Cisco SIMS客戶將Slammer病毒拒之門外
SIMS解決方案成功識別和跟蹤SQL服務器蠕蟲病毒

攻擊：

廣泛感染的SQL服務器蠕蟲病毒進一步強調了采納Cisco SIMS安全信息治理(SIM)解決方案的必要性。這種惡意Slammer蠕蟲病毒是一種駐留在內存中的蠕蟲，它可通過UDP Port 1434繁殖和傳播，并可攻擊SQL服務器系統以及配備Microsoft SQL Desktop Engine (MSDE) Version 2000的系統中的漏洞。因為這種蠕蟲是駐留在內存中的，所以就會非常快地發生緩沖區溢出，進而導致拒絕服務。

“我總是讓Cisco SIMS Event Viewer在我的NOC中隨時保持運行，因此我能很輕易地注重到我們正經歷異常活動，這也就不希奇了。我可以馬上對Slammer病毒關閉端口。而這恰恰也是我希望Cisco SIMS能做到的。”

Cellular South公司，Charles Watson II

CISCO SIMS解決方案：

內部Honeynet研究小組對Slammer病毒進行了兩天跟蹤，并通過SIM Real-Time Desktop (實時桌面) 監控了該病毒的發展情況。圖1簡單描述了該病毒是如何企圖攻擊網絡的。在Cisco SIMS控制臺上(圖2)，來自Cisco PIX、Cisco IDS和ISS網絡檢測器等多種不同被監控設備的事件通知操作人員有異常活動正在發生。針對這種新的多層次攻擊，Cisco SIMS統計關聯識別并捕捉了事件，并將這一IDS信息映射為“緩沖區溢出攻擊”的高級威脅和所產生的防火墻響應“網絡訪問中斷”。

在客戶地點，也就是密西西比州杰克遜市的Cellular South公司，Cisco SIMS系統對多設備事件進行了快速評估，從而使除網絡主管人Charles Watson以外的任何其他人都注重不到這一Slammer病毒。Charles說：“我總是讓Cisco SIMS Event Viewer在我的NOC中隨時保持運行，因此我能很輕易地注重到我們正經歷異常活動，這也就不希奇了。我可以馬上對Slammer病毒關閉端口。而這恰恰也是我希望Cisco SIMS能做到的。”

CISCO SIMS^TM

安全信息治理的領導者

圖2

為了能快速而高效地對非標準數據進行捕捉和語法分析，Cisco SIMS結合采用了java和xml來識別和分析這些數據以發現潛在的威脅和攻擊次序。通過提供一種綜合性關聯方法，用戶能同時采用統計輸出和基于規則的輸出來實時確定這些事件的性質。事件數據被呈現在多個視圖和報告之中，系統還可實現全面而深入的分析和歷史趨勢觀察功能。通過可擴展體系結構能捕捉到極大量的數據，還可毫無限制地實現數據治理的增長。

利用統計關聯與基于規則的關聯之間這一獨特的組合，Cisco SIMS系統可進一步確保Slammer病毒永遠死亡而不會給網絡造成威脅。捕捉后，Cisco SIMS系統的規則創建功能現在就能持續監控相同的次序并可馬上表明在哪里有多少個事件正在發生。

作為具備互聯網安全專業技術和知識的中心，CERT? 協調中心(CERT/CC)通過其網站：http://www.cert.org/advisories/CA-2003-04.Html提供了關于SQL服務器病毒的全部具體信息，包括關于其影響和補丁軟件要求的具體情況。