天清入侵防御系统介绍

1、产品白皮书天清入侵防御系系统（V6.0）（Intrussion PPrevenntion Systeem）版本标识：V66.0.1.0单 位：北京启明星星辰信息技术术有限公司版 权 声 明明北京启明星辰信信息技术有限限公司版权所所有，并保留留对本文档及及本声明的最最终解释权和和修改权。本文档中出现的的任何文字叙叙述、文档格格式、插图、照照片、方法、过过程等内容，除除另有特别注注明外,其著著作权或其他他相关权利均均属于北京启启明星辰信息息技术有限公公司。未经北北京启明星辰辰信息技术有有限公司书面面同意，任何何人不得以任任何方式或形形式对本手册册内的任何部部分进行复制制、摘录、备备份、修改、传传播

2、、翻译成成其它语言、将将其全部或部部分用于商业业用途。“天清”为启明明星辰信息技技术有限公司司的注册商标标，不得侵犯犯。免责条款本文档依据现有有信息制作，其其内容如有更更改，恕不另另行通知。北京启明星辰信信息技术有限限公司在编写写该文档的时时候已尽最大大努力保证其其内容准确可可靠，但北京京启明星辰信信息技术有限限公司不对本本文档中的遗遗漏、不准确确、或错误导导致的损失和和损害承担责责任。信息反馈如有任何宝贵意意见，请反馈馈：信箱：北京市海海淀区东北旺旺西路8号中中关村软件园园21号楼启启明星辰大厦厦 邮编：1000994电话：010-827799088传真：010-827799000您可以访问

3、启明明星辰网站：获得最新技技术和产品信信息。目 录TOC o 1-3 h z u概述关于天清天清入侵防御系系统（Intruusion Preveentionn Systtem）是启启明星辰信息息技术有限公公司自行研制制开发的入侵侵防御类网络安全产产品。天清入侵防御系系统围绕深层层防御、精确确阻断这个核核心，通过对对网络中深层层攻击行为进进行准确的分分析判断，在在判定为攻击击行为后立即即予以阻断，主主动而有效的的保护网络的安全全。启明星辰坚信，不不了解黑客技技术的最新发发展，就谈不不上对黑客入入侵的有效防防范。为了了了解黑客活动动的前沿状况况，把握黑客客技术的动态态发展，深化化对黑客行为为的本质

4、分析析，预防黑客客的突然袭击击并以最快速速度判断黑客客的最新攻击击手段，启明明星辰专门建建立了积极防防御实验室(V-AD-LAB)，通通过持续不断断地研究、实实践和积累，逐逐渐建立起一一系列数据、信信息和知识库库作为公司产产品、解决方方案和专业服服务的技术支支撑，如攻击击特征库、系系统漏洞库、系系统补丁库和和IP定位数数据库等。启明星辰在入侵侵检测技术领领域的成就受受到了国家权权威部门的肯肯定和认可，成成为国家计算算机网络应急急技术处理协协调中心(CNCERRT)和CNNCVE的承承建单位. 启明星辰对国内内外最新的网网络系统安全全漏洞与应用用软件漏洞一一直进行着最最及时和最紧紧密的跟踪，对对

5、重大安全问问题成立专项项研究小组进进行技术攻关关，并将发现现的漏洞及时时呈报给国际际CVE（CoommonVulneerabillitiessandExpossures）组织。目前已有多个漏洞的命名被国际CVE组织采用，获得了该组织机构唯一的标识号。天清入侵防御系系统强大的功功能、简单的的操作、友好好的用户界面面、全面的技技术支持解除除了您的后顾顾之忧，是您您值得信赖的的网络安全产产品。入侵防御首先我们来探讨讨一个问题：入侵攻击行为包括括哪些？什么么样的行为可可以称为入侵侵攻击行为？我们来看对入入侵行为的标标准定义：入入侵是指在非非授权的情况况下，试图存存取信息、处处理信息或破破坏系统以使使系

6、统不可靠靠，不可用的的故意行为。通常提到对入侵侵行为的防御御，大家都会会想到防火墙墙。防火墙作作为企业级安安全保障体系系的第一道防防线，已经得得到了非常广广泛的应用，但但是各式各样样的攻击行为为还是被不断断的发现和报报道，这就意意味着有一类类攻击行为是是防火墙所不不能防御的，比比如说应用层层的攻击行为为。想要实现完全的的入侵防御，首首先需要对各各种攻击能准确发现，其其次是需要实实时的阻断防防御与响应。防防火墙等访问问控制设备没没有能做到完完全的协议分分析，仅能实实现较为低层层的入侵防御御，对应用层层攻击等行为无无法进行判断断，而入侵检检测等旁路设设备由于部署署方式的局限，在发现攻击击后无法及时

7、时切断可疑连连接，都达不不到完全防御御的要求。想要实现完全的的入侵防御，就就需要将完全协协议分析和在线防防御相融合，这这就是入侵防防御系统（IIPS）：oonlinee式在线部署署，深层分析析网络实时数数据，精确判判断隐含其中中的攻击行为为，实施及时时的阻断。入侵防御系统和和入侵检测系系统入侵检测系统、入侵防御系统是两两款互相独立立，但又有着着内在联系的的安全产品：入侵检测系统以以旁路方式部部署，监视交交换机上的所所有实时传输输数据，专注注的是全面检检测、有效呈呈现，这意味味着入侵检测测系统是作为为安全监督管管理工具存在在，提供给用用户全面的信信息展现，为为改善用户网网络的风险控控制环境提供供

8、决策依据。入侵防御系统以以在线方式部部署，实时分分析链路上的的传输数据，对对隐藏在其中中的攻击行为为进行阻断，专专注的是深层层防御、精确确阻断，这意意味着入侵防防御系统是作作为安全防御御工具存在，解解决用户面临临的实际应用用上的难题，进进一步优化用用户网络的风风险控制环境境。关注点的不同、部部署目标的不不同决定了两两款产品在客客户价值上的的差异和发展方向上上的不同。对于那些重点关关注风险控制制，由于风险险管理要求不不高，对检测测和监控无具具体要求的行行业，使用入入侵防御系统统就可以很好好的满足其安安全需求。对于那些IT设设施是其业务务运营基础的的行业，ITT设施的风险险将极大影响响其经营风险险

9、，他们既关关注风险管理理又关注风险控控制，希望通过风险险管理不断完完善风险控制制措施，这种种类型的用户户需要的是入入侵检测和入入侵防御相结结合的解决方方案。对于只关注风险险管理的检测测与监控，监监督风险控制制的改进状况况的监督管理理机构和部门门，防御具体体的攻击行为为不是其工作作的重点，他他们需要的是是能够全面呈呈现风险信息息的入侵检测测系统。深层防御与精确确阻断深层防御有数据显示，770%以上的的攻击行为发发生在传输层层和应用层之之间，我们称这类类4-7层上上的攻击为深深层攻击行为为。深层攻击击行为有如下下特点：第一：新攻击种种类出现频率率高，新攻击击手段出现速速度快。据美国CERTT/CC

10、的统统计数据，22006年共共收到信息系系统漏洞报告告8064个个，比20005年增长了了34.6%，漏洞数量量的迅速增长长标志着新攻攻击类型的迅迅速增长，而而在同一份报报告中，采用用分布式蜜罐罐技术捕获的的新攻击样本本数量平均每每天有近1000个，最多多的一天几近近700，这这意味着平均均每天发现1100种新的的攻击手段，最最多的一天发发现的新攻击击手段可多达达700种，这这是一个非常常惊人的数据据。第二：攻击过程程隐蔽。文件捆绑：打开开一份文档，结结果执行了一一个与文档捆捆绑的木马程程序；文件伪伪装：可爱的的熊猫图片，竟竟然是蠕虫病病毒；跨站脚脚本攻击：仅仅仅是访问了了一个网站的的页面，就

11、被被安上了间谍谍软件。攻击击行为正以越越来越可以乱乱真的面貌出出现。除了深层攻击行行为这些自身身的特点外，越越来越多的业业务应用，也也增加了判断断攻击行为的的难度：到底底是正常的应应用还是是违违规的应用呢呢？如何更好的实现现对这些深层层攻击的防御御，是入侵防防御系统需要要解决的问题题。深层需要高效和和准确，防御御则意味着及及时的阻断，深深层防御需要要兼顾两者。精确阻断启明星辰认为：深层防御之之道，精确阻阻断为先。精确阻断是深层层防御的先决决条件：没有有实现对攻击击行为的准确确判断，误阻阻断了正常业业务或者是没没有阻断那些些隐藏的、变变形的攻击行行为，都将给给客户带来巨巨大的损失。而而深层防御也

12、也对精确阻断断提出了更高高的要求：不不能对新的攻攻击行为实现现精确的阻断断，深层防御御就无从谈起起。深层防御、精确确阻断，是天天清入侵防御御系统客户价价值的核心。产品技术特点串行防御和免疫疫防护天清入侵防御系系统支持串行接入模式式，串接在网网络当中，以以边界防护设设备的形式接接入网络，任任何对受保护护网络的访问问数据都将穿穿过防御引擎擎。其标准的的接入方式如如下图所示：图2：串接模式式的部署和传统入侵检测测设备不同的的串接模式，加加强了实时防防御功能。和和传统的边界界防护设备防防火墙相比，两两者的区别如如下图所示：图3：防火墙和和IPS的不不同阻断在发现攻击行为为之后，天清清入侵防御系系统可以

13、主动动的阻断这些些攻击行为，对对内部网络的的系统实现免免疫防护。即即使内部系统统存在相应的的风险漏洞也也可以由入侵侵防御引擎来来将实现先于于攻击达成的的防护。高效的数据处理理性能天清入侵防御系系统有一个显显著的特点就就是可以支持持串行接入模模式。正如很很多边界防护护设备一样，串串行的接入模模式需要面对对的一个主要要问题是如何何使设备不成成为网络传输输的瓶颈。天天清入侵防御御系统在原有有的高性能报报文处理架构构之上，还采采用了如下技技术来确保传传输性能：POLL技术：在通常的系系统中，数据据处理都是采采用中断响应应机制来进行行的。采用中中断在数据包包较少的情况况下，是一个个比较好的解解决方案，但

14、但在数据量较较大的情况下下，尤其是在在千兆级环境境下，处理大大量中断所消消耗的系统资资源是相当可可观的，我们们在这里采用用了轮询方式式的polll技术，CPPU一直保持持工作状态，而而并且等待唤唤醒状态，以以节约在大数数据量情况下下的CPU开开销。在对数数据包的转发发中采用pooll技术，可可以确保较低低的传输时延延。驱动的内部无锁锁技术：常见见的数据结构构有这么三种种：堆栈、队队列和树。在在不同的情况况下，采用不不同的数据结结构，我们对对捕获后的数数据的存储方方式采用的是是环状队列，也也就是说，无无需等待中断断，随时都可可以从存储空空间中实时获获得可进行分分析的数据，自适应的CPUU负载均衡

15、技技术：我们将将每一个实际际的CPU都都虚拟成了多多个虚拟的CCPU，分别别用于处理不不同的事务：分别处理中中断、检测和和通讯等。以上这三项技术术的协同应用用，使得天清清入侵防御系系统在数据包包的处理性能能方面有着出出众的表现。其微秒级的分析时延，完全可以适应电信级用户网络环境需求。权威性的检测特特征库启明星辰认为，基基于误用的检检测方法其核核心就是检测测特征（siignatuure）的提提取，构造一一个好的入侵侵防御系统，依依赖于能否准准确地提取和和描述检测特特征。特别是是在串行环境境下，明晰而而精确的检测测特征将会是是决定保护措措施优劣的重重要砝码。天清入侵防御系系统在提炼检检测特征的时时

16、候采用了如如下两种方式式：方式A：基于漏漏洞机理的分分析方法。利用漏洞机理的的方法来提取取和定义特征征，可以实现现检测和具体体攻击工具的的无关性，特特别对于防止止新型变种的的攻击和攻击击工具改造非非常有效。方式B：基于攻攻击过程的分分析方法。攻击过程分析法法则是完全站站在攻击者的的角度，破析析完整的攻击击过程，可以以判断攻击是是处在攻击尝尝试阶段还是是已经攻击成成功。另外，天清入侵侵防御系统中中对检测特征征的定义都是是通过统一的的标准化VTT+语言来来描述，VTT+语言的的使用，不但但保证了特征征的快速更新新，还向用户户提供了便于于自行定义检检测特征的接接口，从而扩扩充了检测内内容和范围。天清

17、入侵防御系系统的检测防御规规则库全面兼兼容CVE和和CNCVEE，对用户而而言，提供了了更详细了解解网络中发生生行为的机会会。准确的攻击检测测能力入侵检测系统对对客户带来的的价值体现在在对攻击和可可疑行为的及及时发现和主主动响应上，而而实现及时的的发现，就要要求入侵检测测系统拥有全全面的攻击检检测能力。天清入侵防御系系统在对数据据链路层到应应用层的网络络数据全面分分析的基础之之上，融合漏漏洞分析信息息，可以对上上报的攻击事事件进行事先先的预分析，达达到精确报警警的目的。此外，天清入侵侵防御系统采采用了启明星星辰公司设计计并实现的高高效协议自识识别方法VFPR (Venuss Fastt Pro

18、ttocol Recoggnitioon)，该协协议自识别方方法基于协议议指纹识别和和协议规则验验证技术实现现，能够在网网络协议通信信初期根据前前期网络报文特征征自动识别所所属协议类型型，并采用预预先建立的协协议验证规则则进一步验证证协议识别结结果正确性。VFPR方法包括前期协议样本特征提取和在线协议识别两个阶段，其中，协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程，协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。VFPR方法的协议指纹识别过程基于快速哈希表方法实现，而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实现。通过使用VFPR方法

19、，对于一些采用非常规端口的协议也能实现及时的识别和检测。简易便捷的管理理部署对于使用网络安安全产品的用用户而言，简简单管理的第第一步就是简简单的部署方方式，天清入入侵防御系统统遵循了“零更改”的部署原则则。基于这个个原则，天清清入侵防御系系统可以很容容易的接入到到用户网络当当中，并且不不会对网络拓扑扑、应用服务务、运营性能能造成任何影影响。用户无无需设置交换换机镜像，而而只需将入侵侵防御引擎透透明接入到网网络中，便可可即时开始对对网络的防护护。天清入侵防御系系统除了支持持标准的单层层部署模式外外，还支持多多级分布式的的部署方式。特特别的，对于于大规模部署署的用户来说说，可以按照照自身网络的的行

20、政业务结结构，来部署署与之紧密结结合的集中监监管、统一控控制的分级控控制体系。通通过集中下发发防御策略，使使得上级部门门可以实现全全网统一的安安全防御策略略，通过统一一上报的信息息上传机制，使使得上级部门门可以及时了了解各下属单单位及全网的的安全状况，以以便及时修改改和更新防御御策略。另外外，天清入侵侵防御系统还还支持了多监监控台设置，多多个用户可以以仅安装信息息显示中心系系统，并连接接到天清入侵侵防御系统的的控制中心，来来实时接收所所有上报的报报警信息。此此种方式特别别的适合于有有分权管理需需求的用户。 灵活的安全策略略管理天清入侵防御系系统采用基于于策略的防护护方式，内置置了多种默认认安全

21、策略集集，用户可以以根据需要选选择最适合自自己需要的策策略，以达到到最佳防护效效果。除了默认的安全全策略集外，天清入侵防御系统还提供了向导式的策略管理方式，在策略集间还可实现与、或、并、交等逻辑操作，便于用户自定义选择最佳安全策略。对于初次使用天天清入侵防御御系统的客户户，天清还提供了了动态策略调调整的方式，可可以根据预设设事件发生的的频率来自动动调整使用的的安全策略，从从而实现减少少日志量和自自动修改事件件风险级别。丰富的响应分析析方式天清入侵防御系系统在发现网网络中的各种种攻击和违规规行为后，除除了主动式的的阻断外，还还可以通过多种种响应方式及及时通知系统统管理员得知知，这些方式式包括：屏

22、幕显示报警后台日志记录SNMP Trrap信息发送电子邮件声音报警和执行行自定义程序序除了实时的响应应方式外，天天清入侵防御御系统对储存存在后台数据据库中的日志志信息还提供供了多种的分分析手段。用用户可以从系系统提供的1100余种默默认报表模版版中进行选择择，既可以对对事件详细追追踪处理，也也可以发现主主要安全事件件的焦点所在在。天清入侵防御系系统还提供了了多样化的日日志过滤查询询条件，用户户可以进行自自主定义习惯惯的查询模式式，进行有效效的日志分析析查询，报表表的题头、内内容、字段可可供用户自主主调整。通过对于缺省模模版的选择和和自定义过滤滤查询条件，用用户可以进行行自主制定多多样化的分析析

23、报告模版并并进行保存使使用。对于生成的报表表，用户还可可以手动、自自动导出为多多种常用格式（如：WWORDEEXCEL），并设置邮件定时发送报告功能。完善的系统可靠靠保障和传统的入侵检检测系统不同同，串行接入入的天清入侵侵防御系统对对系统可靠性性的要求要高高出许多，在在一些特殊情情况下，确保保网络业务是是第一要义。这这些特殊情况况包括：特殊情况一：掉掉电及硬件故故障。掉电对网络设备备的危害是不不言而喻的。特特别的，当串串接在网络中中的入侵防御御系统掉电了了，对业务层层面的影响将将会是巨大的的。同样，入入侵防御系统统出现硬件故故障，也将对对业务运营造造成影响。特殊情况二：系系统软件故障障。天清入侵防御系系统内置WaatchDoog功能，对对入侵防御引引擎的系统状状态实现实时时的监控。一一旦发现防御御引擎出现软软件故障，即即刻启动BYYPASS功功能。图4：BYPAASS的示意意图部署结构常规部署模式典型部署位置如如下图所示：图5：常规部署署模式A类型的部署：边界防护，放放置在防火墙墙的外面。所所有想要进入入网络内部的的数据都将通通过检测引擎擎，可以将所所有的恶意行行为阻拦在整整个网络之外外。B类型的部署：内部防护，放放在防火墙设设备的后面，对对经过防火墙墙过滤后的数数据进行分析析，作为第二二道大门存在在。边界防