北京某重要机关网站系统可能遭受攻击，造成用户无法正常访问网站，急需进行应急响应，对攻击进行处理。在做了必要的准备和沟通后，启明星辰成为了这只“救火队”，并迅速派出安全专家和相应的产品技术人员第一时间赶赴现场。

     经过启明星辰安全技术人员在现场的分析，发现攻击者是采用了DDOS的攻击手法，向该机关的WEB服务器发起大量的服务请求，同时请求某一固定内容，严重消耗其带宽，因此丧失对外正常服务能力。在了解了攻击者的攻击手法后，应对攻击也就非常容易了。经过细致的策略配置和实施，最终将攻击阻断，并保证了网站的正常访问。用户对此非常满意。    

     从攻击角度说，这是一次非常典型的攻击事件，处理起来也是具有相应的难度。但是最终能够在很短的时间内解决问题，这中间有很多经验值得总结。下面我们就对该过程进行详细分析和经验总结：

    1、网络安全必须具有相对完善的预警、检测和必要的防御措施。

    在防御措施上，该机关拥有两种类型的防火墙，配置了一定的访问控制策略，因此是可以阻止一些非信任地址的访问和基于网络层的拒绝服务攻击。但是这次攻击不是采用通用的拒绝服务攻击手法，因此，防火墙对此是无法做好提前防范的。

    幸运的是，在该机关目前正在试运行两套启明星辰天阗入侵检测系统。通过天阗入侵检测系统，我们发现在其警报中大量存在对该网站的WEB非正常访问请求三种不同事件，并结合流量检测功能，发现来自与部分地址的连接请求数量严重超标。攻击者正是发送大量上述事件到该机关网站系统，导致网站堵塞；要使网站能够被正常访问，必须阻止上述三种事件的发生。通过上面的入侵检测的事件分析，该攻击被定性为基于WEB应用的有针对性的分布式拒绝服务攻击。

    因此，在应对攻击事件的时候，防火墙是有一定的局限性的，只有通过入侵检测我们才能检测到基于应用的攻击行为的发生，并且判断出是何种攻击手段，这就是一个从不知到可知的过程。在进行应急响应的时候，入侵检测系统是必须事先部署的必备环节，否则，其分析攻击难度将增大很多。

    2、入侵检测系统必须具备强大的行为关联检测机制以及自定义检测功能

    由于该攻击是针对WEB服务的分布式拒绝服务攻击，从攻击特征分析的角度看，其单个服务请求和正常的服务请求机制是相同的。如果是简单的对这样的特征事件进行阻断，必然导致正常的服务请求也被中断。因此，这里我们用到了天阗行为关联分析机制和强大的自定义功能（VT++语言）。在这里我们区分是拒绝服务还是正常访问主要在于判断行为的关联性。拒绝服务的特点就是在短时间内出现大量的连接行为。因此，检测的机制就是基于异常行为的统计关联。然后通过采用简洁易用的自定义描述语言，形成对该种行为的事件定义，下发到探测引擎。

    经过专门定义后，我们可以很容易的看出那些事件是正常访问造成，而那些事件是由攻击造成。

    3、入侵检测系统能够很好的和防御措施（如防火墙）形成动态防御

    从应急响应的要求看，入侵检测的目的最终是阻止攻击行为，对已经造成攻击后果做相应恢复，并形成整体的安全策略调整。入侵检测系统本身是具有阻断功能的，但是如果单纯利用本身的阻断功能必然对入侵检测的效率有所影响。针对入侵检测后的动态防御，天阗提供了一个通用协议（VIP—FW），可以使防火墙和天阗入侵检测系统形成一个联动安全防御系统。当天阗发现了攻击事件，发送动态策略给防火墙，防火墙接收到策略后就产生一条对应的访问控制规则，可以对指定的攻击事件进行有效的阻断，保证攻击不再延续。这种联动的好处是即利用了防火墙的优势特点，又由于这些规则是根据攻击的发生而动态触发的，所以不会降低防火墙的工作效率。同时又由于启明星辰天阗入侵检测系统的联动标准早就为广大防火墙厂商普遍接受，这次该机关的两种防火墙已经具备了联动功能，所以，最后成功了实现了对分布拒绝服务攻击的防范，保证了网站的正常运行。

    在这个实际应用的案例中，天阗入侵检测系统的作用表现得到了有力的证明。因此，一个好的入侵检测系统对保障用户的网络安全是起到积极而重要的作用。通过入侵检测，我们不仅能够知道攻击事件的发生、攻击的方式和手法，还可以指挥其它安全产品形成动态的防御系统，这就对网络的安全性建立一个有效屏障。

    同时，我们也看到，用户和攻击者之间是存在着安全知识的不对称性的。要提高网络安全的防护能力，除了有效的安全产品部署和使用，必要的应急响应服务也是一个很好的保障手段。对用户来说，就需要选择一个好应急响应服务的合作伙伴。这样的合作伙伴要有诚信的服务意识、良好的网络安全技术背景、规范的服务流程和独到的安全服务人才和经验积累，能够在用户发生网络安全问题时候及时响应，并可以成功解决问题。