网络入侵检测

传统NIDS

一般网络出口处（防火墙后面）部署NIDS或者NIPS，NIPS在此处的好处不是执行全流量的P功能，而是在漏洞公布后，可以定制临时的过滤规则，临时防护，起到虚拟补丁的作用。

对于大型互联网公司来说，除了自研没有第二条路，但是在获得第一个版本之前，需要使用传统NIDS。不差钱的也可以购买商业NIDS，NIPS进行过渡，如果流量不是特别大，商业产品免去了自研交付的风险和持续维护的成本。办公网络中商业NIPS完全够用。

开源SNORT

不想花钱，爱折腾，有不打算自研的选择。

大型全流量NIDS

如果不自研，需要在性能和费用上进行权衡。

针对大规模IDC网络，采用大数据的NIDS架构如下：

• 分层结构，所有节点支持水平扩展
• 检测与防护分离，性能以及可用性大幅提升
• 报文解析与攻击识别节藕，入侵检测环节后移
• 依赖大数据集群，规则数量不再成为系统瓶颈，不再局限于静态特征的规则集，可以多纬度建模
• 加规则不影响业务

对厂商的建议

如果商业产品能够解决扩展问题，对甲方安全团队来说没有必要再去搞一套。互联网安全团队，往往能自己建立规则，但需要一个平台，包括解决大流量，高性能的抓包解包问题；能有自定义规则，包括packet头部各字段以及payload可以全部自定义；最好能有一种简单的类脚本语言支持。这样安全团队能够专注于自己的核心业务，而非安全产品研发团队。

DDOS防御

多层级防御架构

四个层次的防御：

• ISP近源清洗
  如中国电信的云堤，提供了“流量压制”和“近源清洗”服务。流量压制是一种分方向的黑洞路由，客户可以自定义需要黑洞路由的IP，并可以选择在哪些国家以及省份生效，简单粗暴；近源清洗，可以在靠近攻击源的位置进行清洗，体验好，但对防御方的成本比较高，触发到响应的时延比较大。一般这个层次是大型互联网公司，云清洗厂商，共有云厂商参与，意义在于在攻击流量超过自身带宽储备和自身抗DDOS能力外时的补充性缓解措施。
• 云清洗/CDN硬抗
  CDN不是抗DDOS产品，但是针对web服务类而言，可以起到一定的抗DDOS作用。CDN层面的验证码过滤了大部分的请求，最后达到数据库的请求只有很小一部分。
  云清洗厂商提出的策略是将域名指向云清洗厂商的DNS服务器，一般情况下，云清洗厂商的DNS仍然将回源的请求指向源站，在检测到攻击时，指向自己的清洗集群，再将清洗后的流量回源，检测方式主要是在客户网站前部署反向代理，托管所有并发连接，在对攻击流量进行分流的时候，准备好一个域名到IP的地址池，当IP被攻击时，封禁并启用地址池中的下一个IP，如此往复。
  还有一种方式，采用anycast技术，将流量分担到一个地址池中。（国内环境不支持）
• DC级近目的清洗 近目的清洗，在DC出口部署ADS设备。一般ADS设备可以缓解大部分常见的DDOS攻击类型。7层的攻击没法做到面面俱到。
• OS/APP层抗CC
  DDOS的最后一道防线，主要是针对漏过ADS设备的流量作最后一次的过滤和缓解。有些互联网公司喜欢自己在系统层面做应用层的DDOS防护。比如针对Web服务，可诶通过Web服务器模块，独立傍路部署的旁路系统实现。

WAF

WAF的架构分类

• cname部署
• module部署
• 网络层部署
• 混合型WAF部署

WAF的安全策略建设

• 主流Web漏洞检测规则
  owasp测试指南，各主流Web漏洞扫描器（如WVS，APPSCAN），漏洞测试岩石平台bWAPP
• 最新高危漏洞检测规则
  安全系统运营最重要的工作内容之一，除了部署覆盖外，就是检测能力的迭代更新。当爆出最新漏洞的时候，运营人员必须第一时间跟进，分析POC和漏洞原理，提取相应的检测规则，及时部署新规则到WAF系统。
• 业务风险检测规则
  业务方可以提出某类规则借用WAF等安全系统帮助监控某些业务的异常行为。主要是：已经发现的业务漏洞，需要临时封堵攻击行为，为漏洞修补赢得时间；某些高危或者异常行为的监控，生产数据，为业务异常行为分析提供数据基础。