《瑞星网络检测系统NDS技术白皮书20140312》由会员分享,可在线阅读,更多相关《瑞星网络检测系统NDS技术白皮书20140312(11页珍藏版)》请在金锄头文库上搜索。
1、NDS系统技术白皮书2014北京瑞星信息技术有限公司2014-03-01北京瑞星信息技术有限公司Page II 公司简介 目录公司简介北京瑞星信息技术有限公司成立于1998年4月,其前身为1991年成立的北京瑞星电脑科技开发部,是中国最早从事计算机病毒防治与研究的大型专业企业。瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反黑客防治产品为主,拥有全部自主知识产权和多项专利技术。目前,瑞星公司已推出基于多种操作系统的瑞星杀毒软件单机版、网络版软件产品;以及企业防毒墙、防火墙、网络安全预警系统等硬件产品,是全球第三家、也是国内唯一一家可以提供全系列信息安全产品和服务的专业厂商。在公安
2、部组织的计算机病毒防治产品评测中,瑞星杀毒软件单机版、网络版曾双双荣获总分第一的殊荣,并连续5年蝉联至今。公司拥有国内最大、最具实力的反病毒和网络安全研发队伍,并且拥有国内安全行业唯一的电信级呼叫服务中心和在线专家门诊Online服务系统。瑞星和政府机构、商业伙伴以及媒体有着广泛而深入的合作关系,借助内外部各种资源,目前已建成五大安全网络体系全球计算机病毒监测网、全球计算机病毒应急处理网、全国计算机病毒预报网、全国反病毒服务网以及全球病毒疫情监测网。瑞星公司总部设立在北京,在全国各地设立了分公司和代理处。目前整个公司拥有正式员工近500人,其中包括近200位安全工程师组成的国内最大的信息安全研
3、发团队、由近200位安全工程师组成的国内最大的客户服务团队,以及销售、市场、网站等部门,并已经建成覆盖全国的庞大的销售和市场体系。目前瑞星拥有2000万个人用户,6万多家企业用户,主要软件产品以中(简、繁体)、英、德、日四种语言版本推向全球市场,销售网络覆盖北美、欧洲、亚太等地区。作为在中关村成长起来的高科技企业,瑞星正逐步走向世界,实现公司的美好愿景成为全球最具价值的信息安全产品和服务提供商。目 录第一章产品简介11.1简介11.2 硬件特性11.2.1 产品外观11.2.2 固定接口属性21.2.3 Bypass接口说明3第二章产品特性42.1 全面检查各种病毒42.2 能够查获未知病毒引
4、擎42.3 完善的升级机制和迅速更新的特征库42.4 检测口无IP地址42.5 零拷贝技术42.6 迅速定位安全事件相关IP地址的物理位置52.7 详细的安全事件信息52.8 完善的报表系统52.9 灵活的部署机制52.10 多种协议病毒检测52.11 全面的流量分析62.12 在线连接信息分析62.13 挂马监控62.14 病毒传播62.15 单位病毒安全评价6第三章功能列表7第四章技术支持8 产品简介第一章 产品简介1.1简介随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题日益突出。病毒是网络安全问题中最为严重的问题之一,发生的频率高、损失大、潜伏性强、覆盖面广,给内
5、部网络造成极大的安全隐患。网络中存在分散的、各自为政的单一层次的防病毒产品,已经难以满足网络防病毒的整体要求,仍然存在一些未知的病毒安全问题。为了进一步完善网络安全情况,我们需要另外架设NDS系统进行协防,使其和网络版反病毒软件相辅相成,共同发挥作用,并对其实施行之有效的组织管理,才能达到整体病毒防控目的。NDS是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,使用模式匹配和统计分析的方法,检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并记录相关事件于数据库中,作为管理员事后分析的依据。其主要功能为:l 对网络
6、中出现的病毒情况进行统一的病毒报警,全面,准确,高效,稳定,安全,快速l 对实时传输的数据流进行病毒监测,全面检测已知的、未知的各种病毒;检测的结果准确,误报率低l 实时关注网络中的流量,对敏感流量统一收集、汇总和分析,提供网内敏感流量情况的总体报告l 多种形式的报表展示 1.2 硬件特性1.2.1 产品外观图1.1 NDS-1000 前面板图1.2 NDS-1000 后面板1.2.2 固定接口属性l 控制台串口属性说明接口标准RJ-45波特率9600支持服务与本地PC的 COM口相连,并在PC上运行终端仿真程序l 管理口属性属性说明连接器类型RJ-45接口数量2接口类型MDI / MDIX自
7、适应支持帧格式Ethernet_II / Ethernet_SNAP工作方式10/100/1000Mbps自适应,全双工 / 半双工l 以太网电接口属性属性说明连接器类型RJ-45接口数量9接口类型MDI / MDIX自适应。支持帧格式Ethernet_II / Ethernet_SNAP。工作方式10/100/1000 Mbps自适应,全双工 / 半双工。l 以太网光接口属性属性说明连接器类型SFP接口 850 nm 多模接口数量4光纤LC-LC 3米多模最大传输距离550 M中心波长850 nm发送光功率最大-4 dBm最小-9.5 dBm接收灵敏度-17 dBm工作方式1000 Mbps
8、 全双工模式支持帧格式Ethernet_II / Ethernet_SNMP1.2.3 Bypass接口说明NDS产品有两组网络电接口支持Bypass功能,当系统工作在网桥模式时,在任何一路网桥上传输的数据,都不会因为NDS系统的故障而导致数据无法传输,当硬件检测到NDS系统工作不正常时,该线路会自动切换到直通状态。这种采用纯硬件的故障切换模式,不但切换时间短、不影响数据的正常传输并且能够有效降低网络中单点故障的排查时间。NDS支持在以下几种情况下切换到Bypass工作状态:l NDS系统重启l NDS系统无响应l NDS系统电源被切断NDS切换到Bypass工作模式后,仍会继续轮询系统的工作
9、状态,一旦检测到NDS系统工作正常后,会自动切换到正常工作模式,保证网络数据传输的安全性。 产品特性第二章 产品特性2.1 全面检查各种病毒瑞星公司完全自主开发的病毒引擎是可靠查获病毒的有力保障。每一版病毒引擎的推出,都意味着更多的平台支持,更多的功能,更完美的实现。NDS系统是完全针对网络数据流的防病毒系统。传统杀毒引擎不能处理网络数据,无法对网络中的数据进行病毒的查获。这需要对病毒引擎在对处理网络数据方面做改进,使其能够分析网络中数据流中包含的病毒。 2.2 能够查获未知病毒引擎未知病毒上报是NDS在网络中捕获的新型病毒,由于系统的病毒库中没有病毒的特征码所以暂时没有确定名称,这样保证了系
10、统不会放过任何危险的病毒。2.3 完善的升级机制和迅速更新的特征库瑞星防病毒监测网遍布全世界,能够在最短时间内得到病毒样本,反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库,然后提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具有未知病毒的查获能力和病毒行为的预判断能力,也不能保证在病毒以一种非常规的或者以一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库,让NDS工作在最佳状态,在病毒大规模爆发前就使其被扼杀在摇篮之中,起到NDS系统真正的预警功能。NDS系统可以按照预先设定的时间间隔定期访问瑞星网站,一旦发现
11、新的更新数据,将立即下载到本地,保证每个模块处于最良好的状态。不会对影响网络安全的事件视而不见。如果在一些核心的应用中,NDS系统所处的网络是和互联网物理隔绝的,管理中心无法自动升级,管理员可以选择手动升级的方式来升级整个系统。2.4 检测口无IP地址理论上,任何网络安全设备在能够连通外部网络情况下,都不能保证100的安全。但是对于NDS来说,监测口在能够获取网络数据的前提下,拥有一个不完全的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯,同时,管理口完全可以处在和外部网络物理隔绝的核心网络,达到管理和监测分离的部署方式。2.5 零拷贝技术在现在的操作系统中,因为安全等因
12、素将用户空间和内核空间完全分离。在用户进程和内核进程交换数据时,就需要将数据从两个空间来回拷贝。为了提高交换数据的效率,很多操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能,不过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量数据交换时,数据拷贝过程将占用程序CPU运行时间的很大比例。这样势必会极大地影响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化,以及对用户空间的程序的修改与优化,瑞星研发了一种特殊的拷贝技术,即:数据在内核和用户空间内共享的数据“零拷贝”技术。通过特殊的技术在用户空间和内核空间共享数据,同时又利
13、用一种良好的安全策略来保证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有的安全性的情况下,减少拷贝数据的时间,使整个系统将时间片全部集中在数据处理上。不但有效的利用CPU时间,而且也减少了系统资源的占用。2.6 迅速定位安全事件相关IP地址的物理位置用户自定义监控单位,在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置和所有人。系统集成了公网IPv4的地址库,可以根据日志中的IP信息定位病毒源所处的物理位置。2.7 详细的安全事件信息NDS系统的日志系统负责记录管理员的操作日志,以便查询,防止由于误操作引起整个NDS系统不能正常工作。同时也记录了非法
14、用户访问日志,防止由于非法用户猜测密码而进入系统。巨大的存储空间为长时期存储网络事件提供了有力保障。同时,详细的安全事件记录能够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管理员迅速了解一段时间以来的网络事件,也能让领导明白近期网络中所发生的安全事件。带有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。NDS系统所支持的报表非常完善、支持自定义各种图形化的报表。可以设定重点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。2.8 完善的报表系统NDS系统具有完善的统计报表功能,可以规律的按日、周、月、季、年来进行报表的统计,更可灵活的自定义报表的统计周期,便于用户根据实际工作需要进行设置。各种报表均对应配有图示,为用户更为直观的进行展示。2.9 灵活的部署机制NDS系统支持多种部署机制,支持旁路监测、串行监测、再次镜像数据等技术。旁路监测:不影响原有网络拓扑,旁路接入到网络环境中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。串行监测:串行接入到网络中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。再次镜像数据:可以将监测口监测到的数据通过其它网络接口转发出去,以备接入其它更多的监测设备,在不用采购
