《天清入侵防御系统产品白皮书(共16页DOC)》由会员分享,可在线阅读,更多相关《天清入侵防御系统产品白皮书(共16页DOC)(16页珍藏版)》请在金锄头文库上搜索。
1、产品白皮书天清入侵防御系统(V6.0)(Intrusion Prevention System)版本标识:V6.0.1.0单 位:北京启明星辰信息技术有限公司版 权 声 明北京启明星辰信息技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天清”为启明星辰信息技术有限公司的
2、注册商标,不得侵犯。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编:100094电话:010-82779088传真:010-82779000您可以访问启明星辰网站:获得最新技术和产品信息。目 录第1章 概述31.1 关于天清31.2 入侵防御41.3 入侵防御系统和入侵检测系统4第2章 深层防御与精确阻断52.
3、1 深层防御52.2 精确阻断6第3章 产品技术特点63.1 串行防御和免疫防护63.2 高效的数据处理性能73.3 权威性的检测特征库73.4 准确的攻击检测能力83.5 简易便捷的管理部署93.6 灵活的安全策略管理93.7 丰富的响应分析方式93.8 完善的系统可靠保障10第4章 部署结构114.1 常规部署模式114.2 双重链路部署114.3 多层结构部署12第5章 综述13第1章 概述1.1 关于天清天清入侵防御系统(Intrusion Prevention System)是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。天清入侵防御系统围绕深层防御、精确阻断这个核心
4、,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家
5、计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位. 启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(CommonVulnerabilitiesandExposures)组织。目前已有多个漏洞的命名被国际CVE组织采用,获得了该组织机构唯一的标识号。天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。1.2 入侵防御首先我们来探讨一个问题:入侵攻击行为包括哪些?什么样的行为可以称为入侵攻击行为?我
6、们来看对入侵行为的标准定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的第一道防线,已经得到了非常广泛的应用,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及
7、时切断可疑连接,都达不到完全防御的要求。想要实现完全的入侵防御,就需要将完全协议分析和在线防御相融合,这就是入侵防御系统(IPS):online式在线部署,深层分析网络实时数据,精确判断隐含其中的攻击行为,实施及时的阻断。1.3 入侵防御系统和入侵检测系统入侵检测系统、入侵防御系统是两款互相独立,但又有着内在联系的安全产品:入侵检测系统以旁路方式部署,监视交换机上的所有实时传输数据,专注的是全面检测、有效呈现,这意味着入侵检测系统是作为安全监督管理工具存在,提供给用户全面的信息展现,为改善用户网络的风险控制环境提供决策依据。入侵防御系统以在线方式部署,实时分析链路上的传输数据,对隐藏在其中的攻
8、击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决用户面临的实际应用上的难题,进一步优化用户网络的风险控制环境。关注点的不同、部署目标的不同决定了两款产品在客户价值上的差异和发展方向上的不同。对于那些重点关注风险控制,由于风险管理要求不高,对检测和监控无具体要求的行业,使用入侵防御系统就可以很好的满足其安全需求。对于那些IT设施是其业务运营基础的行业,IT设施的风险将极大影响其经营风险,他们既关注风险管理又关注风险控制,希望通过风险管理不断完善风险控制措施,这种类型的用户需要的是入侵检测和入侵防御相结合的解决方案。对于只关注风险管理的检测与监控,监督风
9、险控制的改进状况的监督管理机构和部门,防御具体的攻击行为不是其工作的重点,他们需要的是能够全面呈现风险信息的入侵检测系统。第2章 深层防御与精确阻断2.1 深层防御有数据显示,70%以上的攻击行为发生在传输层和应用层之间,我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点:第一:新攻击种类出现频率高,新攻击手段出现速度快。据美国CERT/CC的统计数据,2006年共收到信息系统漏洞报告8064个,比2005年增长了34.6%,漏洞数量的迅速增长标志着新攻击类型的迅速增长,而在同一份报告中,采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个,最多的一天几近700,这意味着平
10、均每天发现100种新的攻击手段,最多的一天发现的新攻击手段可多达700种,这是一个非常惊人的数据。第二:攻击过程隐蔽。文件捆绑:打开一份文档,结果执行了一个与文档捆绑的木马程序;文件伪装:可爱的熊猫图片,竟然是蠕虫病毒;跨站脚本攻击:仅仅是访问了一个网站的页面,就被安上了间谍软件。攻击行为正以越来越可以乱真的面貌出现。除了深层攻击行为这些自身的特点外,越来越多的业务应用,也增加了判断攻击行为的难度:到底是正常的应用还是是违规的应用呢?如何更好的实现对这些深层攻击的防御,是入侵防御系统需要解决的问题。深层需要高效和准确,防御则意味着及时的阻断,深层防御需要兼顾两者。2.2 精确阻断启明星辰认为:
11、深层防御之道,精确阻断为先。精确阻断是深层防御的先决条件:没有实现对攻击行为的准确判断,误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为,都将给客户带来巨大的损失。而深层防御也对精确阻断提出了更高的要求:不能对新的攻击行为实现精确的阻断,深层防御就无从谈起。深层防御、精确阻断,是天清入侵防御系统客户价值的核心。第3章 产品技术特点3.1 串行防御和免疫防护天清入侵防御系统支持串行接入模式,串接在网络当中,以边界防护设备的形式接入网络,任何对受保护网络的访问数据都将穿过防御引擎。其标准的接入方式如下图所示:图2:串接模式的部署和传统入侵检测设备不同的串接模式,加强了实时防御功能。和传统的
12、边界防护设备防火墙相比,两者的区别如下图所示:图3:防火墙和IPS的不同阻断在发现攻击行为之后,天清入侵防御系统可以主动的阻断这些攻击行为,对内部网络的系统实现免疫防护。即使内部系统存在相应的风险漏洞也可以由入侵防御引擎来将实现先于攻击达成的防护。3.2 高效的数据处理性能天清入侵防御系统有一个显著的特点就是可以支持串行接入模式。正如很多边界防护设备一样,串行的接入模式需要面对的一个主要问题是如何使设备不成为网络传输的瓶颈。天清入侵防御系统在原有的高性能报文处理架构之上,还采用了如下技术来确保传输性能:n POLL技术:在通常的系统中,数据处理都是采用中断响应机制来进行的。采用中断在数据包较少
13、的情况下,是一个比较好的解决方案,但在数据量较大的情况下,尤其是在千兆级环境下,处理大量中断所消耗的系统资源是相当可观的,我们在这里采用了轮询方式的poll技术,CPU一直保持工作状态,而并且等待唤醒状态,以节约在大数据量情况下的CPU开销。在对数据包的转发中采用poll技术,可以确保较低的传输时延。n 驱动的内部无锁技术:常见的数据结构有这么三种:堆栈、队列和树。在不同的情况下,采用不同的数据结构,我们对捕获后的数据的存储方式采用的是环状队列,也就是说,无需等待中断,随时都可以从存储空间中实时获得可进行分析的数据,n 自适应的CPU负载均衡技术:我们将每一个实际的CPU都虚拟成了多个虚拟的C
14、PU,分别用于处理不同的事务:分别处理中断、检测和通讯等。以上这三项技术的协同应用,使得天清入侵防御系统在数据包的处理性能方面有着出众的表现。其微秒级的分析时延,完全可以适应电信级用户网络环境需求。3.3 权威性的检测特征库启明星辰认为,基于误用的检测方法其核心就是检测特征(signature)的提取,构造一个好的入侵防御系统,依赖于能否准确地提取和描述检测特征。特别是在串行环境下,明晰而精确的检测特征将会是决定保护措施优劣的重要砝码。天清入侵防御系统在提炼检测特征的时候采用了如下两种方式:方式A:基于漏洞机理的分析方法。利用漏洞机理的方法来提取和定义特征,可以实现检测和具体攻击工具的无关性,
15、特别对于防止新型变种的攻击和攻击工具改造非常有效。方式B:基于攻击过程的分析方法。攻击过程分析法则是完全站在攻击者的角度,破析完整的攻击过程,可以判断攻击是处在攻击尝试阶段还是已经攻击成功。另外,天清入侵防御系统中对检测特征的定义都是通过统一的标准化VT+语言来描述,VT+语言的使用,不但保证了特征的快速更新,还向用户提供了便于自行定义检测特征的接口,从而扩充了检测内容和范围。天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE,对用户而言,提供了更详细了解网络中发生行为的机会。3.4 准确的攻击检测能力入侵检测系统对客户带来的价值体现在对攻击和可疑行为的及时发现和主动响应上,而实现及时的发现,就要求入侵检测系统拥有全面的攻击检测能力。天清入侵防御系统在对数据链路层到应用层的网络数据全面分析的基础之上,融合漏洞分析信息,可以对上报的攻击事件进行事先的预分析,达到精确报警的目的。此外,天清入侵防御系统采用了启明星辰公司设计并实现的高效协议自识别方法VFPR (Venus Fast Protocol Recogni
