SANS协会成立于1989年，是一个全球合作的研究与教育组织，目前已发展成一个拥有分散在世界各地的165000名安全专业人员的组织。SANS ISC的前身是SANS于2000年11月建立的CID(Consensus Incident Database)项目，CID项目的目的是建立一个大型的分布式流量监控系统监控全球的Internet流量。

　　2001年3月22日，CID项目布置在全世界各地的IDS Sensor检测到对DNS服务的53端口扫描事件不断上升，在几小时内，从不断增加的攻击机器上发出的扫描越来越多。在接收到第一份报告的一小时内， CID的安全分析人员经过分析认为一场全球性的安全事件正在发生当中，他们立即发送了一份通知给全球的安全实践者，请他们检查自己的系统是否正在遭受类似的攻击，在3小时内，一个荷兰的系统管理员回应说他的系统已被感染，并发回了病毒代码的第一份拷贝。CID的病毒分析人员对病毒进行分析，并确定了病毒的传播和工作原理，开发了对应的检查程序。在14小时之后，53端口流量的第一个高峰开始被观察到。此时CID已将警报发送给大约20万人，对进行中的攻击进行了警告，告诉他们从哪里可以下载到病毒检查程序以及如何避免蠕虫的感染。

　　CID成功分析和预警Li0n蠕虫，证明了只有整个互联网社区的合作，才能有效地对大规模地的恶意攻击进行响应，更重要的是，它说明了实时共享入侵检测日志的价值，特别是只有在国家或全球范围内的警报聚合才能让攻击的趋势更加明显地显现。因此，在Li0n蠕虫事件之后，CID项目进化为ISC。ISC成立之后，继续对Internet发生的各类攻击，特别是大范围的蠕虫爆发提供预警和信息服务。

　　SANS ISC的工作流程

　　在很多方面，ISC进行攻击分析和预警的手段和气象预报采用的预警系统很类似，这也是ISC名字中Storm Center的由来。

　　在气象预报中，最底层的工作是在全国各地使用尽可能多的各类传感器报告气压、风速等气象数据，本地气象站对这些传感器提供支持维护，并由气象学家综合本地的传感数据做出本地气象预报，同时将综合后的数据传递给国家级或国际的气象中心，在那里根据各地数据进一步综合分析，可以对风暴等灾害性气候做出早期的预警。

　　相对于气象的预警系统，SANS ISC提供的互联网攻击分析和预警服务的核心是DShield大规模分布式入侵检测系统，整个DShield系统包括3个部分，即传感器、数据库和每日的报告。

　　DShield不像一般的IDS一样开发专门的传感器，DShield遍布世界各地的传感器，包括各种类型机器上的各类流量监控系统。这些系统可以是防火墙，入侵检测系统，路由设备等等，小到Windows自带的防火墙ICF(Internet Connection Firewall)，大到Fortigate这一类企业级入侵检测系统，都可以是DShield的传感器。ISC提供了的Windows和Linux等各类操作系统下的DShield客户端，客户端将各类传感器的日志标准化后，反馈给DShield的中央数据库。

　　在数据进入数据库之后，由专门的程序对输入的数据进行分析和处理，并给出最终的报告，这些报告包括端口、地址、AS等不同测度分别给出每种测度下的TOP数据，以及在一段时间内变化趋势最显著的数据。TOP数据给出了目前活跃的攻击数据，让Internet用户可以知道自己的网络是否遭受了同样的攻击，趋势数据则给出了可能正在发生的安全事件的线索，如在处理Li0n蠕虫事件时，就是通过53端口数据的变化趋势及时作出了预报。根据各类数据的总和，ISC同时公布INFOCON作为Internet的安全状态标志。

　　目前ISC的传感器遍布全世界60多个国家，每天的收到的日志记录数量在8百万到2千万条之间，涉及的IP数量达到50万。可以说，丰富的数据源是ISC做出有效预警的准确保证。

　　SANS ISC的组织结构

　　SANS ISC与一般响应组织最大的不同在于其人员的组成。整个ISC最主要的成员和贡献者都是志愿者。ISC的人员可以分为三部分，包括DShield数据的提供者、事件处理者，以及对ISC的网站和DShield系统进行维护的人员。ISC中的维护由在SANS学习的学生负责，而前两类人员都是分布在全世界各地的志愿者。

　　与一般自上而下建立的分布式入侵检测系统不同，ISC采用了开放式的设计，只要你愿意提供自己管理范围内的各类日志，从ISC的主页上下载对应操作系统的客户端，就成为了DShield系统的一部分。这种开放式的设计使ISC不仅免去了开发专门的检测传感器的代价，也使得ISC成为目前世界上最大的分布式入侵检测系统之一。

　　对汇总到DShield中央数据库的数据进行分析和处理的事件处理者也全部是由志愿者组成。相对于数据的提供者，事件处理要求更高的素质。目前的ISC事件处理者一共有35位，分布在10个国家，每一位事件处理者都有着多年的实际网络安全实践经验，涉及的工作背景包括银行、ISP、政府和教育结构，其中包括SANS的研究总监(Chief Research Officer)Johannes Ullrich。每天都有一位事件处理者负责对当天DShield的数据进行分析，发现其中的异常和攻击，给出各类报告。

　　SANS ISC的结构可能是世界上最开放的响应组织结构，不仅数据的提供者彼此不认识，甚至事件处理者大多数都没有互相见过。但是这种开放式的自发组成的结构也让SANS ISC拥有了世界上最好的安全专家和最丰富的信息。

　　(作者单位为东南大学计算机科学与工程学院)

　　来源：《中国教育网络》2008年2-3月刊