蓝盾入侵防御系统BD-NIPS技术白皮书

1、中国施盾BLUEDON OF CHINA蓝盾入侵防御（BD-NIPS ）系统技术白皮书蓝盾信息安全技术股份有限公司目录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 产品需求背景 3 HYPERLINK l bookmark4 o Current Document 蓝盾入侵防御系统 4概述4主要功能5功能特点8固化、稳定、高效的检测引擎及稳定的运行性 能 8检测模式支持和协议解码分析能力 8检测能力 9策略设置和升级能力11 HYPERLINK l bookmark50 o Current Document 响应能力 12管理能力

2、 13审计、取证能力 14联动协作能力 15 HYPERLINK l bookmark70 o Current Document 产品优势 16 HYPERLINK l bookmark72 o Current Document 强大的检测引擎 16 HYPERLINK l bookmark74 o Current Document 全面的系统规则库和自定义规则16 HYPERLINK l bookmark76 o Current Document 数据挖掘及关联分析功能16 HYPERLINK l bookmark78 o Current Document 安全访问16 HYPERLINK

3、l bookmark80 o Current Document 日志管理及查询 17 HYPERLINK l bookmark82 o Current Document 图形化事件分析系统 17型号 18产品需求背景入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络 或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和 被攻击的迹象。也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？答案是肯定 的。入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害 前，检测到入侵攻击，并利用报警与在线防护系统驱逐入侵攻击。在入

4、侵攻击过程中，能减 少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知 识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防御被认为是防 火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内 部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。有了入侵防御系统，您可以：,知道是谁在攻击您的网络,知道您是如何被攻击的,及时阻断攻击行为,知道企业内部网中谁是威胁的,减轻重要网段或关键服务器的威胁,取得起诉用的法律证据蓝盾入侵防御系统概述蓝盾NIPS是一种实时的网络入侵防御和响应系统。它能够实时监控网络传输，自动检 测

5、可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告，实时对 攻击做出阻断响应，并提供补救措施，最大程度地为网络系统提供安全保障。蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反 应快速，实时性高。用户可以实时查看网络中的通讯。可设置监控P的流量、端口的流量和 总流量，有利于管理员更正确地了解分析网络行为。一旦发现可疑行为，蓝盾IPS可以准确 地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。蓝盾IPS 可以根据用户的设置，将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式 发给客户，可供用户查询。蓝盾NIPS

6、设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复 杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行基于内容特征、协议分析以及流量异 常等方式的检测，其中协议分析涵盖YTCP/IP协议栈从网络层一直到应用层的各种协议的详 细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异 常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进 行整体防御。蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了 4-6个固定的 10/100/1000Mbps自适应以太网接口（4电或4电2光），最多可以同时

7、保护3个子网。同时， 蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。蓝盾NIPS采用专为安全应用度身定做的安全操作系统，可以根据不同的应用进行扩展和裁 减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。主要功能1支持镜像口监听、透明、 路由、混合部署模式。BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混 合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御（或监 控）网络，实时对攻击做出反应，最大程度地为网络提供安全保障。2支持多种协议解码分析能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进 行解码

8、分析，能读懂基于这些协议的交互命令和命令执行情况。综合使 用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议 融合分析技术。3完备的分析检测能力BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口 扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分 析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小 碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、 协议分析、异常行为检测、关联分析、数据挖掘等方法，采用了自适应 多协议融合分析技术。4强大的攻击特征模式库BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库

9、共有8000 多条，能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地 升级、更新。5强大的蠕虫检测能力BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条 蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、 冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫，因此在 一定的程度上能解决蠕虫滞后的问题。6实时检测基于服务的攻 击行为BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行 为。主要的服务有 HTTP、TELNET、SMTP、MS SQL、DNS 等。7有效的异常检测技术有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS 的异常轮

10、廓统计分析技术，使入侵防御系统具有自学习能力，根据网络 中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新8违规行为检测功能用户可以定义一些规则，监控内部网络各主机间的连接，保护 一些重要的主机和服务器，对违反规定或不应该出现的连接，即使还没 发生攻击，系统也会进行报警。9IP处理和碎片攻击检测具有IP处理和碎片攻击检测功能，防止黑客进行各种碎片攻击。10网络流量分析BD-NIPS提供流量分析功能。能统计、分析网络数据流量，发现11灵活的策略设置BD-NIPS检测引擎内置了大约2600条入侵模式，可以检 测已知的大部分入侵，BD-NIPS同时允许有经验的高级用户自定义入侵 模式，做

11、到量体裁衣，检测用户最为关注的事件。12支持实时系统升级BD-NIPS检测引擎内置有实时的升级模块，可以通过控制中心在 线升级检测引擎，而不必停止入侵防御系统的正常工作，从而保证了入 侵防御系统的无间断运行。中国监博,BLUEDON OF CHINA蓝盾入侵防御系统技术白皮书13不断更新的入侵模式新的黑客技术不断涌现，攻击模式需要经常更新；广东天海威 数码技术有限公司将定期地更新对最新攻击手段的识别，及时扩充到入 侵模式库中，最大限度的防范黑客入侵；根据用户的需要，允许有经验 的高级用户自定义入侵规则。14支持远程升级BD-NIPS具有完善的远程升级能力，用户可以在线远程更新攻击 特征库或升级

12、软件模块，补充最新发现的攻击特征，使系统拥有最新的15实时的检测分析、响应 能力BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收 集与分析同步进行，反应快速，实时性高。系统可以实时监控网络中的 通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关16支持多种报警和响应手 段BD-NIPS提供多种实时报警和响应手段，报警信息可以通过网 络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、17多网段检测、集中管理BD-NIPS可以检测用户系统的多个网络。根据用户具体需求，每18支持分级监控、集中管 理BD-NIPS支持在大型网络中采用分级监控、集中管理模式

13、。下级 的报警日志可根据日志报警策略一级一级向上汇总，甚至可送到总控制19具有集管理、监控和分 析功能于一体的图形化 控制台为了确保网络系统的安全，减少入侵防御系统部署、配置、管 理方面的支出，设计人员经过大量细致的工作,设计出了支持集管理、 监控和分析功能于一体的图形化控制台。20强大的信息记录、查询BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息21强大的审计和实用的报 表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、 攻击报警数据、管理日志等进行分类统计、关联分析，可以根据用户的 设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询

14、、22全面的联动能力BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产 品（防火墙等）和其它第三方厂家的安全产品实现联动。入侵防御蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜测、DOS/DDOS攻击、扫描探 测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通 过与蓝盾防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、打印机输 出、运行用户自定义命令等方式进行动态防御。流量监测系统可对网络流量进行实时监测，对TCP、UDP、ICMP、FTP、P2P等协议及应用进行分 析，对造成网络阻塞的源地址进行定位和记录。实时阻

15、挡攻击蓝盾入侵防御系统内嵌蓝盾防火墙及入侵防御系统，无论在何种部署模式下都可以对入 侵进行在线实时阻挡。图形化日志分析及报警系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。支 持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。数据挖掘及关联分析蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能，能从 无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好 应对措施。安全访问蓝盾NIPS设备的以太网口，按功能区分为管理口和业务口。通过用户名/密码、受限的 访问IP地址和受限的访问协议以及蓝盾NIPS设备自身

16、的防DoS/DDoS功能，确保用户能够 安全访问SecEngine设备管理口。支持受限的访问协议：HTTP、HTTPS、SSH和SNMP。日志管理及查询蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。系统日志、 操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。若输出到远程日志主机， 需进行相应的配置。日志文件可以以CSV格式导出；可以自动循环日志记录，也可以用户主 动删除。功能特点固化、稳定、高效的检测引擎及稳定的运行性能BD-NIPS检测引擎是固化的，采用标准的工业机箱结构，可以方便的放置到标准机柜中， 便于机房管理人员的管理。检测引擎的操作系统是BD

17、OS2.0，是蓝盾信息安全技术股份有限 公司自主开发的蓝盾防火墙操作系统的改进版。检测引擎系统软件已经预先配置完毕；检测 引擎内建有蓝盾防火墙，自身安全性很高，可以防范针对检测引擎的攻击。蓝盾入侵防御系统是纯硬件架构，含检测与分析功能：支持事件统计分析，协议异常检 测，可有效防止各种攻击欺骗。可检测8000类以上的攻击。蓝盾入侵防御系统采用内存零 拷贝、零系统调用以及高性能网络数据包处理技术，可保持稳定的运行性能。检测模式支持和协议解码分析能力1）同时支持基于主机和网络两种检测模式BD-NIPS同时支持基于主机和网络两种检测模式，既有检测网络数据的硬件检测引擎， 又有安装在各主机上的主机代理检

18、测客户端软件，能够同时监控主机和网络的入侵信号，在 系统受到危害之前发出警告，实时对攻击作出反应，最大程度地为主机和网络提供安全保障。2）支持多种协议解码分析能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于 这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方 法，采用了自适应多协议融合分析技术。检测能力完备的分析检测能力BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、 BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET 交互格

19、式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、 协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。系统具有强大的IP处理能力,能防止黑客进行各种碎片攻击。TCP多包组合攻击技术(攻 击分许多包发送，一次一个或几个字节)可以轻松地绕过普通的模式匹配类型的入侵防御系 统。BD-NIPS的TCP流重组功能可以重组TCP连接的双方的通讯，组合各个攻击包，使所有 的组合包攻击技术无能为力。端口扫描是入侵的先兆，黑客一般是先通过扫描来确定用户系统的类型，然后针对性的 进行攻击。BD-NIPS具备识别端口扫描功能。普通的入侵防御系统只能识别简单的TCP端口 扫描，不

20、能识别黑客的其它扫描。BD-NIPS可以识别包括TCP扫描、UDP扫描、SYN扫描、 SYN+FIN 扫描、NULL 扫描、XMAS 扫描、Full XMAS 扫描、Reserved Bits 扫描、Vecna 扫描、 NO ACK扫描、NMAP扫描、SPAU扫描、Invalid ACK扫描在内的几乎所有扫描方式。UNICODE漏洞和缓冲溢出漏洞是最常用的攻击手法，也是最常见的系统漏洞，BD-NIPS 可以有效的检测到。BD-NIPS具有完备的功能,特别是BD-NIPS的异常轮廓统计分析技术，使入侵防御系统 具有自主学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析 出各

21、种新形式的入侵、变种的入侵、系统误用。强大的攻击特征模式库BD-NIPS内置攻击模式库有8000多条，能检测出绝大多数攻击行为。并且其中的攻击蓝盾入侵防御系统技术白皮书 模式库也在不断地升级、更新。能检测的主要攻击包括：WEB_ATTACKS 攻击、WEB_IIS 攻击、WEB_CGI 攻击、WEB_FRONTPAGE 攻击、FTP 攻击、DOS 攻击、DDOS 攻击、BACKDOOR 攻击、NETBIOS 攻击、ICMP 攻击、ICMP_EVENT 攻击、DNS 攻击、 SMTP 攻击、SCAN 攻击、RPC 攻击、MSSQL 攻击、TELNET 攻击、VIRUS 攻击、SHELLCODE

22、攻击、 REMOTE_SERVICE 攻击、FINGER 攻击、OVERFLOW 攻击等。3）强大的蠕虫检测能力BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则，可实时检测 各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术 能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。4）实时检测基于服务的攻击行为BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、 TELNET、SMTP、MS SQL、DNS 等。5） 有效的异常检测技术有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮

23、廓统计分析 技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的 异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。BD-NIPS使用的异常检测模块的设计原理图如下图。异常数据包跟踪模块从预处理模 块获取异常数据包，并建立起跟踪队列，同时使用异常检测方法进行深入的异常检测。为了 加快异常检测速度，在异常数据包跟踪模块使用多线程协同式跟踪分析技术。流量状态监控 模块监控网络流量状态及每一工作主机的流量状况，同时实时计算出流量变化情况。会话监 控模块监控TCP会话，从中发现异常会话。在异常集中分析机器学习模块，将异常数据包 跟踪模块、流量状态监控模块、会话监控

24、模块的监控结果进行集中分析、集中关联、集中检测，从中发现异常特征，并进行预警和规则入库。异常数据包跟踪模块预警模块预处理模块流量状态监控模块异常集中分 析机器学习模块规则库1会话监控模块6）违规行为检测功能用户可以定义一些规则，监控内部网络各主机间的连接，保护一些重要的主机和服务器， 对违反规定或不应该出现的连接，即使还没发生攻击，系统也会进行报警。支持对未受权外 联行为的检测。7）网络流量分析BD-NIPS提供流量统计分析功能。能统计、分析网络数据流量，发现异常并及时报警。8） URL关键数据阻断蓝盾入侵防御系统支持对URL关键数据的阻断，并动态过滤。2.3.4 策略设置和升级能力1）灵活的

25、策略设置BD-NIPS检测引擎内置了大约8000条入侵模式，可以检测已知的大部分入侵，BD-NIPS 同时允许有经验的高级用户自定义入侵模式及特征，做到量体裁衣，检测用户最为关注的事 件，并能重现入侵攻击事件。2）支持实时系统升级BD-NIPS检测引擎内置有实时的升级模块，可以通过控制中心在线升级检测引擎，而不 必停止入侵防御系统的正常工作，从而保证了入侵防御系统的无间断运行。3）不断更新的入侵模式新的黑客技术不断涌现，攻击模式需要经常更新；蓝盾信息安全技术股份有限公司将不 断地更新对最新攻击手段的识别，及时扩充到入侵模式库中，最大限度的防范黑客入侵。4）支持远程升级BD-NIPS具有完善的远

26、程升级能力，用户可以在线远程自动更新攻击特征库或升级软件 模块，补充最新发现的攻击特征，使系统拥有最新的产品特性。5）支持IP地址与MAC地址的绑定为了防止IP欺骗、地址伪装，本系统具有MAC绑定技术。它可以将IP地址和网卡的硬 件地址绑定起来。2.3.5 响应能力1）实时的检测分析、响应能力BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反 应快速，实时性高。系统可以实时监控网络中的通讯，一旦发现可疑行为，BD-NIPS可以准 确地显示入侵行为及其相关数据，实时向管理员告警，以便及时采取措施。2）支持多种报警和响应手段BD-NIPS提供多种实时报警和响应手段，

27、报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报蓝盾入侵防御系统技术白皮书 警、消息报警等。在发现发入侵或者异常行为之后，可以根据安全规则提供电子邮件、声讯 警示、消息警示窗、TCP阻断等多种响应方式，并可以与防火墙联动，及时切断入侵通道， 达到主动式防御。而且对入侵主机进行“反向拍照”，对入侵者的身份进行特征提取、记 录。管理能力1）多网段检测、集中管理BD-NIPS可以同时对多个网络实现保护。根据用户具体需求，每个防御引擎可以同时部 署3个网络，如果作为NIDS设备，可以同时检测多达5个用户网络。强大的多网络检测能 力

28、将提高检测的准确性，也将极大地节约包括购买开支、管理开支在内的各项开支。BD-NIPS 检测引擎系统可以集中由控制中心系统进行管理。集中管理可以极大地减少管理工作量。并 且支持多探测器集中管理，远程管理，具有完善的管理数据备份、恢复措施。2）支持分级监控、集中管理BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级的报警日志可根据日志 报警策略一级一级向上汇总，甚至可送到总控制中心；上级控制中心可管理下级控制中心和 下级检测引擎。3）集管理、监控和分析功能于一体的图形化控制台为了确保网络系统的安全，减少入侵防御系统部署、配置、管理方面的支出，设计人员 经过大量细致的工作,设计出了支持

29、集管理、监控和分析功能于一体的图形化控制台。即使 是对网络仅有基本认识的人员，经过简单的技术培训，也可以安装、配置、管理入侵防御系 统。可灵活定制和简单管理的管理员视图。蓝盾IPS系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出 功能。统计统计向用户提供一个时间段内比较突出的攻击事件的统计：比如列出最近1小时发生的 攻击，发起攻击最频繁的100个源IP地址，收到攻击最频繁的100个目标讦地址。汇总信息包 括统计攻击总数、接口总数、和命中攻击的规则总数；并提供按地址和端口进行统计的攻击 数据。查询通过时间、IP等查询明细条件，查询符合条件的攻击事件。图形化分析图形化分析是在指

30、定的时间内，针对不同的统计属性统计出攻击数，并以图形方式显示。 图形化分析结果能分别根据时间、事件规则、IP地址等提供报表。审计、取证能力1） 强大的信息记录、查询能力BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息（可以当作入侵 的证据）、入侵警报信息、系统管理记录等。从而重现入侵攻击事件。用户可以自定义的信 息记录规则，只记录用户关心的网络活动，过滤掉用户不关心的网络信息。记录的信息可以 进行多样化的、用户定义规则的查询。可以生成各种信息的统计报表。2）强大的审计和实用的报表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、攻击报警数据、 管理日

31、志等进行分类统计、关联分析，可以根据用户的设置，将网络信息、分析结果、入侵 记录存储到数据库中，可供查询、生成报表。本系统支持TXT、HTML、PDF格式多达20种日 志与审计报表样式，并支持用户灵活定制。2.3.8联动协作能力1）全面的联动能力BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产品和其它第三方厂家的 安全产品，如防火墙、安全网关、服务器监控软件、桌面主机代理检测软件和DDoS防御网 关等实现联动，共同防御入侵。BD-NIPS还提供通用联动API接口，任何安全设备厂家使用蓝盾入侵防御系统的通用联 动接口，就可以非常容易的和蓝盾入侵防御系统进行联动,从而构架全方位的网络安全防御 体系。2）构建全网防御体系BD-NIPS通过蓝盾主机审计系统提供服务器监控和桌面主机代理检测客户端，通过在 内网每台主机上安装代理检测客户端软件，与本系统检测引擎进行联动，构成一个“全网防 御”体系，可以有效防御、隔离冲击波、震荡波等大规模蠕虫攻击。三、产品优势强大的检测引擎蓝盾NIPS检测引擎结合误用检测和异常检测两种检测方法为用户网络提供了完善的保 护功能。构成FIRST检测引擎关键技术有：基于状态的特征匹配检测技术:基于状态的特征检测技术依据攻击的特征模式对网 络报文进行匹配；协议分析检测:以常用协议为对象，对不符合标