H3CIPS技术白皮书讲解

1、H3C IPS技术白皮书杭州华三通信技术有限公司H3CITolP解决方案专家目录1. 概述41.1. 相关术语41.1.1. 段(segme nt)41.2. 网络安全现状 41.3. 基于网络的攻击与检测技术 62. 威胁的识别62.1. 基于滥用误用的带宽管理技术 62.2. 在应用中识别入侵威胁 82.3. 协议异常检测 82.4. 拒绝服务检测技术 92.5. 基于流状态特征检测技术 113. 安全响应113.1. 允许113.2. 阻断113.3. 通知123.4. 流量控制124. IPS安全策略125. 安全更新136. 安全审计136.1. 日志内容136.1.1. 操作日志1

2、36.1.2. 系统日志146.1.3. 攻击日志146.2. 日志的查询 146.3. 日志的输出 147. 典型组网案例147.1. 企业出口部署 1472保护 IDC157.3. 旁路模式部署 168. 总结和展望161. 概述1.1. 相关术语1.1.1. 段(segment)段是一个物理组网下对经过 ips设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流。IPS相关的业务都基于 Segment进行配置。1.2. 网络安全现状融入全球化的In ternet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入In

3、 ternet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界 的淡化，使得企业所面临的威胁的增多了，只要一个访问入口防护不完整，则“黑客”将可以入侵 企业，获取或者破坏数据。随着全球化网络步伐的加快，威胁的涌现和传播速度也越来越快，如著名的SQL Slammer，在爆发时，每8.5秒感染范围就扩展一倍，在10分钟内感染了全球90 %有漏洞的机器；威胁和应用也越来越息息相关，如下图体现了这个趋势：1995-2004网络安全漏洞发现情况统计(CERT/CC)图1-1威胁与应用息息相关同时随着网络越来越普及，攻击工具也越来越成熟、自动化程度变高以及趋于平民化，使用者无需了解太多的知识就可

4、以完成一次攻击，如下图显示了这个趋势：it atcxJ咅ommarKJ 冬匚 nnitrnllHighIntrudo-rKriowliB, / adwaneodIs;匚 an niirigi tu-匚1*1口|叼口13石 iienleP or sorvloToolsdJstrlbutciI attack rods (DDo5 www atta匚 k：s:automiatcd probcs/scansGUImgmt, diagnos-tics-十burglarie-B CKplioiling knawn vuil nc-rabillitic-s-seir-repiK&atinsLowi960pa

5、Kfiwordl guaKfilngAttackers19B51199019952000pAaeword crACkiri图1-2攻击正变的越来越简单目前In ternet面临的安全威胁从方法上有如下几种：?漏洞利用，比如针对软件操作系统对内存操作的缺陷，采用缓冲区溢出方法，以获得高操作权限运行攻击代码；如著名的微软MS05-047 Win dows UMPNPMGR wspri ntfW栈溢出漏洞（即Windows即插即用服务的缓存区存在的溢出漏洞）；? 欺骗攻击，如IP地址欺骗等，其利用 TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造，从而达到访问关键信息的目的；?蠕虫/病毒，

6、蠕虫/病毒是目前网络上最为常见的威胁，其具有传播快覆盖广的特点，如红色代码病毒（Code Red），曾经在12小时之内，覆盖全部的In ternet网络，给全球带来了极大的 危害；通常蠕虫/病毒通过利用现有系统软件的一些漏洞，从而达到传播的目的；?木马，通常在系统中会秘密打开一个访问程序，以绕过系统的安全策略，从而达到获取信息的目的；?拒绝服务攻击，通常称之为 DoS/DDoS，其通过单台或者多台设备作为攻击的发起者，对一个特定的目标进行 DoS攻击，占用大量目标机的资源，让目标机无法为外界提供服务， 从而达到破坏的目的。通常拒绝服务攻击会伴随着采用IP地址欺骗等方法以隐藏攻击者的目的；?带宽

7、滥用，对于企业来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪，如目前最流行的BT、eMule、eDonkey等协议。据统计，当前中国的P2P流量中BT占了 60%， 据此可见一斑；1.3. 基于网络的攻击与检测技术ips作为入侵防护设备，其基本的功能是识别尽可能多的攻击，同时又避免不必要的误报以及保证企业有限的带宽不被滥用。为了达到上述目标，单纯采用一种技术手段是无法做到的，H3C独创的UCIE(U niversal Con te nt In spection En gi ne，统一内容检测引擎)

8、创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展。UCIE主要包括如下几项技术：?基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最基本攻击检测技术，而基于流的状态特征检测技术与以往技术的不同点在于，可以是基于协议上下文的特征检测 技术，这样可以很好的避免误报的发生。如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报；?协议异常检测技术。通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸

9、也 具有先天的免疫；?智能的自适应多层次防护技术(I ntellige nt Adapt Multi-Level Protectio n Architecture)。该技术可以很好的解决DoS/DDoS攻击防护问题，通过对保护对象的流量进行流量学习和建模， 针对不同的类型流量采用不同的动作，并通过不断的学习调整等过程，保证保护对象避免 DDoS/DoS攻击的困扰；?在应用中识别威胁技术。在融合协议识别和威胁识别的基础上进行有状态的深度威胁分析，从而更好减少误报；?基于滥用误用的带宽管理技术。在应用的智能识别基础上，对于识别出的滥用和误用协议可以进行多层次和多纬度的带宽管理。2. 威胁的识别2.

10、1. 基于滥用误用的带宽管理技术网络“以内容为王”造成了当前网络上应用的层出不穷，这种繁荣的背后意味着：必须对网络中的应用及其行为进行深入的感知和分析，对应用的流量和行为进行细粒度分层次的管理，从而预防可能的滥用和误用，杜绝各种应用所引入的潜在威胁。H3C提出了应用的智能识别、应用层次划分、细粒度应用流量和行为管理、应用支持升级等一系列技术，为用户应对应用带来的威胁提供了十分有效的管理手段。1-Ware用户网络内部多种应用潜藏着 各类威胁： 非法或受控应用 滥用误用 应用系统的漏洞利用 病毒，应用升级非法或受控应用 - V（黑话，Backdoo，P2P -i-Ware深入应用： 掐断非法或受控

11、应用 发现和阻止滥用误用 制止应用系统的漏洞利用 杀除病毒，图表2-1深入应用，杜绝威胁H3C应用识别技术以对网络应用的模型化分析为基础，能够全方位、多角度识别网络中的各种 应用，为应用威胁管理提供有效支持。? 快速识别客户网络在特定端口下的重要服务。i-Ware平台的应用识别支持根据用户自身网络应用布局，快速定制自身重要服务的端口。? 通过深入的数据特征和状态模型分析，动态智能识别各类应用，使大量隐藏在网络流量中 的应用，如吞食网络带宽的 P2P、IM、流媒体、下载、网游等应用，或者是影响运营商或 内容提供商收益的黑话、网络电视等应用，都尽数显形。? 通过层次化分析模型，分层次细化识别用户网

12、络应用，深入挖掘出应用之间的包含、协商、 承载、隧道、代理等各种关系。H3C支持对应用进行树形、层次化、可调整和可定义的管理，用户可以在任何一个Segment 上,在任意用户群之间，对任意一级的应用流量和行为进行限制、阻断或监控。H3C支持对应用进行可扩展的、层次化定义，可以对应用进行快速的升级，从而快速实时应对 网络中新出现的应用及其带来的威胁。H3C通过专门的安全和应用分析团队，根据网络应用最新发展和客户网络管理需求，及时分析网络中的新应用和威胁，提取数字基因，更新用户设备的特征库， 从而很好的满足用户对新应用的管理需求。22在应用中识别入侵威胁H3C在强大的应用识别基础上进行有状态的深度

13、威胁分析，使IPS的入侵检测和传统的仅依据数据报文特征入侵检测有本质的不同。应用识别以当前数据流的应用识别结果为环境，指导系统有目 的进行深度威胁分析，使入侵防御变成内容管理指导下的一个环节；同时检测结果在内容环境下进 行校验和状态分析，使入侵检测的发现由单纯特征发现演变成非法应用行为模型和攻击行为模型的 发现。2.3. 协议异常检测在层次化的分析架构下，i-Ware平台为用户网络在27层提供全方位的协议异常检测。?链路层协议异常识别。i-Ware平台支持对MPLS , VLAN , QinQ等封装报文的逐层剥离和检验，支持对ARP攻击的检测。?网络层协议异常识别。i-Ware平台支持对IP层

14、进行细致的正规化处理，能够识别畸形的IP报文、蓄意构造的IP分片、伪造IP地址的欺骗报文。?传输层协议异常识别。i-Ware平台支持对TCP、UDP、ICMP报文进行细致的正规化处理。任何不满足RFC规定或者有恶意利用系统漏洞嫌疑的报文都将被识别出来。?可扩展的应用层协议异常识别。i-Ware平台可以动态扩展新的应用支持，而且在任何一个应用层协议上，都可以对应扩展相应的异常检测数字基因，进行有状态的异常检测。通过 细致的协议分析和状态检测，识别出相应协议层次上的异常。应用层传输层网络层链路层应用扩展TCP/UDP/ICMP 正规化e各类Flood攻击IP分片攻击，IP欺骗eip正规化多种链路头

15、剥离和校验ARP正规化异常检测数字基因图表2-2层协议异常检测24拒绝服务检测技术DoS/DDoS攻击从实现手法来看，主要表现为两种，一种是利用漏洞实现DoS的攻击，如Teardrop、Ping of Death等，另外一种是通过模拟大量的实际应用流量达到消耗目标主机的资源，从而达到DoS/DDoS攻击的目的，通常DoS/DDoS攻击伴随着源IP地址欺骗。从DoS/DDoS攻击的对 应的协议层次来看，主要有：?二层相关的攻击，如 ARP Flood ；?半连接相关攻击，女口 TCP SYN Flood、UDP Flood、ICMP Flood ；?全连接相关的攻击，如 TCP Conn ect

16、ion 攻击；如TCP空连接攻击；?应用层相关的攻击，如 HTTP Get Flood 、DNS query Flood等，其利用客户端与服务器端流量不均衡的特点，采用小流量的请求包，消耗服务器的处理资源或者产生大流量的响应， 从而达到DDoS/DoS攻击的目的。智能的自适应多层次防护架构(I ntellige nt Adapt Multi-Level Protection Architecture)是一个针对DoS/DDoS攻击进行多级防范和验证的架构，其检测框架如下：自动生成动态过滤规则图表2-3智能的自适应多层次防护架构根据对网络流量进行分析和建模，在系统中形成不同的流量检测和学习模板。

17、在统计分析阶段，根据流量检测模板进行流量学习和分析；在行为分析阶段，则通过自动生成的动态过滤规则对异常 流量进行过滤处理。 动态或者静态过滤规则部分根据不同的业务进行分别的处理，如针对HTTP进行HTTP redirection ;针对DNS进行DNS redirection ;针对IP则进行TTL认证等动作。上述过程是一个 闭环的循环动态的一个调整过程，系统中通过不断的学习、调整和判断以适应网络的情况并作出适 当的动作。智能的自适应多层次防护架构 （ILMLPA）对DDoS的检测可以分成如下几个阶段：?策略构建阶段，即通过学习模板进行不同业务和正常情况进行学习，从而获得不同流量类型的流量统计

18、数据并生成检测规则；? 调整阶段，即通过策略构建阶段学习到的业务和流量（检测规则），进行重新学习和调整；? 检测阶段，在策略构建和调整完成之后，通过上述检测规则对网络中的异常流量进行判断，如果发现存在异常，则通过动态生成过滤规则对网络流量进行过滤和验证，如验证源IP合法性、对发现异常的流量进行丢弃等。目前系统中支持如下流量学习模板：? IP模板? TCP模板? UDP模板? HTTP模板? DNS模板? SCAN模板? TCP Connection 模板详细的关于DoS/DDoS防护内容请见DoS/DDoS防护技术白皮书。2.5.基于流状态特征检测技术i-Ware平台通过使用自主的基于流状态的

19、特征检测专利技术，有效地防范了漏报和误报。对于流报文，如TCP流，若只是对一个个的单个报文作特征检测，这会引入漏报。基于以上原理，攻击者对攻击流中的报文作分段处理，就可以有效地进行攻击逃逸。通过流恢复，能够缓解这种攻击逃逸的有效程度，但不能杜绝这类攻击逃逸，但同时也引入了系统缓存负担的问题。i-Ware平台通过基于流状态的特征检测专利技术，能够有效地防范漏报。比如，对于流报文，如语音流报文、视频流报文，若不进行识别，直接使用攻击特征检测，可能引入误报。通过基于流状态的特征检测专利技术，能够精确地识别出这类流报文，不作攻击特征检测，有效地防范了误报。3. 安全响应在检测到攻击时，i-Ware根据

20、规则配置的动作做出响应。响应动作可以是下面动作中的一个或多个的组合：? 允许（Permit）?阻断（Block）? 通知（Notify）? 流量控制（RateLimit）3.1. 允许对于一些可能用于攻击的正常报文，用户可以根据自己的情况选择是Permit还是Block。例如ICMP重定向报文可以用来攻击，但也可以是正常的。如果用户的网络确实不需要此类报文，也不会产生此类报文，则可以设置为Block，否则，可以设置为 Permit。3.2. 阻断阻断动作禁止攻击报文通过。对于阻断动作，除了阻断当前报文外，对Block动作还可以设置以下参数：?对发送该攻击的源是否隔离：如果一个源被隔离，则后续所

21、有报文都不能通过。如果不隔离，则只丢弃检测到的攻击的报文。?对于TCP连接，还可选择是否发送 TCP Reset报文；如果要发送TCP Reset报文，是向源地、目的地、还是向源、目的地都发送。对于HTTP Request报文，还可选择是要回应重定向报文，还是回应指定的页面。在用户自定义的回应页面中，可以增加规则名称、规则描述、以及其它自定义信息。3.3. 通知通过设置IPS规则带有Notify动作，可以在检测到相应攻击时记录攻击事件。攻击事件可以输出 到本地数据库、通过Email通知管理员、输出到用户终端、输出到 Syslog主机。攻击事件中包括以下 信息：?攻击事件发生的时间?攻击名称?攻

22、击所在的段? 攻击的方向? 源IP地址? 目的IP地址? 协议? 源端口? 目的端口? 应用协议? 命中次数支持事件聚合，将相同事件合并处理，可以在频繁发生攻击时减轻因处理系统事件造成的资源 消耗。34流量控制通过对流量和连接数进行控制，可以阻止基于流量的攻击和滥用误用对网络造成的影响。流量控制的相关内容可参考H3C带宽管理技术白皮书。4. IPS安全策略i-Ware平台提供了灵活的安全策略，以满足用户的各种需要。一个IPS安全策略由一系列的IPS规则组成，每一个IPS规则定义了对一个具体的攻击采用什么样的响应动作。用户通过定义一个或多个IPS安全策略，可以对不同的用户和保护对象应用不同的IP

23、S安全策略，实现了高度的可定制性。同时，还可以指定免检用户 IP列表和免检服务器IP列表，以满足特殊需求。Web管理界面提供了按照攻击的严重级别、攻击的分类、规则的使能状态、响应动作进行规则 配置处理的手段，大大简化了用户的操作。设备提供了一个缺省的IPS策略，可以满足大多数情况下的需要。 用户还可以添加自己的安全策 略。用户可以通过从一个已有的 IPS策略复制得到一个新的IPS安全策略，再对新的安全策略进行修 改来得到自己的IPS安全策略。5. 安全更新H3C定期在网站上更新攻击特征库，以保证对新的攻击及时响应。特征库的升级可以通过手动 升级，也可以定期自动升级。6. 安全审计i-Ware平

24、台提供了丰富的日志功能，为审计、设备故障诊断提供了丰富的信息，并提供了日志 条件查询，方便日志的分析。6.1. 日志内容日志记录分为以下几种类型：?操作日志?系统日志?攻击日志6.1.1. 操作日志将用户对设备的操作记录到日志中，以备查询。操作日志包括：? 操作的日期和时间?登录方式：Web、CLI、SNMP? 用户名? 用户IP? 执行的操作?操作对象? 操作结果其它相关信息，如对设备配置信息的添加、修改、删除操作记录日志，对日志信息的审计操作 记录日志。6.12系统日志对系统运行过程中的关键事件记录日志。便于了解系统历史运行状态，以及为系统的故障诊断 提供信息。6.1.3.攻击日志支持系统运行状态通过 Trap通知网管。6.2. 日志的查询可以根据多种查询条件对系统中的操作日志和系统日志进行查询；可以根据严重等级、业务模 块标识、产生日志的开始时间、结束时间进