启明星辰天清入侵防御系统技术白皮书
发布时间:2008-01-10   录入:启明星辰

概述

  1.1 关于天清

  天清入侵防御系统(Intrusion Prevention System)是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。

  天清入侵防御系统围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。

  启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

  启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.

  启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE组织采用,获得了该组织机构唯一的标识号。

  天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。

  1.2 入侵防御

  首先我们来探讨一个问题:入侵攻击行为包括哪些?什么样的行为可以称为入侵攻击行为?我们来看对入侵行为的标准定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。

  通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的第一道防线,已经得到了非常广泛的应用,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。

  想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。

  想要实现完全的入侵防御,就需要将完全协议分析和在线防御相融合,这就是入侵防御系统(IPS):online式在线部署,深层分析网络实时数据,精确判断隐含其中的攻击行为,实施及时的阻断。

  1.3 入侵防御系统和入侵检测系统

  入侵检测系统、入侵防御系统是两款互相独立,但又有着内在联系的安全产品:

  入侵检测系统以旁路方式部署,监视交换机上的所有实时传输数据,专注的是全面检测、有效呈现,这意味着入侵检测系统是作为安全监督管理工具存在,提供给用户全面的信息展现,为改善用户网络的风险控制环境提供决策依据。

  入侵防御系统以在线方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决用户面临的实际应用上的难题,进一步优化用户网络的风险控制环境。

  关注点的不同、部署目标的不同决定了两款产品在客户价值上的差异和发展方向上的不同。

  对于那些重点关注风险控制,由于风险管理要求不高,对检测和监控无具体要求的行业,使用入侵防御系统就可以很好的满足其安全需求。

  对于那些IT设施是其业务运营基础的行业,IT设施的风险将极大影响其经营风险,他们既关注风险管理又关注风险控制,希望通过风险管理不断完善风险控制措施,这种类型的用户需要的是入侵检测和入侵防御相结合的解决方案。

  对于只关注风险管理的检测与监控,监督风险控制的改进状况的监督管理机构和部门,防御具体的攻击行为不是其工作的重点,他们需要的是能够全面呈现风险信息的入侵检测系统。
  第2章 深层防御与精确阻断

  2.1 深层防御

  有数据显示,70%以上的攻击行为发生在传输层和应用层之间,我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点:

  第一:新攻击种类出现频率高,新攻击手段出现速度快。

  据美国CERT/CC的统计数据,2006年共收到信息系统漏洞报告8064个,比2005年增长了34.6%,漏洞数量的迅速增长标志着新攻击类型的迅速增长,而在同一份报告中,采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个,最多的一天几近700,这意味着平均每天发现100种新的攻击手段,最多的一天发现的新攻击手段可多达700种,这是一个非常惊人的数据。

  第二:攻击过程隐蔽。

  文件捆绑:打开一份文档,结果执行了一个与文档捆绑的木马程序;

  文件伪装:可爱的熊猫图片,竟然是蠕虫病毒;

  跨站脚本攻击:仅仅是访问了一个网站的页面,就被安上了间谍软件。

  攻击行为正以越来越可以乱真的面貌出现。

  除了深层攻击行为这些自身的特点外,越来越多的业务应用,也增加了判断攻击行为的难度:到底是正常的应用还是违规的应用呢?

  如何更好的实现对这些深层攻击的防御,是入侵防御系统需要解决的问题。

  深层需要高效和准确,防御则意味着及时的阻断,深层防御需要兼顾两个方面:既要高效和准确,又要做到及时的阻断响应。

  2.2 精确阻断

  启明星辰认为:深层防御之道,精确阻断为先。

  精确阻断是在对安全事件深入分析的基础上,实现对攻击/恶意行为的准确判断和及时阻断。

  精确阻断是深层防御的先决条件:没有实现对攻击行为的准确判断,误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为,都将给客户带来巨大的损失。

  而深层防御也对精确阻断提出了更高的要求:不能对新的攻击行为实现精确的阻断,深层防御就无从谈起。

  深层防御、精确阻断,是天清入侵防御系统客户价值的核心。

  

  第3章 产品特点分析

  3.1 完善的产品架构分析


  从深层攻击的几个特点来看,安全威胁的趋势是朝着复杂、迅速、多变的方向发展,要实现对这些基于高级语言的深层攻击的防御,要求防御系统能实现复杂的逻辑识别和及时的事件检测更新。这就要求一个开放的高级语言平台来支持对入侵行为的检测和防御。

  天清入侵防御系统在

  3.2动静相济的柔性化检测

  想要准确发现日益演变的攻击行为,方法一是针对各种新出现的攻击都编写一种检测方法,动态的以变应变;方法二是尽量提炼某类型攻击的特征,用一种分析方法涵盖一种类型的攻击,静态的以不变应万变。这两种方法各有优劣:方法一可以应对几乎所有的已知攻击行为,但无法防范变种,规则升级需求频繁;方法二可以准确判断变种和未知攻击,但并非所有事件都可以通过此方法实现检测。

  天清入侵防御系统融合了上述两种威胁分析方法,适应了威胁演变的趋势,形成了将动态应对和静态应对相融合的攻击分析方法,是一种动静相济的柔性化检测机制。

  柔性化检测最大的特点就是基于威胁机理的阻断方法与基于威胁特征的阻断方法并存,将“变”与“不变”两种分析理念深度融合。

 3.3

  天清入侵防御系统支持串行接入模式,串接在网络当中,以边界防护设备的形式接入网络,任何对受保护网络的访问数据都将穿过防御引擎。其标准的接入方式如下图所示:

  

 

  和传统入侵检测设备不同的串接模式,加强了实时防御功能。和传统的边界防护设备防火墙相比,两者的区别如下图所示:

  


  3.4 灵活的安全策略管理

  天清入侵防御系统采用基于策略的防护方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防护效果。

  除了默认的安全策略集外,天清入侵防御系统还提供了向导式的策略管理方式,在策略集间还可实现与、或、并、交等逻辑操作,便于用户自定义选择最佳安全策略。

  对于初次使用天清入侵防御系统的客户,天清还提供了动态策略调整的方式,可以根据预设事件发生的频率来自动调整使用的安全策略,从而实现减少日志量和自动修改事件风险级别。

  3.5 丰富的响应分析方式

  天清入侵防御系统在发现网络中的各种攻击和违规行为后,除了主动式的阻断外,还可以通过多种响应方式及时通知系统管理员得知,这些方式包括:

   屏幕显示报警

   后台日志记录

   SNMP Trap信息

   发送电子邮件

   声音报警和执行自定义程序

   ……

  除了实时的响应方式外,天清入侵防御系统对储存在后台数据库中的日志信息还提供了多种的分析手段。用户可以从系统提供的100余种默认报表模版中进行选择,既可以对事件详细追踪处理,也可以发现主要安全事件的焦点所在。

  天清入侵防御系统还提供了多样化的日志过滤查询条件,用户可以进行自主定义习惯的查询模式,进行有效的日志分析查询,报表的题头、内容、字段可供用户自主调整。

  通过对于缺省模版的选择和自定义过滤查询条件,用户可以进行自主制定多样化的分析报告模版并进行保存使用。

  对于生成的报表,用户还可以手动、自动导出为多种常用格式(如:WORD\EXCEL),并设置邮件定时发送报告功能。

  3.6 完善的系统可靠保障

  和传统的入侵检测系统不同,串行接入的天清入侵防御系统对系统可靠性的要求要高出许多,在一些特殊情况下,确保网络业务是第一要义。这些特殊情况包括:

  特殊情况一:掉电及硬件故障。

  掉电对网络设备的危害是不言而喻的。特别的,当串接在网络中的入侵防御系统掉电了,对业务层面的影响将会是巨大的。同样,入侵防御系统出现硬件故障,也将对业务运营造成影响。

  特殊情况二:系统软件故障。

  天清入侵防御系统内置WatchDog功能,对入侵防御引擎的系统状态实现实时的监控。一旦发现防御引擎出现软件故障,即刻启动BYPASS功能。

  

 第4章 部署结构

  4.1 常规部署模式

  典型部署位置如下图所示:

  

  

  A类型的部署:边界防护,放置在防火墙的外面。所有想要进入网络内部的数据都将通过检测引擎,可以将所有的恶意行为阻拦在整个网络之外。

  B类型的部署:内部防护,放在防火墙设备的后面,对经过防火墙过滤后的数据进行分析,作为第二道大门存在。

  边界防护部署可以让用户了解网络的最真实状况,什么时间有什么人对企业网络做了什么事情,而不论这些行为是否能进入到网络当中来。同时,大量的报警信息可能会使管理员陷入难以完全分析的境地。内部防护部署则避免了这一现象的产生,更加专注于检测能够通过访问控制设备进入到网络中来的数据信息。

  

  4.2 双重链路部署

  天清支持双重链路的部署方式(C类型的部署),一台检测引擎上可以串接两路防御。在有设备冗余备份的环境中,可以使用一台设备就完成冗余备份的需求。

  

  



  

  4.3 多层结构部署

  天清入侵防御系统同时也支持大规模跨地域的管理部署模式,控制中心可以下接防御引擎,也可以挂接子控制中心。

  

  



  

  总控制中心可以同时管理子控制中心和防御引擎,而子控制中心也可以同时管理自己的下级控制中心和防御引擎。可灵活设置成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制,使上级部门能够统一全网的安全防护策略;通过信息上传机制,使上级部门能够及时了解和监控全网的安全状态。

  第5章 综述

  防火墙系统可以很好的控制那些不被允许访问您内部网络的数据通讯行为,传统的入侵检测系统可以很好的监管您网络内部的一切网络通讯行为,但对于那些有权限进入您内部网络的恶意代码来说,需要有一道屏障性的防御措施来有效的抵御那些防火墙系统所不能发现、传统的入侵检测系统所不能阻止的攻击行为。

  天清入侵防御系统给了您一个最佳的选择:及时发现+主动阻止。对于网络应用越来越广泛的今天,各种类型的攻击行为层出不穷,天清入侵防御系统这种一站式安全防护产品,必将在确保业务系统的连续运行和安全性方面起到重要的、不可替代的作用。

文章来源:http://www.venustech.com.cn/
  • 联系我们 | 网站地图 | 服务热线:800-810-6038
  • © 启明星辰 1996-2007 版权所有 京IPC备05032414号