一、前言

　　伊朗2010年被报出核工厂遭受“超级工厂”(Stuxnet)病毒攻击，蠕虫通过多个漏洞潜伏在工控系统近两年未被发现。相信诸如上述案例中的伊朗核工厂，大多网络中都会部署有各种形形色色的安全产品，杀毒软件,waf或IDS。但为什么那么大范围的攻击却依然久未被察觉?大型网络怎样才能更有效的做好入侵检测呢?本文讲介绍一些建设经验。

　　二、监测体系

　　2.1、架构选择

　　常规的安全产品可能是一个杀毒软件，一个IDS，一个WAF，这能解决一个单点安全问题，但如果没有全局的信息汇聚与分析，很难实现对全局态势的感知。

　　云计算与云安全是常被提起的概念，在大型网络中，因应用服务器对于性能消耗较为敏感，很多复杂的安全分析逻辑不易被业务部门接受，部署于主机和网络上的设备只被限制在实现提取数据功能。分析与计算在后端也就是所谓的云端来实现。

　　同时，采集与计算的分离带来了诸多优点：

　　1. 假设(几乎是必然出现)单点系统被黑客攻陷，安全策略不易被逆向与窃取，避免因策略失窃带来的，对手针对性研究绕过手法;

　　2. 可快速更新检测策略，减少对各子节点和探测设备的变更，避免干扰业务系统的稳定;

　　3. 原始数据的短时存储，便于对事件演变过程的重现，方便追溯审计，以及预研新检测逻辑的验证。

　　2.2、功能模块

　　大型网络的安全监测产品通常有各类SOC系统，分布式安全产品，以及云安全产品。产品形式千变万化，但功能模块这里将其简化如下归纳:

图 1 入侵检测体系模块

　　2.3、态势感知能力

　　通常SOC系统会收集各种日志，各种NIDS\HIDS 都有数据采集功能。尽可能多的采集数据对于入侵分析是很有帮助的。

　　但我们面对入侵事件时，常常面临两种尴尬局面：

　　2.3.1、数据很少：仅有部分系统\应用默认日志

　　如侦探破案一般，发现入侵事件最重要的是有证据。通常系统默认的日志等数据无法满足入侵事件分析需求，必须开发专门的探测器。先需要梳理场景对抗需求，搞清楚检测某类攻击所需数据类别与纬度，并将此作为数据采集系统的开发需求。

图 2数据需求

　　2.3.2、数据很多：大型网络中各类数据很多，甚至多至无法记录。

　　数据并非越多越好，特别是大型网络的海量数据，如全部汇集存储是难以支撑的。且大量的噪音数据也只会带来硬件与人力成本的增加。真正流入最后存储与分析系统的数据，必然是经过精简与格式化之后的。

图3 数据精简

　　2.4、数据分析

　　有了数据不等于有检测能力，首先第一个问题就是如何理解你获得的数据，这就是数据格式化。

　　如何定义格式化数据：

　　1) 分析规则决定数据纬度

　　2) 关联逻辑定义字段扩展

　　有了格式化好的数据，就实现了数据自动化分析的第一步，接下来才是分析引擎与规则建设。