APT动态防御系统 技术白皮书APT动态防御系统:幻境,系列技术白皮书卫达科技CDA北京市海淀区上地信息产业基地三街1号四层 C 段 441 100085:010-516611860371-88811755服务热线:400-691-9970北京卫达科技有限公司版权声明本手册的所有内容,其版权属丁•北京卫达科技育限公司(以下简称卫达)所有,未经卫 达许可,任何人不得仿制、拷贝、转译或任意引用本于•册没有任何形式的担保、立场倾向 或其他暗示若因本于册或其所提到的任何信息引起的II接或间接的资料流失、利益损失,卫达及其 员工恕不承担任何资任本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更 新,卫达恕不承担另行通知之义务版权所有不得翻印商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或 是版权,其他提到的商标,均属各该商标注册人所仃,恕不逐一列明服务热线:400-691-9970目录 11前言 12概述 13安全产品现状 24 APT动态防御系统「幻境,系列 44.1网络动态防御 44.2产品特色 44.2.1先进的设计理念和体系架构 44.2.2高速网络流鼠处理 54.2.3逼真的虎拟主机响应 54.2.4人性化的设备管理 54.2.5高稳定性的安全保障 54.2.6可配置的模块化设计 54.2.7快速响应的技术支持 64.3产品功能 64.3.1设备运行实时监控 64.3.2隔离局域网的同网段直接通信 6433网络节点和拓扑结构快速随机动态跳变 64.3.4无感的对外通信 74.3.5违规网络行为实时告瞥和阻断 74.3 6高效的网络防火墙 74.3.7攻击云识别 74.3.8全程可追溯 74.3.9功能列表 84.4产品技术特点 94.4.1多种管理方式 94.4.2便利的应用 94.4.3分布式集群架构 94.5产品部署方式 94.6产品型号说明 101前言随着计算机网络和信息技术的发展,社会信息化进程不断加速,网络在当今社会中扮演 看越来越贯要的角色,成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。
与 此同时,网络安全威胁也是层出不穷,攻击者通过技术于段和社会工程等多种方法进入网络 系统,进而窃取秘密数据、破坏系统、恶总欺骗等,不但影响了普通民众的工作生活,也成 为了威胁经济、社会哄至国家安全的重人问题随着政府部门、企业和机构部屠的内部网络应用范围的扩展,在为单位和个人提供了便 捷办公的同时,也为攻击者非法获取网络用户的数据信息提供了可乘之机针对这些内部网 络的网络攻击技术已成为网络战的重要组成部分,以窃取目标网络内机密信息为口的的内网 渗透和控制技术止在快速发展之中如高级持续性威胁(Advanced Persistent Thieat, APT ) 这种新型的网络攻击方式,通过长时间对冃标的观察、收集信息,发现网络中薄弱环节,针 对利用网络、系统或应用的漏洞,逐步渗透到网络内部,从而窃取内部信息或控制内部网络APT攻击是现有网络攻击中危誉最大的一种攻击方式,由于其具有目的性、指向性, 因此产生的影响也非常人,近年来发生了多次典型的APT攻击事件1、 2014年11月索尼公司遭受APT攻击,数万名员工信息和多部未发行的电影拷贝遭 泄露2、 斯诺登曝光了美国国家安全局(NSA)采用APT技术入侵了华为总部的服务器,窃 取了华为路由器和交换机的相关信息,并监控了华为高管的通信。
这些APT攻击给公司造成了不町估量的损失,也说明现有的安全防护方法对APT等网 络攻击缺乏冇效的防御于•段这些攻击适成的信息泄露、窃取己成为政府部门、企业和机构 网络系统安全使用的觅大隐患因此,一个能够有效地对这些网络攻击行为进行防御和监管 的安全网络至关巫要2概述而向政府、公司等只有大规模私有局域网且只有网络安全需求的单位,北京卫达科技有 限公司创新性地推出了改变网络静态性的安全产胡:APT动态防御系统APT动态防御系 统定位I-APT的攻击防护,为政府部门和企业的网络提供内网防渗透、攻击公识别、全程 服务热线:400-691-9970 1APT动态防御系统 技术白皮书可追溯等功能APT动态防御系统首创了“网络动态防御”思想,打破现有网络的架构,通过动态改变网 络拓扑,动态改变节点属性,给攻击者呈现一个“网络迷宫”,该“迷言”还可随机的动态变化, 攻击者只要走错了一步就会被系统发现,失去进一步攻击的基础进一步地结合软件定义网 络(SDN)、云计算、人数据等相关技术,深入分析和识别网络攻击行为,能够全面右•效地 抵御、识别和定位包括APT攻击在内的网络攻击行为3安全产品现状现有的网络安全产品主要采用的技术包括杀毒软件技术、防火墙技术、入侵检测技术、 数拯加密技术等,在一定程度上保护了网络的安全。
但是,由丁•现冇网络架构的静态性和网 络安全技术主要是加强网络静态对抗的能力,网络安全技术在不断发展的攻击技术面前往往 显得力不从心,攻击者往往勺允足的时间分析内网架构、主机系统、安全技术并找出其中的 漏洞,从而逐步渗透网络,达到攻击目标1) 防火墙防火墙其实就是安装在内网与外网之间的网络安全系统,依照特定的规则,允许或限制 传输的数据通过,防止非法数据的流入流出目前一般应用的防火墙技术主要包含应用网关、 数据包过滤盒代理服务等,主要是通过验证数据报文的源IP和冃的IP地址.TCP链路状态、 端I I等足否符合网络访问控制过滤规则來判定是否允许报文通过,以屏蔽非安全的和受限的 访问行为代理服务可以分为TCP通道或链路级网管,相当于网络传输层的数据转发器, 负资连接内网和外网若通过的报文满足相应的逻辑,内网和外网的通信会建立起连接,这 样外网就有了了解内网状态架构的可能虽然防火墙可以阻止非法通信,但依然存在很多问题,如,想提高网络的安全性,防火 墙必须将C知和未知的潜在威胁纳入过滤规则中,这样存在将合法数据过滤掉的可能性防 火墙只能防止本地主机和系统免遭外部网络攻击,对内部网络发生的攻击行为却无能为力。
总而言之,防火墙作为内网防御的第一道屏障,作用十分重要,但它是粗粒度的网络访问控 制,必须集合其他防御措施來进一步提升内网安全2) 加密技术网络的一个重要特性就是信息的共享性,这在一定程度上也导致来信息传输的不安全性 因为网络中的信息传送到目的地祁是要经过多个节点,数据的传输没有固定路径,通过哪个 节点很难査证,在数据传输中的任何节点都有可能拦截、读取、破坏和篡改数据信息如果 网络中的数据是以明文的形式存在,就容易受到窃听、分析和篡改,这样,就给攻击者•提供 了窃取数据和恶意攻击的机会数据加密指的是用加密算法和加密密钥把原始数据(明文), 转换成统计特性完全不同的一组新数据(密文)的过程,通过数据加密技术可以提高数据传 输的安全保密性现冇的两种加密方式是链路层加密和网络层加密链路加密是在物理通信链路之前对数 据进行加密,是对网络相邻节点之间通信线路匕传输的数据进行加密,两个加密设备分别位 相邻接点与各口节点的调制解调器之间网络加密主要是以基JTPsec (IP安全机制)的 VPN技术为主VPN是通过一个不安全的公用网络建立一个临时的、安全的连接,从而保 证数据传输的完整性和真实性加密技术可以保证数据在网络传输中不会彼攻击者轻易分析出有用的信息,是一种彼动 的防御技术。
但随着科学技术的发展,计算机工作的速度越来越快,分布式计算愈演愈烈, 黑客的攻击技术口新刀异,想要破解加密也并非不可能,即使攻击者无法在短时间内破解, 但依然可以对数据进行恶意篡改、觅放,面对这种情况,加密技术就变得无能为力了3)入侵检测入侵检测系统简称为IDS (Instrusion Detection System ),通过在关键节点收集并分析信 息,來检测是否存在违反安全策略或威胁系统安全的厅为或活动,从而保护信息系统的资源 不受拒绝服务攻击,防止数据被泄霜、篡改和破坏入侵检测系统可分为基『主机数据审计 和基丁•网络流量分析的检测系统前者者部署在主机上,通过分析本地系统信息來检测足否 发生入侵行为,但是分析主机信息无法发现网络中常见的攻击行为,如端II扫描、DOS攻 击和DNS及ARP歎骗等后者•通过将特定的软件(嗅探器Sniffer等)部署在网络节点上, 分析流经该节点的信息并从中找出入侵留下的痕迹入侵检测系统在发现入侵后会及时作出 响应,包括记录事件和报警等虽然入侵检测系统能够弥补防火墙的不足,但它只能在入侵行为发生后才能做出报警, 是群态的时候防御技术,也不能及时阻止或处理检测到的威胁。
因为入侵检测系统依赖预先 设定的安全规则,存在滞后现象,无法检测未知的攻击攻击苕可以通过新型的攻击手段避 过入侵检测,伪装成止常用户,那么就可以不被发现地在系统和网络中对数据进行分析和破 坏综上,为了能够冇效地对整体网络进行动态防御.一个优秀的网络安全产品设计应该满 足以下儿个方面的要求:服务热线:400-691-9970 10APT动态防御系统 技术白皮书一、 对先验知识弱依赖:产品能够迅速产生防护效果,而不依赖对J记知攻击行为的先验知识,能够有效地防护各种新的攻击手段二、 能够有效区分正常和攻击行为:网络在保证安全的同时需要能够不影响止常用户的通信,技术应允分做到攻击行为和止常通信行为的隔离和识别三、 能够打破攻击者知识累计能力:网络需要在能够止常使用的前提卜•发生一定的变化,使得攻击者不能够积累在网络中获得的知识,从而打破攻击者的优势最后,产品应当满足智能化需求:从设计上应尽可能减少用户的部屠和管理成本,化繁为 简,以人性化和智能化提升自身系统的可配置型和可维护性,能够满足管理人员和应用环境 的不断变化和发展要求4 APT动态防御系统,幻境,系列网络动态防御的策略是构建一种动态的、异构的.不确定的网络,通过部署、运行网络、 主机系统时增加其随机性,减少确定性、相似性、静态性,从而增加攻击若的攻击难度与代 价。
网络动态防御通过随机调动网络、主机系统口身原有资源的冗余性、异构性和空间分布 性来构成安全机制,从而犬犬提高系统的弹性4.2产品特色4.2.1先进的设计理念和体系架构APT动态防御系统采用先进的软件定义网络的设计理念,将系统主要分为控制层和数 据层:数据层根据流表对数据包进行操作,包括修改域、丢弃、转发至端II、转发至控制层 等:控制层根据数据层转发的数据包建立流表,完成对网络流量的控制通过对网络的动态 变换可以有效地发现网络中的攻击行为,APT动态防御系统渗透发现概率大于90%APT动态防御系统同时支持Vian划分,能够虎拟节点不少F 1万,虚拟网络不少F 30 个APT动态防御系统在该体系架构内内置高效的网络防火墙,支持五元组过滤,过滤规 则不少于1万条4.2.2高速网络流量处理APT动态防御系统采用异构高性能多核网络处理器,实现了高效的网络流最处理机制, 进程独立运行,不需调度,并采用数据包零拷贝技术.从而达到对流量的线速处理背板交 换带宽达到60G,交换机任意端1丨皆可实现线速转发4.2.3逼真的虚拟主机响应APT动态防御系统采用虚拟响应來增加攻击者网络探测的难度,虚拟响应全方位地支 持各种协议,从而虚拟化出多个真实的网络拓扑以及网络服务,支持的协议包括:ARP协 议、ICMP协议等,虚拟的网络服务包括主流的网络服务:Telnet、SSH、FTP、SFTP、RDP、 VNC、XII、HTTP、HTTPSo。