舉世矚目的北京奧運會已經(jīng)勝利落下帷幕，全世界人民對4年一度的體育盛會投入了極大的熱情和關注，當然其中也包括網(wǎng)絡上的黑客和攻擊者。

據(jù)資料顯示，悉尼奧運會期間，奧運官方網(wǎng)站經(jīng)受了113億次攻擊；雅典奧運會，16天的比賽中就有超過500萬起信息技術安全報警信息；北京奧運會無論從比賽規(guī)模還是參與人數(shù)都遠超以往，因此，奧運網(wǎng)絡與信息安全保障也被譽為“奧運安全的第二前線”。

對于承接奧運會官方網(wǎng)站安全保障工作的啟明星辰公司來說，如何保障網(wǎng)站穩(wěn)定有效運行，是一項極富挑戰(zhàn)性的任務，需要有效的威脅信息收集系統(tǒng)、威脅分析和情況預警能力以及主動的安全事件響應能力。而事實證明，入侵檢測系統(tǒng)（IDS）在此過程中發(fā)揮了不可替代的作用。

奧運官網(wǎng)威脅分析

奧運官方網(wǎng)站安全服務項目旨在確保官方網(wǎng)站（www.beijing2008.cn）的安全運維和其它信息內(nèi)容服務的安全性，保證奧運官網(wǎng)在賽時能夠提供安全、穩(wěn)定的服務，特別是能夠承載大流量訪問，抵抗各類網(wǎng)絡攻擊，如DDoS分布式拒絕服務攻擊和網(wǎng)頁篡改攻擊。

奧運官網(wǎng)所面臨的威脅主要來自于兩個方面：一是黑客的入侵和攻擊，諸如運動員年齡資料被改寫成“9 5歲”這樣的玩笑，試圖改變奧組委通過因特網(wǎng)向世界發(fā)布的比賽最后結果、篡改獎牌運動員的名字等等是黑客們的拿手戲；另一方面，病毒和蠕蟲的入侵造成奧運官網(wǎng)的癱瘓同樣具有毀滅性的打擊。

啟明星辰作為奧運官網(wǎng)信息和網(wǎng)絡安全總服務商，自2008年6月起開始進行滲透測試、代碼審核、風險評估、安全加固等前期安全服務工作，為了有效地對網(wǎng)絡訪問實施監(jiān)控，及時發(fā)現(xiàn)威脅，啟明星辰在奧運官網(wǎng)出口處署了天闐入侵檢測系統(tǒng)（IDS），結合安全工程師全天候職守，對網(wǎng)站進出流量進行監(jiān)控。

“入侵檢測”一夫當關

天闐入侵檢測系統(tǒng)（IDS）為威脅監(jiān)控提供了兩種途徑：

1． 實時報警

工程師可以通過實時報警顯示界面觀測到網(wǎng)絡中發(fā)生的安全事件，高中低不同級別的事件通過不同顏色加以區(qū)分。另外，對于重點關注的事件，比如最常見的拒絕服務攻擊，在自定義的窗口單獨對此顯示，工程師可以有針對性地在海量事件中提取有效信息。

2．實時流量圖

天闐還提供了實時的流量統(tǒng)計圖，通過流量曲線的變化，可以很直觀地看到網(wǎng)絡中各種應用的分布情況。在奧運期間就曾發(fā)現(xiàn)過某天夜間的網(wǎng)絡流量驟增，變化幅度超過正常范圍，現(xiàn)場職守工程師將這種流量異動結合報警信息進行分析，定位了威脅來源，發(fā)現(xiàn)是某一地域幾個IP地址頻繁對網(wǎng)站發(fā)起TCP半連接和掃描，可以判定為拒絕服務攻擊。

工程師向奧組委現(xiàn)場值班專家小組進行預警，網(wǎng)絡安全專家經(jīng)過分析，結合其它安全設備，及時采取措施對攻擊行為進行了有效地防御，保護了正常的Web訪問。在奧運以及隨后的殘奧會期間，天闐IDS幫助工程師有效地發(fā)現(xiàn)、量化、定位了來自互聯(lián)網(wǎng)的威脅，并為威脅分析和響應提供了數(shù)據(jù)和指導。

威脅并非一成不變，黑客發(fā)起攻擊時，手段總是千變?nèi)f化，這就要求IDS能夠“隨需而變”，針對入侵和攻擊的變化，及時調整檢測策略。天闐IDS提供每日安全事件統(tǒng)計報表，并定時自動發(fā)送給安全專家小組成員。通過對每日統(tǒng)計事件變化的分析，安全專家可以在天闐系統(tǒng)上對原有檢測策略進行修改和添加，針對一些可疑事件自定義檢測規(guī)則，設定參數(shù)，從而來應對網(wǎng)絡攻擊的變化。

下圖所示就是8月23日和8月24日兩天，奧運會官方網(wǎng)站Top10事件統(tǒng)計柱形圖和事件次數(shù)統(tǒng)計表，從中可以看到網(wǎng)絡威脅的變化情況，作為調整檢測策略的參考。

為了保證天闐IDS 對最新攻擊的檢測能力，啟明星辰的攻防專家和安全事件研究人員一直保持對最新漏洞和攻擊的研究和跟蹤。奧運會期間，微軟等廠商相繼發(fā)布了最新的系統(tǒng)漏洞，啟明星辰及時升級天闐檢測規(guī)則庫，從常規(guī)的每周一次升級頻率提高到每日一次，一旦有利用這些漏洞的攻擊和最新病毒發(fā)生，天闐IDS 能夠精確檢測并報警，從而使應急響應專家能夠迅速采取措施，保護奧運官網(wǎng)業(yè)務不受干擾。

3. 全面守護奧組委核心網(wǎng)絡

在奧運會以及殘奧會期間，不僅是在奧運會官方網(wǎng)站，在奧組委辦公網(wǎng)絡中，天闐入侵檢測系統(tǒng)也成為安全監(jiān)控的主力，就像是龐大計算機網(wǎng)絡中的攝像頭，記錄這網(wǎng)絡中發(fā)生的一切可疑行為和事件，實時將威脅有效的呈現(xiàn)給網(wǎng)絡安全管理人員，像那些真正的安全衛(wèi)兵一樣保護著奧運會。

在啟明星辰承建的奧組委辦公網(wǎng)（管理網(wǎng)）網(wǎng)絡監(jiān)控系統(tǒng)中，需要對部署的各種安全產(chǎn)品（包括防火墻、防病毒、應用系統(tǒng)、網(wǎng)絡設備等相關產(chǎn)品)和相關的應用系統(tǒng)進行數(shù)據(jù)收集，進行統(tǒng)一實時報警，幫助監(jiān)控人員及時發(fā)現(xiàn)網(wǎng)絡中的各種安全事件和異常行為，并進行快速定位。這些都離不開天闐IDS的巨大作用。

奧運官網(wǎng)和奧組委辦公網(wǎng)的安全運行，不僅僅依靠天闐IDS的工作和維護，更依靠在天闐提供的數(shù)據(jù)基礎上的分析。在奧運會和殘奧會期間，啟明星辰安排了7×24小時現(xiàn)場值守工程師、安全專家小組以及應急響應隊伍，建立了科學的事件上報和處理流程，一旦發(fā)生安全問題，即可調動多方資源及時支持現(xiàn)場監(jiān)控人員。

天闐IDS經(jīng)受住了流量的考驗，體現(xiàn)了全面的檢測能力，在發(fā)現(xiàn)威脅、準確定位、量化威脅，從而科學分析事件和快速解決響應的過程中發(fā)揮了不可替代的作用。

全面負責奧運會安全保障項目的啟明星辰CTO劉恒博士評價說，IDS對于防范網(wǎng)絡攻擊尤其是DDoS攻擊可以起很大作用，在啟明星辰對產(chǎn)品做了策略優(yōu)化配置之后，通過流量模塊管理功能和其它產(chǎn)品的關聯(lián)，提前發(fā)現(xiàn)和成功處置了奧運會官方網(wǎng)站90%以上的DDoS攻擊。

天闐IDS在奧運官網(wǎng)維護過程中的實戰(zhàn)經(jīng)驗無疑為我們以后更合理地開發(fā)、使用和維護入侵檢測產(chǎn)品，更正確地認識和發(fā)揮入侵檢測產(chǎn)品的價值提供了借鑒和參考。