入侵检测系统（IDS）在奥运官方网站的安全实战

举世瞩目的北京奥运会已经胜利落下帷幕，全世界人民对4年一度的体育盛会投入了极大的热情和关注，当然其中也包括网络上的黑客和攻击者。

据资料显示，悉尼奥运会期间，奥运官方网站经受了113亿次攻击；雅典奥运会，16天的比赛中就有超过500万起信息技术安全报警信息；北京奥运会无论从比赛规模还是参与人数都远超以往，因此，奥运网络与信息安全保障也被誉为“奥运安全的第二前线”。

对于承接奥运会官方网站安全保障工作的启明星辰公司来说，如何保障网站稳定有效运行，是一项极富挑战性的任务，需要有效的威胁信息收集系统、威胁分析和情况预警能力以及主动的安全事件响应能力。而事实证明，入侵检测系统（IDS）在此过程中发挥了不可替代的作用。

奥运官网威胁分析

奥运官方网站安全服务项目旨在确保官方网站（www.beijing2008.cn）的安全运维和其它信息内容服务的安全性，保证奥运官网在赛时能够提供安全、稳定的服务，特别是能够承载大流量访问，抵抗各类网络攻击，如DDoS分布式拒绝服务攻击和网页篡改攻击。

奥运官网所面临的威胁主要来自于两个方面：一是黑客的入侵和攻击，诸如运动员年龄资料被改写成“9 5岁”这样的玩笑，试图改变奥组委通过因特网向世界发布的比赛最后结果、篡改奖牌运动员的名字等等是黑客们的拿手戏；另一方面，病毒和蠕虫的入侵造成奥运官网的瘫痪同样具有毁灭性的打击。

启明星辰作为奥运官网信息和网络安全总服务商，自2008年6月起开始进行渗透测试、代码审核、风险评估、安全加固等前期安全服务工作，为了有效地对网络访问实施监控，及时发现威胁，启明星辰在奥运官网出口处署了天阗入侵检测系统（IDS），结合安全工程师全天候职守，对网站进出流量进行监控。

“入侵检测”一夫当关

天阗入侵检测系统（IDS）为威胁监控提供了两种途径：

1． 实时报警

工程师可以通过实时报警显示界面观测到网络中发生的安全事件，高中低不同级别的事件通过不同颜色加以区分。另外，对于重点关注的事件，比如最常见的拒绝服务攻击，在自定义的窗口单独对此显示，工程师可以有针对性地在海量事件中提取有效信息。

2．实时流量图

天阗还提供了实时的流量统计图，通过流量曲线的变化，可以很直观地看到网络中各种应用的分布情况。在奥运期间就曾发现过某天夜间的网络流量骤增，变化幅度超过正常范围，现场职守工程师将这种流量异动结合报警信息进行分析，定位了威胁来源，发现是某一地域几个IP地址频繁对网站发起TCP半连接和扫描，可以判定为拒绝服务攻击。

工程师向奥组委现场值班专家小组进行预警，网络安全专家经过分析，结合其它安全设备，及时采取措施对攻击行为进行了有效地防御，保护了正常的Web访问。在奥运以及随后的残奥会期间，天阗IDS帮助工程师有效地发现、量化、定位了来自互联网的威胁，并为威胁分析和响应提供了数据和指导。

威胁并非一成不变，黑客发起攻击时，手段总是千变万化，这就要求IDS能够“随需而变”，针对入侵和攻击的变化，及时调整检测策略。天阗IDS提供每日安全事件统计报表，并定时自动发送给安全专家小组成员。通过对每日统计事件变化的分析，安全专家可以在天阗系统上对原有检测策略进行修改和添加，针对一些可疑事件自定义检测规则，设定参数，从而来应对网络攻击的变化。

下图所示就是8月23日和8月24日两天，奥运会官方网站Top10事件统计柱形图和事件次数统计表，从中可以看到网络威胁的变化情况，作为调整检测策略的参考。

为了保证天阗IDS 对最新攻击的检测能力，启明星辰的攻防专家和安全事件研究人员一直保持对最新漏洞和攻击的研究和跟踪。奥运会期间，微软等厂商相继发布了最新的系统漏洞，启明星辰及时升级天阗检测规则库，从常规的每周一次升级频率提高到每日一次，一旦有利用这些漏洞的攻击和最新病毒发生，天阗IDS 能够精确检测并报警，从而使应急响应专家能够迅速采取措施，保护奥运官网业务不受干扰。

3. 全面守护奥组委核心网络

在奥运会以及残奥会期间，不仅是在奥运会官方网站，在奥组委办公网络中，天阗入侵检测系统也成为安全监控的主力，就像是庞大计算机网络中的摄像头，记录这网络中发生的一切可疑行为和事件，实时将威胁有效的呈现给网络安全管理人员，像那些真正的安全卫兵一样保护着奥运会。

在启明星辰承建的奥组委办公网（管理网）网络监控系统中，需要对部署的各种安全产品（包括防火墙、防病毒、应用系统、网络设备等相关产品)和相关的应用系统进行数据收集，进行统一实时报警，帮助监控人员及时发现网络中的各种安全事件和异常行为，并进行快速定位。这些都离不开天阗IDS的巨大作用。

奥运官网和奥组委办公网的安全运行，不仅仅依靠天阗IDS的工作和维护，更依靠在天阗提供的数据基础上的分析。在奥运会和残奥会期间，启明星辰安排了7×24小时现场值守工程师、安全专家小组以及应急响应队伍，建立了科学的事件上报和处理流程，一旦发生安全问题，即可调动多方资源及时支持现场监控人员。

天阗IDS经受住了流量的考验，体现了全面的检测能力，在发现威胁、准确定位、量化威胁，从而科学分析事件和快速解决响应的过程中发挥了不可替代的作用。

全面负责奥运会安全保障项目的启明星辰CTO刘恒博士评价说，IDS对于防范网络攻击尤其是DDoS攻击可以起很大作用，在启明星辰对产品做了策略优化配置之后，通过流量模块管理功能和其它产品的关联，提前发现和成功处置了奥运会官方网站90%以上的DDoS攻击。

天阗IDS在奥运官网维护过程中的实战经验无疑为我们以后更合理地开发、使用和维护入侵检测产品，更正确地认识和发挥入侵检测产品的价值提供了借鉴和参考。