 TCP 或 UDP 数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。(2)应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet 时,经常会发现存在延迟并且必须进行多次登录才能访问Internet或Intranet。(3)电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中的会话层上来过滤数据包,这样比包过滤防火墙要高二层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如Trust Information Systems公司的Gauntlet Internet Firewall、DEC公司的Alta Vista Firewall等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是个防火墙,在其上运行一个叫作“地址转移”的进程,将所有内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它无法检查应用层级的数据包。(4)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,能够在OSI网络层上通过IP地址和端口号过滤进出的数据包。它也像电路级网关一样,能够检查SYN、ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合受保护网络的安全规则。
2)数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人都可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息,典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
3)入侵检测技术
入侵检测技术是指“通过对行为、安全日志、审计数据、其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测系统(Intrusion Detection System,IDS)是可以对计算机和网络资源的恶意使用行为进行识别的系统,包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术,能够实现入侵检测的软件与硬件的组合便是入侵检测系统。
4)防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台 PC 上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,应通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减少一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
随着网络的发展、技术的进步,网络安全面临的挑战也在增大。一方面,对网络的攻击方式层出不穷,攻击方式的增加意味着对网络威胁的增大。另一方面,网络应用范围的不断扩大,使人们对网络依赖的程度增大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这对网络信息安全保护提出了更高的要求,也使网络信息安全学科的地位越发显得重要,网络信息安全必然随着网络应用的发展而不断发展。1.2 入侵防御的必要性1.2.1 典型的黑客攻击过程
现在,黑客攻击事件频发,对于网络安全管理人员来说,成功防御的基础就是要了解“敌人”,就像防御工事必须进行总体规划一样,网络安全管理人员必须了解黑客的工具和技术,并利用这些知识来设计应对各种攻击的网络防御框架。不管是信息篡改、大流量攻击还是信息窃取,黑客对目标系统实施攻击的流程大致相同,主要包含五个步骤:搜索、扫描、获得权限、保持连接、消除痕迹。(1)搜索
搜索可能是耗费时间最长的阶段,有时可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多地了解企业类型和工作模式,包括互联网搜索、社会工程、垃圾数据搜寻、域名管理/搜索服务、非侵入性的网络扫描等。
这些类型的活动由于处于搜索阶段,所以属于很难防范的。很多公司提供的信息都很容易在网络上找到,员工也往往会受到欺骗而无意中提供了相应的信息,随着时间的推移,公司的组织结构及潜在的漏洞就会被发现,整个黑客攻击的准备过程就逐渐完成了。不过,这里也提供了一些你可以选择的保护措施,可以让黑客攻击的准备工作变得更加困难,主要是确保系统勿将信息泄露到网络上,包括软件版本和补丁级别、电子邮件地址、关键人员的姓名和职务,确保纸质信息得到妥善处理,接受域名注册查询时提供通用的联系信息,禁止对来自周边局域网/广域网设备的扫描企图进行回应。(2)扫描
一旦攻击者对公司网络的具体情况有了足够的了解,就会开始对周边和内部网络设备进行扫描,以寻找潜在的漏洞,包括:开放的端口和应用服务、包括操作系统在内的应用漏洞、保护性较差的数据传输、每一台局域网/广域网设备的品牌和型号。
在扫描周边和内部设备的时候,网络入侵检测/防御系统可以发挥有效的报警/阻断作用,但某些资深的老牌黑客有可能绕过这些防护措施。为了更好地抵御黑客扫描,网络安全管理员应关闭所有不必要的端口和服务;对于关键设备或处理敏感信息的设备,只容许响应经过核准设备的请求;加强管理系统的控制,禁止直接访问外部服务器,在特殊情况下需要访问时,也应该在访问控制列表中进行端到端连接的控制;确保局域网/广域网系统及端点的补丁级别是足够安全的。(3)获得权限
攻击者获得了连接的权限就意味着实际攻击已经开始。通常情况下,攻击者选择的目标是可以为攻击者提供有用信息,或者可以作为攻击其他目标的起点。在这两种情况下,攻击者都必须取得一台或多台网络设备某种类型的访问权限。(4)保持连接
为了保证攻击的顺利完成,攻击者必须保持连接的时间足够长,虽然攻击者能够到达这一阶段意味着已经成功地规避了系统的安全控制措施,但对于入侵检测/防御设备来说,除了对入侵行为进行检测报警外,还可以进行有效的阻断拦截,主要包括:
➢ 对通过外部网站或内部设备传输的文件内容进行检测和过滤;
➢ 对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止;
➢ 寻找连接到多个端口或非标准的协议;
➢ 寻找不符合常规的连接参数和内容;
➢ 检测异常网络或服务器的行为,特别需要关注的是时间间隔等参数。(5)消除痕迹
在实现攻击的目的后,攻击者通常会采取各种措施来隐藏入侵的痕迹并为今后可能的访问留下控制权限。因此,关注反恶意软件、个人防火墙和基于主机的入侵检测解决方案,禁止商业用户使用本地系统管理员的权限访问台式机,在任何不寻常活动出现时发出警告,所有这一切操作的制定都依赖于安全管理员对整个网络系统情况的了解。1.2.2 主动防御的必要性
随着网络的发展,网络安全的需求越来越高。虽然防火墙保持了基于策略的第一道防线的角色,但是网络应用更多的转变为 Web 2.0 技术,传统的被动入侵检测方式已经无法满足现在的防御需求,因此需要网络安全系统的攻击检测能力聚焦在内容上,进一步实现对网络入侵行为的主动防御。
网络安全主动防御技术就是在增强和保证本地网络安全性的同时,及时发现正在进行的网络攻击,预测和识别未知攻击,并采取各种措施使攻击者不能达到其目的所使用的各种方法与技术。主动防御是一种前摄性防御,由于一些防御措施的实施,使攻击者无法完成对目标的攻击,或者使系统能够在无须人为被动响应的情况下预防安全事件。主动防御一直是这几年网络安全防护技术的研究重心。
随着网络攻击技术的不断发展,网络攻击呈现出了一些新的趋势。网络攻击自动化,由于大量的网络自动化攻击工具的出现,网络攻击的技术门槛大大降低,现在的网络攻击不再是技术手段高明的黑客们的专利,而是变得越来越平民化;网络攻击智能化,攻击工具编写者采用了比以前更加先进的技术,越来越难以通过基于特征码的检测系统发现攻击行为,有许多攻击行为都利用了传统防护技术的固有弱点,体现出了很高的智能性;攻击手段多样化,新的攻击手段被不断地开发利用,利用漏洞进行的网络攻击更是层出不穷,只要有漏洞被发现,就会出现相应的攻击方法,随着漏洞不断地被发现,网络攻击也会相应地增加。
主动防御主要是针对传统的被动防御而言的,传统的网络安全防御技术主要是采用诸如防火墙、入侵检测、防病毒网关、漏洞扫描、灾难恢复等手段,它们都存在一些共同的缺点。一是防护能力是静态的,传统防御完全依靠网络管理员对设备的人工配置来实现,难以应对当前越来越多的、技术手段越来越高的网络入侵事件;二是防护具有很大的被动性,采用传统的防御技术只能被动地接受入侵者的每一次攻击,而不能对入侵者实施任何影响;三是不能识别新的网络攻击,传统防御技术大多依靠基于特征库的检测技术,这就使网络防御始终落后于网络攻击,难以从根本上解决网络安全问题。
主动防御技术作为一种新的对抗网络攻击的技术,它采用了完全不同于传统防御手段的防御思想和技术,克服了传统被动防御的不足。主动防御技术的优势主要体现在以下几个方面:一是主动防御可以预测未来的攻击形势,检测未知的攻击,从根本上改变以往防御落后于攻击的不利局面;二是具有自学习的功能,可以实现对网络安全防御系统进行动态的加固;三是主动防御系统能够对网络进行监控,对检测到的网络攻击进行实时响应。这种响应包括牵制和转移黑客的攻击,对黑客入侵方法进行技术分析,对网络入侵进行取证,对入侵者进行跟踪甚至进行反击等。
主动防御不仅仅是一种技术,而是由多种能够实现网络安全主动防御功能的技术所组成的一个技术体系,并且通过合理运用这些技术,把它们有机地结合起来,相互协调、相互补充,最终实现完备的网络安全保护。主动防御是在保证和增强基本网络安全的基础之上实施的,以传统网络安全保护为前提,除了包含传统的防护技术和检测技术以外,还包括入侵预测技术和入侵响应技术等。
基本的防护是实施主动防御的基础,在此基础上,检测和预测又为响应提供保障,响应是主动防御的主要体现,通过对安全事件的主动响应,可以促进检测与预测技术的发展,并且能够将响应结果反馈给防护系统,实现整个主动防御体系防护能力的动态增强。
防护技术是主动防御技术体系的基础,与传统防御基本相同,主要包括边界控制、身份认证、病毒网关和漏洞扫描等。最主要的防护措施包括:防火墙、VPN等。其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。而以VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏。在主动防御体系中,防护技术通过与检测技术、预测技术和响应技术的协调配合,使系统防护始终处于一种动态的进化当中,实现对系统防护策略的自动配置,系统的防护水平会不断地得到加强。
在主动防御中,检测是预测的基础,是响应的前提条件,是在系统防护基础上对网络攻击和入侵的后验感知,检测技术起着承前启后的作用。目前,入侵检测技术主要包括两类:一是基于异常的检测方法,这种检测方法是根据是否存在异常行为来达到检测目的的,所以它能有效地检测出未知的入侵行为,漏报率较低,但是由于难以准确地定义正常的操作特征,所以导致误报率很高;二是基于误用的检测方法,这种检测方法的缺点是依赖于特征库,只能检测出已知的入侵行为,不能检测未知攻击,导致漏报率较高,但误报率较低。
对网络入侵的预测功能是主动防御区别于传统防御的一个明显特征。入侵预测体现了主动防御的重要特点:在网络攻击发生前预测攻击信息,取得系统防护的主动权。这是一个新的网络安全研究领域,与后验的检测不同,入侵预测在攻击发生前预测将要发生的入侵和安全趋势,为信息系统的防护和响应提供线索,争取宝贵的响应时间。
目前,对于入侵预测主要有两种不同的方法。一是基于安全事件的预测方法,根据入侵事件发生的历史规律性,预测将来一段时间的安全趋势,它能够对中长期的安全趋势和已知攻击进行预测;二是基于流量检测的预测方法,它根据攻击的发生或发展对网络流量的统计特征的影响来预测攻击的发生和发展趋势,它能够对短期安全趋势和未知攻击进行预测。
对网络入侵进行实时响应是主动防御与传统防御的本质区别。入侵响应是主动防御技术在网络入侵防护中主动性的具体体现,用来对检测到的入侵事件进行处理,并将处理结果返回给系统,从而进一步提高系统的防护能力,或者对入侵行为实施主动的影响。主要的入侵响应技术有以下几种:(1)入侵追踪技术
入侵追踪技术是确定攻击源精确位置或近似区域的技术,在受保护网络中重建攻击者的攻击路径。研究较多的主要包括入口过滤技术、链路测试技术、路由器日志技术、ICMP回溯技术和包标记技术等。(2)攻击吸收与转移技术
特殊情况下,如果在检测到攻击发生时直接切断连接,就不能进一步观察攻击者的后续动作,这对收集攻击的信息不利。攻击吸收和转移技术能在秒级时间将攻击包吸收到诱骗系统,这样既可以在不切断与攻击者连接的同时保护主机服务,又可以对入侵行为进行研究。(3)蜜罐技术
蜜罐技术是一种具有主动性的入侵响应技术,它通过设置一个与应用系统类似的操作环境,诱骗攻击者,记录入侵过程、及时获取攻击信息,对攻击进行深入分析,提取入侵特征。它提供了一种动态识别未知攻击的方法,将捕获的未知攻击信息反馈给防护系统,实现防护能力的动态提升。(4)取证技术
取证技术是借助法律手段来解决网络安全问题的基础。通过对网络入侵行为进行记录和还原,借助法律的威慑力来对入侵者施加压力,致使入侵者不敢轻易进行入侵。取证技术的难点是如何保证电子证据的完整性,使其具有法律效力。(5)自动反击技术
自动反击技术是最具主动性的响应技术,它通过建立入侵反击行为库来实现对网络入侵行为的自动反击。入侵反击也是最具危险性的,因为必须要保证反击对象的正确性,这是建立在对入侵者准确定位的基础之上的,而对原始入侵者的准确定位也是比较难的。1.2.3 入侵防御过程
对攻击的防御方案可以分为以下几个级别:(1)传统方案
第一个级别是传统地使用防火墙进行安全防护,如图1-1所示。图1-1 传统防御方案拓扑图
防火墙串联在内部网络和外部网络之前,提供访问控制、区域隔离、NAT等网络层安全功能,防火墙作为网络安全的一道基础闸门,对防御黑客发挥了底层的功能,但随着攻击层次越来越高,超过 70%的应用层攻击防火墙无法拦截,防火墙在应用层乃至更高的“内容层”的防范表现出明显的局限性。(2)联动方案
第二个级别是使用入侵检测系统和防火墙进行联动,如图1-2所示。图1-2 联动防御方案拓扑图
通过部署 IDS,可以有效地检测和告警入侵事件,但由于 IDS 传感器是旁路部署设备,具备无法阻断无连接攻击、阻断有连接攻击存在滞后性等缺点。通过和防火墙联动,在检测出攻击时,入侵检测产品将攻击源的信息反馈给防火墙,防火墙将攻击者的地址添加到黑名单中,动态生成新的规则,以防止后续攻击,使防护和监控能够互联互动。
使用防火墙和IDS联动在很大程度上提高了网络的安全性,具备从网络层到应用层的全面安全检测和防御能力,但是仍然存在着缺陷,主要有以下两点:
➢ 防火墙和IDS联动没有标准的协议,联动协议基本都是厂家的私有协议,开发性和兼容性不够好;
➢ 联动方案仍然存在滞后性,存在着攻击提前放行的情景。(3)IPS方案
第三个级别是IPS在线部署方案,如图1-3所示。图1-3 IPS防御方案拓扑图
IPS设备串接部署在网络系统中,对网络流量进行深度检测分析,检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续攻击数据包,都能在IPS设备中被清洗掉。IPS是目前最先进的入侵防御方案,可以做到实时检测、实时清洗、实时防御,能够真正做到“防御在入侵那一刻”。1.2.4 入侵防御系统的优势
入侵防御系统(Intrusion Prevention System,IPS)产品发展到今天,在信息安全中已经有了明显的特点和优势,主要体现在如下几个方面。(1)更细粒度的应用控制
过去,传统网络防护采用 all-or-nothing 方式来阻断高危事件。随着应用和Web技术的功能变化,这种方式不再有效。
现在很多信息技术已经不再使用标准的服务端口,如 HTTP 的端口 80、HTTPS 的端口 443,单纯依靠端口来阻止已经达不到效果了。因为今天的网络太多的内容是以应用为中心,网络防御必须了解特定的应用程序的行为、用户如何与应用程序进行交互,才能定义和执行相应的安全政策。这就要求网络防御必须依靠多种来源的情报:特定的应用意识、用户权限和活动、访问连接、违反政策的行为或可疑的异常行为等。
例如,外部或第三方社交应用程序可以接受市场营销或公共关系人员的访问,通过一个单独的账户,高度特权访问敏感资产时,可能会带来如侵犯知识产权或对关键基础设施的控制风险。这样的应用有时会向恶意用户公开内容而带来风险,如果不是通过恶意网站或应用来攻击用户,就可以用来攻击企业。网络防护可以结合威胁情报应用识别和用户识别来使企业更好地抵御当今面临的广泛威胁。(2)出方向和入方向
来自外部的威胁并不是企业面临的唯一风险,企业还必须处理来源于企业内部各分支机构的风险。
即使合法的网站和应用也经常有漏洞,这会被攻击者利用做成恶意的程序诱导用户,导致用户高价值信息被窃取,或利用他们的访问证书;准许连接到合法网站和应用会导致违反安全或监管策略的个人共享敏感数据,这样的共享虽可能不是故意的,但敏感信息无意中就可能已经被泄露,事实上,这也是更常见的一种风险。
应用识别对于抵御更多网络安全的出口控制风险可能有更大的价值。例如,P2P 和聊天应用软件(如 Skype 或即时消息)可能会被授权用于商业目的,但是这些使用应用传输文件进出企业系统,网络防护就需要具备应用识别来控制这些应用的能力。(3)进一步整合安全情报
前面的例子说明整合处理网络安全问题的具体类型有着很大的价值,随着数据集成和分析技术的出现,整合各类信息对下一代网络防护将发挥越来越大的作用。
现在许多企业认识到需要在网络安全措施上使用更多的技巧。企业不单只是聚焦在检测和阻止进入网络的内容,就好像大学,不应该只满足一种需求,更应该鼓励发展新的自由探索。对于同一个网站,计算机科学家可能使用得很好,安全意识比较强,而普通学生访问同样的网站,则有可能会带来风险。对诸如此类的访问行为需要有效地区分出来,才能更好地提供防护效果。
移动设备使用日益增多,给移动环境下的防护也带来了挑战,针对移动智能终端的无线应用已成为下一代网络防护的另一个趋势。
在医疗领域,企业越来越意识到自己被暴露于未经授权的访问所带来的风险。外部风险包括从试图窃取或利用个人健康和财务记录的敏感信息,到控制关系生命安全的关键系统。内部风险包括IT资源在授权和未经授权的当事人之间的滥用,尤其在医疗保健系统可以广泛地接触到患者、访客、服务提供商,如支付清算网络或其他第三方因素等。
许多技术还很新,对可能会带来哪些风险还尚未了解清楚,但这正是下一代网络安全防御措施的工作内容。应通过更细粒度的控制应用和技术,为下一代网络提高安全防御措施、降低威胁风险。1.3 入侵防御系统的相关概念1.3.1 入侵防御系统的分类
入侵防御系统按照检测数据的采集来源可以分为网络入侵防御系统和主机入侵防御系统;按照实现技术可以分为特征检测和异常检测。
网络入侵防御系统作为网络之间或网络组成部分之间的独立硬件设备,通过对过往数据包进行深层检查,然后确定是否放行。网络入侵防御系统借助攻击特征和异常协议,阻止有害代码传播。网络入侵防御系统还能够对可疑代码的回答进行跟踪和标记,然后看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。主机入侵防御IPS系统通过监视正常程序,如Internet Explorer、Outlook 等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,它不需要求助于已知病毒特征和事先设定的安全规则;主机入侵防御系统能使大部分钻空子行为无法得逞。主机入侵防御系统一般是基于代理的,即需要在被保护的系统上安装一个程序,用于保护关键应用的服务器,提供对典型应用的监视。
特征检测的原理是假设入侵活动可以用一些特征来表示,系统的目标是检测主体活动是否符合这些特征模式;特征检测的优点是可以准确检测出已有的攻击行为,缺点是对新的攻击行为无能为力;特征检测最常用的方法是模式匹配。异常检测(也有文献称误用检测)的原理是假设入侵活动异常于主体的正常活动,先建立主体正常活动的轨迹,将待检测主体的活动状况与正常活动轨迹做比较,如果违反正常活动轨迹,则认为该活动可能是攻击行为,即如果不符合“正常”则认为是“异常”;异常检测的难度在于如何建立正常活动轨迹;异常检测的优点在于可以发现未知攻击行为,缺点是常常会误报。1.3.2 入侵防御系统的主要功能(1)实时监视和拦截攻击
实时主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DoS 等恶意流量,保护企业信息系统和网络结构免受侵害,防止操作系统和应用程序损坏或宕机。(2)虚拟补丁
基础系统漏洞主要指的是操作系统的基本服务或主流服务器软件的漏洞。只有特定纹路的钥匙才能打开一个锁,只有特定“特征”的攻击才能攻陷一个漏洞。采用基于漏洞存在检测技术的引擎,通过检测攻击的特征,能够有效地对抗经过特殊设计的躲避技术,做到“零”误报,从而达到给受保护的操作系统和服务器软件安装“虚拟补丁”的效果。(3)保护客户端
现今主流的攻击很多是面向客户端程序的,浏览器、可编辑文档、多媒体是重中之重,客户端防护的薄弱使大量的PC被黑客控制成为僵尸,PC上的重要信息(银行账户、网络密码等)也被窃取。引擎根据协议与文件格式来做深入解析,可以检测被编码或压缩的内容,如GZIP、UTF等;解析过程中,自动跳过与威胁无关的部分,为用户提供浏览器及其插件(Java、ActiveX等)的安全防护,检测PDF、Word、Flash、AVI等文件中的攻击代码和可能的木马、蠕虫及对操作系统的攻击,保障Web浏览和应用的安全。(4)协议异常检测
黑客通常利用网络上很多应用服务器设计中的不完善、对协议中的异常情况考虑不足的弱点对服务器加以攻击。通过向服务器发送非标准或者缓冲区溢出的通信数据,进而夺取服务器控制权或者造成服务器宕机。协议解析引擎对网络报文进行深度协议分析,对于那些违背RFC规定的行为,或者对于明显过长的字段、明显不合理的协议交互顺序、异常的应用协议的各个参数等信息进行识别。协议异常检测覆盖的协议有:HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等30多种常用协议;同时,引擎把内容层面如XML页面和PDF文件等也看作一种“协议”,如果遇到异常的文件结构,也会认为是一种协议异常,通过这种方法,分析出潜藏在文件内容中的缓冲区异常攻击或者脚本攻击等入侵行为。(5)Web应用防护
相比传统被动的基于静态签名的防病毒和入侵防御技术,入侵防御系统产品采用了积极的安全模式来确保执行正确的应用行为,不靠攻击特征符或模式匹配技术就能识别“好”的应用行为,并阻止任何背离了正确应用活动的恶意行为,能够在威胁到达终端之前就采取拦截动作。网络智能防护的核心是一个多层次的安全引擎,分析威胁从网络到达最终用户计算机的整个过程,具备深层次的协议和隧道的分析能力,使得它能够在复杂的Web 2.0的交互中检测威胁。(6)流量安全防护
入侵防御系统应具备从网络层到应用层的 DDoS 攻击检测能力,可以在拒绝攻击发生或短时间内大规模爆发的病毒导致网络流量激增时,能自动发现并检测异常流量,提醒管理员即时应对,保护路由器、交换机、VoIP系统、DNS、Web服务器等网络基础设施免遭各种拒绝服务攻击,保证关键业务的通畅。(7)应用识别和控制
入侵防御系统能全面监测和管理IM即时通信、网络游戏、在线视频及在线炒股等网络行为,协助企业辨识和限制非授权网络行为,更好地执行企业的安全策略,保障员工的工作效率,采用细致带宽分配策略限制 P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度。(8)IPv6及隧道检测
入侵防御系统同时支持 IPv6/IPv4 双栈的漏洞防护,支持 IPv6、IPv6 over IPv4、IPv6和IPv4混合网络的应用层攻击防护,以及DDoS流量异常攻击防护,能够完全适应IPv6环境及过渡期网络环境。同时,系统还支持对VLAN 802.1Q、MPLS、IPSec及GRE等隧道的流量分析和处理,能够对流量进行识别并且解析出内层报文进行检测,从而适应各种复杂的网络。(9)策略管理
入侵防御系统采用灵活的策略配置和管理方式,内置多种威胁防护策略模板,可以适用于大多数用户常见场景。各种功能的策略可以任意组合并且结合流量包过滤条件,可以对网络流量检测和控制进行细粒度的配置。
对于发现的攻击,系统提供多种响应方式供用户选择,如Syslog日志、SNMP Trap告警、即时阻断会话、IP地址隔离、和防火墙进行联动、攻击报文抓取回放以及声音、邮件、短信告警的方式。(10)知识库和引擎升级
入侵防御系统可以即时升级,实时捕获最新的攻击、蠕虫病毒、木马等,提取威胁的签名,发现威胁的趋势。能够在最短时间内获取最新的签名,及时升级检测引擎,从而具备防御零日攻击的能力。
签名库定期升级,特殊情况下可即时进行升级。为满足设备在各种应用环境下的灵活部署,支持多种升级方式。
自动定时升级:不需要用户干预操作,适用于能连接到升级服务器的设备。如果需要确认新下载的签名库是否安全可用,可以采用确认机制,定时下载新版本,确认后再应用。
实时升级:更新及时,能第一时间对新产生的攻击进行防御。即当有新版本发布,但未到自动升级时间的情况,可以手工进行定时升级,优点是实时性高,且能立刻知道升级结果。
本地升级:当设备无法与升级服务器建立连接或者需要将版本回退到较早之前的一个版本时,可采用本地升级,人工从升级网站下载最新的特征库文件,然后将这个文件导入到设备并加载,将版本切换到本地升级指定的版本。
版本回退:可回退到上一个正常应用的版本。如果发现当前版本可能误报率较高、检测率较低或者有其他不合理的因素,可将版本回退到上一个正常应用的版本。
内网升级:一些大的企业可能购置多台入侵防御系统,严格的网络管理策略要求这些设备不直接和互联网相连,或者不允许每台设备独立连接升级服务器进行升级。这时,可以采用内网升级方案。(11)设备集中管理环境
随着设备的逐渐增多,安全管理的复杂性大大增加,设备的集中管理软件为用户提供设备集中配置管理的功能,能够全面实现安全策略的配置和用户业务的管理,减轻用户的维护工作量,保障用户投资。集中管理软件采用 B/S 架构,在控制台通过浏览器进行访问,支持多用户同时操作,能适应复杂、大型网络的管理需求,采用图形化的配置、维护界面,可以通过直观的Web配置界面完成对大部分设备的业务配置。
软件的集中管理功能主要体现在设备管理、故障监控、策略管理、系统监控及日志和报表管理等几个方面。
集中管理软件可自动识别设备类型和型号,同时对全网所有设备进行管理,完成设备的差异性适配,自动获取设备的实体数据,包括机框、单板、电源、风扇、端口、温度、CPU占用率、内存占用率等,支持实体数据的刷新和实体状态的监控,确保维护人员对设备状态一目了然。支持设备的单点配置,将设备内嵌的Web配置集成到集中管理软件界面,用户单击进行连接。(12)故障监控
集中管理软件可以对网络中的异常运行情况进行实时监视,通过告警统计、定位、提示、重定义、告警远程通知等手段,便于网络管理员及时采取措施,恢复网络正常运行,对于管理员已经处理过的告警可以进行标识,便于区分。
系统提供浏览告警信息、告警查询功能,并且可以将常用查询条件保存为告警查询模板。针对大量的告警信息,系统支持按照设置的统计条件(告警名称、告警级别、告警功能分类、告警发生时间、告警状态等)对告警信息进行统计,使用户可以快速了解告警发生的情况。
为了避免大量的冗余信息,集中管理软件上支持设置告警屏蔽功能,根据设置的屏蔽条件,可以对不重要的告警进行屏蔽,既不显示,也不保存。(13)策略管理
集中管理软件需要从全局角度对所有设备实现集中管理、集中制定安全策略,当分支机构较多时,可以采用统一的安全策略和统一监控,避免下属机构各自定制安全策略,引发网络混乱。用户只需要一次性定义一条策略,然后将其部署到多台设备中。对于设备升级的场景,集中管理环境支持集中部署在线升级策略,并且可以进行全网设备的集中本地升级。
系统提供设备策略发现功能,可以将现有设备的配置发现用管理软件进行管理;提供策略部署成功、失败、审计不一致、设备命令变更的状态,对设备配置现状一目了然。
用户的管理域和权限管理对于安全管理是至关重要的,入侵防御集中管理软件除了预置常用的管理员、操作员、审计员用户组外,还支持用户根据实际情况创建自己需要的用户组并设置相应的管理和操作权限。根据用户的权限,在操作界面上,不可管理的设备和界面区域是不可见的,从而实现用户的分级管理,保证安全性。(14)系统监控
入侵防御集中管理软件的系统管理功能主要是对管理软件本身的系统进行维护和管理,而不是对设备的管理。除了对软件自身的安全操作事件进行监控外,还包括日志管理、数据库管理、通信参数管理等内容。系统监控的功能需要能够监控系统或进程的启动/停止服务,进行通信模式设置,提供工具实现自身的进程、内存占用率、CPU使用率、硬盘空间情况监控,一旦超过设置的阈值,即可产生告警。
为保证数据安全,应定期进行数据库的备份。入侵防御系统的数据库备份管理系统提供统一的数据库备份与恢复工具,以减轻网管维护数据库的难度。集中管理软件支持数据库的转储功能,转储数据库中的数据包括操作日志、安全日志、告警数据、事件数据及多种性能事件。用户可以选择启动手工转储,或者设置溢出转储或周期转储的方式。(15)日志和报表
作为安全产品,日志和报表的展现具有重要的用户价值,通过日志和报表,用户可以及时掌握网络状况,对网络的流量和安全情况有整体的认识,能够对不正常的行为进行审计和分析,并且可以依据已知的信息对受保护的系统进行安全加固,以及对网络的安全策略不断调整优化。
入侵防御集中管理软件提供丰富的报表功能。预置的综合报表包含了大多数用户需要重点关注的信息内容,针对不同设备的网络流量、应用协议分布、漏洞和流量威胁发生的情况进行分析,并从多个维度分析关键事件的TOP排名,多种形式的图表相结合,给用户最直观的感受。除了预置的综合报表,系统还提供用户灵活的制定报表方式,选择多个报表子项进行组合,可以定时生成日报、周报和年报,并且可以用邮件方式发送给用户,生成可编辑的报表格式,用户可以根据需要对报表内容和格式进行再次编辑。
入侵防御集中管理软件提供多维度的日志查询系统,用户可以以不同的组合条件对日志进行过滤查询,便于在海量数据中寻找需要的关键信息。1.4 入侵防御系统的发展历程
入侵防御系统是近几年网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。在谈入侵防御系统的历程前,我们应该先了解入侵检测系统的发展史。1.4.1 入侵检测系统的发展
入侵检测(Intrusion Detection Systems,IDS)是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS的起源:(1)1980年,James P.Anderson在给美国军方写的一份题为《计算机安全威胁监控与监视》(Computer Security Threat Monitoring and Surveillance)的技术报告中,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。(2)1984—1986年,乔治敦大学的Dorothy Denning和SRI公司计算机科学实验室的 Peter Neumann 研究出了一个实时入侵检测系统模型—IDES (Intrusion Detection Expert Systems,入侵检测专家系统),这是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。(3)1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文A Network Security Monitor,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。(4)1990 年,加州大学戴维斯分校的 L.T.Heberlein 等人开发出了 NSM (Network Security Monitor)系统,该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。(5)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。(6)从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。1.4.2 入侵防御系统的发展
入侵防御系统(IPS)是在入侵检测系统(IDS)的基础上发展而来的,补充了IDS不能实时阻断攻击的缺陷。然而有人认为,有了IPS就可以替代以前的IDS系统,这也正是Gartner在2003年发表那篇著名的IDS is dead的理由。
从入侵防御系统的起源来看,这个“升级说”似乎有些道理:Network ICE公司在 2000 年首次提出了 IPS 这个概念,并于同年的 9 月 18 日推出了BlackICE Guard,这是一个串行部署的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。但这种概念一直受到质疑,自2002年IPS概念传入国内起,IPS这个新型的产品形态就不断地受到挑战,而且各大安全厂商、客户都没有表现出对IPS的兴趣,普遍的一个观点是:在IDS基础上发展起来的IPS产品,在没能解决IDS固有问题的前提下,是无法得到推广应用的。
这个固有问题就是“误报”和“漏报”,先介绍一下入侵检测技术相关的这两个重要概念。误报是指一个正常的网络报文、流量、行为被识别成了一种网络攻击、一种网络威胁,这是一种错误的告警;漏报是指一个真正的网络威胁、网络攻击没有被入侵检测系统检测出来,没有触发告警。这两个指标有时候是相互矛盾的,为了降低误报率,入侵检测系统会更严格地识别攻击特征,确认是攻击后再报警;而这样,有些变形的攻击,或相关的新攻击手法就可能逃避检测,进而提升了漏报率。为了降低漏报率,入侵检测系统会识别关键攻击特征,放宽其他条件,这样简单的变形、攻击工具修改、简单的躲避手段都可能会产生告警,就有可能产生误报,提升误报率。
IDS 的用户常常会有这种苦恼:IDS 产品管理界面上充斥着大量的报警信息,经过安全专家分析后,被告知这是误警。但在IDS旁路检测的部署形式下,这些误警对正常业务不会造成影响,仅需要花费资源去做人工分析。而串行部署的 IPS 就完全不一样了,一旦出现了误报或漏报,触发了主动的阻断响应,用户的正常业务就有可能受到影响,这是所有用户都不愿意看到和接受的。正是这个原因,导致了IPS概念在2005年之前的国内市场表现平淡。
随着时间的推移,自2006年起,大量的国外厂商的IPS产品进入国内市场,各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。
我们先来看IPS的产生原因:(1)串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。(2)旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时阻断。(3)IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。
而为什么会有这种需求呢?是由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品;通过IDS的广泛部署,了解了网络的当前实时状
试读结束[说明:试读内容隐藏了图片]