天清入侵防御产品白皮书

PAGEPAGE1天清入侵防御系统技术白皮书深层防御、精确阻断北京启明星辰信息技术有限公司BeijingVenusInformationTech.Inc.二零零八年五月天清入侵防御产品白皮书PAGE11北京启明星辰信息技术有限公司深层防御、精确阻断版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天清”为启明星辰信息技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100094电话真可以访问启明星辰网站：获得最新技术和产品信息。启明星辰公司简介启明星辰信息技术有限公司成立于1996年，是一家由中国留学生创立的，拥有自主知识产权的网络安全高科技企业。启明星辰公司的使命是：提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，成为中国最具有主导地位的企业级网络安全供应商，稳步迈入国际网络安全领导企业行列。启明星辰公司的目标和宗旨是：“诚信为先、技术领先、服务本地化、用户第一，成为国际一流的TSP——诚信的网络安全产品、服务与管理平台提供商。”启明星辰公司目前已经形成三条业务主线：在安全管理平台（SOC）方面，启明星辰的泰合信息安全运营中心系统可以满足用户对于多种信息安全产品管理的需要，它包括面向事件的泰合关联管理平台、基于安全域的泰合业务风险监控管理平台、针对处理和响应的泰合工作流管理平台，具有开放性、全方位性以及客户化的特点。在安全服务方面，启明星辰公司强调“以人为本”的实时安全过程，可提供M2S国际化管理咨询、M2S专业化风险评估、M2S实时性管理监控、M2S专家型应急响应以及CISP认证培训服务。在安全产品方面，启明星辰公司可提供入侵检测、入侵防御、漏洞扫描、防火墙/UTM、内网管理系统、上网行为监控系统、非法外联监控系统、防间谍软件系统、安全审计系统、网站监测与自动恢复系统等主流网络安全产品。目录1 概述 31.1 发展过程和方向 31.2 适用背景 42 产品综述 42.1 产品简介 42.2 产品型号设置 52.3 产品特点 53 产品亮点技术 64 产品典型应用 65 服务支持 9概述入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，通常以串行方式透明接入网络。入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产品被大部分网络安全管理人员认知的同时，就出现了入侵防御的概念。在经过一段复杂的发展过程后，入侵防御产品的价值逐渐清晰，并获得了市场的认可。发展过程和方向从2000年出现入侵防御概念，到2006年才形成规模市场销售，入侵防御产品的发展过程分为两个阶段。起步阶段最初的入侵防御概念认为“入侵防御将会是入侵检测的升级版本”，因此当时的入侵防御系统仅仅是将入侵检测系统串行接入，发现攻击后对数据包予以丢弃。事实上入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在分歧。这些问题导致了“替代论”并不为大众所认可。成熟阶段随着大量的机构开始使用网络作为办公或业务开展的载体，网络应用越来越复杂，这些机构所关心的网络安全问题更多的是如何有效防御越发严重的网络应用层攻击行为。这与传统入侵检测产品的风险管理目标没有重合，需要入侵防御产品来弥补这一空缺。而上述要求，也正是入侵防御产品的发展方向：发现并准确阻断那些防火墙等其他安全产品所不能防御的深层威胁行为。适用背景和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御），这就使得入侵防御产品的防御目标较为集中：主要是保护那些对外提供服务的业务系统的安全。产品综述产品简介天清入侵防御产品是启明星辰公司自行研制开发的入侵防御类安全产品，围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。和启明星辰公司的天阗入侵检测产品不同，前者的产品目标是实时发现并准确判断网络中存在的攻击，并及时予以阻断，而后者的产品目标是全面检测网络中的实时网络数据，及时发现入侵和异常，并将事件的详细信息和处理建议以报警方式呈现给管理员。天清入侵防御产品也包括两个组成部分：硬件形态的入侵防御引擎和软件形态的入侵防御控制台。入侵防御引擎串行接入到网络中，对所有穿透引擎的数据进行分析和做出响应。入侵防御控制台包括四个可独立部署也可以组合部署的部分：管理控制台负责向入侵防御引擎下发策略以及接受引擎上报事件，这些上报的事件依据响应策略实时显示在报警监控台和存储在日志数据库中，存储在日志数据库中的历史信息可以通过报表分析组件进行报告的生成和查询。产品型号设置天清入侵防御产品提供了适应不同网络规模需求的产品型号：表一：天清入侵防御产品型号说明产品型号适用网络NDP100基本百兆NDP200高端百兆NDP1000基本千兆NDP2000高端千兆产品特点无缝接入天清入侵防御产品串行接入口无IP地址设置，部署后在网络环境中透明。不更改用户的原有网络拓扑，也无需更改用户原有网络配置。精确防御天清入侵防御产品提供了对各种入侵威胁行为的防御，通过下发内置默认策略，可以实现对如下攻击行为的精确阻断：天清入侵防御产品能实现的精确阻断精确阻断溢出攻击精确阻断木马后门精确阻断即时通讯行为精确阻断SQL注入攻击精确阻断间谍软件精确阻断网络游戏行为精确阻断流行蠕虫攻击精确阻断僵尸程序精确阻断异常协议行为精确阻断数据库漏洞攻击精确阻断恶意代码精确阻断脆弱口令行为精确阻断操作系统漏洞攻击精确阻断扫描探测行为精确阻断广告软件行为链路保障天清入侵防御产品提供软、硬双BYPASS功能，保障链路在各种情况下的通畅。软BYPASS：在入侵防御引擎关键进程出现异常或需要重新启动（如软件升级，重置策略等）的情况下，确保链路通讯正常。硬BYPASS：在入侵防御引擎出现硬件故障或掉电的情况下，确保链路通讯正常。产品技术特点天清入侵防御采用了独创式的柔性化检测机制，综合了基于攻击原理和基于攻击特征的两种检测手法，既扩大了攻击检测的覆盖面，又保障了检测的精确度。柔性化检测机制包括如下专有技术：在攻击前期：抗躲避检测——采用载体还原技术，重新组合攻击会话，可以发现那些割裂攻击会话攻击企图。拟态识别——采用过程再现技术，模拟目标环境实现攻击语言解析，可以发现那些企图以多变shell或字符替换方式进行的攻击企图。在攻击分析阶段：多因子协议识别——在识别网络数据的协议时，并不单纯采用RFC的端口标准规范，而是综合协议指纹技术，融合协议的常见字段、参数和惯用用法，对没有采用常规端口的协议进行准确识别。协议伺服器——支持随时添加对新型协议的支持，而不影响原有协议识别机制。在攻击判定阶段：会话内和会话间的时序关联——有一些攻击事件可能并不是一个会话，而是由多个会话组合，这就要求检测设备可以将多个会话关联起来分析。多个参数组合判断事件——对于一些复杂的事件，需要组合多个逻辑参数变量进行判断，任何一个单一变量都不是攻击，但多个组合在一起，就形成完整的攻击。基于漏洞机理的判断机制——对某一个漏洞而言，可能会存在上百种攻击方法，无需为每一种新的攻击变种定制单独的检测规则，而是针对漏洞的攻击机理进行分析，不论是什么变种，都可以及时发现。上述技术综合起来，确保了天清入侵防御产品的最大产品特点：精确阻断。作为串行接入的防御产品，如果没有确保精确阻断这一核心，就有可能阻断正常业务，使得所有的保护和防御措施都失去意义。产品亮点技术启明星辰在天清入侵防御产品的技术研究上进行了充分的考虑，结合入侵防御产品的发展方向和核心，将技术研究的重点聚焦在对应用业务的深层防御上，特别是针对目前普及最为广泛的Web业务的威胁防御能力，更是达到国际领先水平。据OWASP（OpenWebApplicationSecurityProject）的报告称，当前Web业务面临的最大威胁就是SQL注入和XSS（跨站脚本攻击）。这两种攻击的都是利用了网站页面的脚本编写不完善，导致攻击者可以提交精心构造的URL、FORM表单或POST信息，绕过数据库的权限认证（SQL注入攻击），或者是提交发布一些含有恶意脚本的内容，当潜在受害者访问了这些内容后，将会泄露自己的私密信息（XSS攻击）。正是由于这类攻击所利用的并不是通用漏洞，而是每个页面自己的缺陷，所以变种和变形攻击数量非常多，如果还是以普通的特征匹配方面进行检测，漏报和误报率将会极高。天清入侵防御系统采用VXID专利技术，采用攻击手法分析而非攻击代码特征分析的方法，可以准确而全面的检测和防御此类Web攻击行为。VXID技术介绍：VXID技术是启明星辰公司独创的Web业务威胁检测算法，该算法分为两个个阶段，第一阶段是行为提取阶段，分析和提取Web攻击的行为特征而非数据特征，建立Web击行为特征库；第二阶段是实时分析网络数据，在入侵防御设备内部构建“轻型虚拟机”，模拟攻击行为以观察其行为特征，正确判断攻击行为的发生。这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率，也避免了由于检测规则过于严苛造成的误报。其工作流程图如下：产品典型应用在面对wWeb务进行防御时，我们有两种典型应用模式。模式A：独立部署天清入侵防御产品，对wWeb务系统进行防护。透明方式接入，无需调整和更改网络的拓扑结构，实现对服务器的保护。图1：独立部署入侵防御模式B：结合网站篡改恢复系统，从攻击防御和自身监测恢复两个方面，实现对网站的保护。天清入侵防御产品部署在服务器与互联网中间，网站篡改恢复系统安装在wWeb务器上，通过入侵防御产品来防御针对wWeb务系统的攻击，网站篡改恢复系统则实时监测静态信息，一旦发现有未授权更改，实时恢复。图2：结合网站篡改恢复部署入侵防御此外，天清入侵防御系统也支持大规模跨地域的部署方式，其典型部署结构图如下：模式C：大规模多级分布式部署，在总部设置总控制中心，各下属机构设置子控制中心，各控制中心可以直接管理入侵防御引擎也可以挂接下级控制中心，实现策略的统一下发和报警信息的集中上报。图3：多级分布式部署入侵防御

服务支持北京总部售后统一支持热线：800－810－6038WWeb址：分支机构联系方式：上海启明星辰信息技术有限公司地址：上海市浦东张江高科技园区松涛路563号海外创新楼A座6层

邮编：201203

电话/p>

传真/p>

E-MAIL：shanghai@启明星辰信息技术有限公司深圳分公司地址：深圳市福田区深南中路2号新闻大厦十四层

邮编：518027

电话/p>

传真/p>

E-MAIL：shenzhen@启明星辰信息技术有限公司武汉分公司地址：武汉市武珞路717号兆富国际大厦3005室

邮编：430072

电话/p>

传真/p>

E-Mail：wuhan@启明星辰信息技术有限公司重庆分公司地址：重庆市高新区科园一路200号渝高广场C座15－1号

邮编：400039