启明星辰天阗入侵检测与管理系统V6白皮书
发布时间:2008-01-10   录入:启明星辰

  前言

  1.1 关于天阗

  天阗入侵检测与管理系统是启明星辰信息技术有限公司自行研制开发的入侵检测类网络安全产品。

  天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的基础上,引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理安全事件并进行及时处理和响应。

  启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

  启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.

  启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE组织采用,获得了该组织机构唯一的标识号。 同时,启明星辰公司的天阗入侵检测与管理系统和天镜脆弱性扫描与管理系统都通过了CVE严格的标准评审,获得最高级别的CVE兼容性认证(CVE Compatible),从而成为国内IDnVA市场中唯一两项都获得CVE认证的厂商,这标志着启明星辰公司无论在入侵检测,还是在漏洞扫描的技术实力方面均已与国际接轨,并且其研发成果已得到了国际权威组织的充分认可。

  天阗系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。
  1.2 常见入侵技术和手段

  入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自互联网的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问。

  入侵技术和手段是不断发展的。从攻击者的角度说,入侵所需要的技术是复杂的,而应用的手段往往又表现得非常简单,如下图1-1所示。这种特点导致攻击现象越来越普遍,对网络和计算机的威胁也越来越突出。

  


图1-1 入侵技术和手段的关系图



  入侵过程一般可以概括为五个步骤或阶段,我们可以就入侵过程的五个阶段来分析其应用的技术和手段。需要注意的是,作为具体的攻击,不一定完全按此五个阶段进行。

  信息探测

  信息探测一般是入侵过程的开始,攻击者开始对网络内部或外部进行有意或无意的可攻击目标的搜寻,主要应用的技术包括:目标路由信息探测、目标主机操作系统探测、端口探测、帐户信息搜查、应用服务和应用软件信息探测以及目标系统已采取的防御措施查找等等。目前,攻击者采用的手段主要是扫描工具,如操作系统指纹鉴定工具、端口扫描工具等等。

  攻击尝试

  攻击者在进行信息探测后,获取了其需要的相关信息,也就确定了在其知识范畴内比较容易实现的攻击目标尝试对象,然后开始对目标主机的技术或管理漏洞进行深入分析和验证,这就意味着攻击尝试的进行。目前,攻击者常用的手段主要是漏洞校验和口令猜解,如:专用的CGI漏洞扫描工具、登录口令破解等等。

  权限提升

  攻击者在进行攻击尝试以后,如果成功也就意味着攻击者从原先没有权限的系统获取了一个访问权限,但这个权限可能是受限制的,于是攻击者就会采取各种措施,使得当前的权限得到提升,最理想的就是获得最高权限(如Admin 或者Root权限),这样攻击者才能进行深入攻击。这个过程就是权限提升。目前,攻击者常用的手段主要是通过缓冲区溢出的攻击方式。

  深入攻击

  攻击者通过权限提升后,一般是控制了单台主机,从而独立的入侵过程基本完成。但是,攻击者也会考虑如何将留下的入侵痕迹消除,同时开辟一条新的路径便于日后再次进行更深入地攻击,因此,作为深入攻击的主要技术手段就有日志更改或替换、木马植入以及进行跳板攻击等等。木马的种类更是多种多样,近年来,木马程序结合病毒的自动传播来进行入侵植入更是屡见不鲜。

  拒绝服务

  如果目标主机的防范措施比较好,前面的攻击过程可能不起效果。作为部分恶意的攻击者还会采用拒绝服务的攻击方式,模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源,使正常的服务变得非常困难,严重的甚至导致目标主机宕机,从而达到攻击的效果。目前,拒绝服务工具成为非常流行的攻击手段,甚至结合木马程序发展成为分布式拒绝服务攻击,其攻击威力更大。

 1.3 入侵检测与网络安全体系

  网络安全是一个动态的概念,可以用网络动态安全模型来描述,能够提供给用户更完整、更合理的安全机制。全网动态安全体系可由下面的公式概括:

  网络安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时检测(D) + 实时响应(R) + 灾难恢复(R)

  


图1-2:APPDRR动态安全模型



  即:网络安全是一个“APPDRR”的动态安全模型。然而,在这个安全模型中,并非各个部分的重要程度都是等同的。在安全策略的指导下,进行必要的系统防护有积极的意义,但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。

  在攻击与防御的较量中,实时检测是处在一个核心的地位。在实时检测中,入侵检测系统((英文简称IDS:Intrusion Detection System)是目前最为主要的一个广泛应用的技术和管理手段。

  入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统则是从多种计算机系统及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。它能够实时监控网络传输或主机系统,自动检测可疑行为,及时发现来自网络外部或内部的攻击从而实时响应,并提供了安全事件的详细说明及恢复、修补措施。入侵检测系统还可以与防火墙等其它安全产品紧密结合,最大程度地为网络系统提供安全保障。

 

  1.4 从入侵检测和入侵管理

  启明星辰认为,入侵检测技术将从简单的事件报警通过入侵检测与管理系统(IMS)达到广泛的趋势预测和深入的行为分析。

  入侵检测与管理系统是可以充分结合动态安全模型中的各个环节,唯一一个全天候运行的系统。利用入侵检测与管理系统可以了解网络的运行状况和发生的安全事件和流量分布,并根据安全事件和恶意流量来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,结合漏洞和资产信息为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。

  入侵检测与管理系统具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,四大典型特征本身是具有一个明确的层次关系的。

  首先,大规模部署是实施入侵管理的基础条件。一个有组织的完整系统通过规模部署的作用,要远远大于单点系统简单的叠加。比如:建立一个全世界的地震活动监测网系统,就可以看出全球地震带的活动状况和规律;而如果只是孤立的监测点就很难做到这点。IMS对于网络安全监控有着同样的效用,可以实现从宏观的安全趋势分析到微观的事件控制。

  第二、入侵预警。检测和预警的最终目标就是一个“快”,要和攻击者比时间。只有减小这个时间差,才能使损失降低到最小。试想,如果蠕虫已经大规模爆发,并且已经引起了严重的后果,这种时候如果才预警已经严重滞后了。要实现这个“快”字,入侵预警必须具有全面的检测途径,并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用,也是升华IMS的一个非常重要的功能。

  第三、精确定位。入侵预警之后就需要进行精确定位,这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域,良好的定位还可以通过联运接口和其它安全设备进行合作抑制攻击的继续。总体的说来,IMS要求做到对外定位到边界,对内定位到设备。

  第四、监管结合。监管结合就是把检测提升到管理,形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理,通过IMS可以实现对资产风险的评估和管理。监管结合是要通过人来实现但并不意味着大量的人力投入,IMS具备良好的集中管理手段来保证人员的高效,同时具备全面的知识库和培训服务,能够有效提高管理人员知识和经验,保证应急体系的高效执行。

  IMS体系中需要一个重要的核心技术,那就是对漏洞生命周期和机理的研究。启明星辰的核心竞争力集中在对检测技术和漏洞技术的研究方面,启明星辰具体的安全产品是有其生命周期的,但是产品背后的核心技术是不断的发展的,特别是攻防领域的检测技术。因此,对于漏洞生命周期和机理的研究,将是启明星辰今后的一个长期发展方向,而这也是能够走向IMS的一个重要保证。在IMS品牌方面,启明星辰具备多种型号产品适应不同的环境要求。在配合安全域良好划分的规模化部署条件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快!更准!更全面

  天阗入侵检测与管理系统和传统的入侵检测产品相比,具有如下几个显著的优点:

  将不同的安全产品在统一的管理控制中心采用拓扑化方式进行集中管理和配置,完成安全策略的制定和分发,综合显示多样化的检测信息,引导入侵管理向平台化方向发展;

  引入的集中监管、分级部署的多级管理体系全面符合中国国情的行政业务的管理模式,真正实现分布式产品的结构统一协调管理,建立安全信息的全局预警机制;

  利用基于攻击特征或漏洞机理的分析,提取出网络流量中不同类型的恶意流量大小和比例,建立全局的异常流量监测体系,和网络入侵检测紧密配合,从宏观和微观两个层面来了解网络安全状况和威胁态势。

  利用IP定位和图形化的表现方式,使得条目式网络入侵事件以形象的可视化方式显现出来,提高对入侵事件的定位能力和响应速度。

  深入挖掘不同安全产品的内在相关性,采用协同关联技术,加强安全产品之间的优势互补,提高安全产品协同作战能力;

  采用规范化的通讯结构,可以实现管理体系的全面升级和扩容,并支持SOC更高层次的安全管理。

 第2章 关键技术

  2.1 系统结构  

  


上图显示的是天阗入侵与管理系统的系统框架。



  2.2 高性能报文处理架构

  DMA和零拷贝技术

  IDS作为保障信息安全的重要环节,一直发挥着重要作用。目前,由于网络自身的发展非常迅速,一般的网络局域网主干交换带宽速度由10/100M的网络发展到1000M,给IDS带来了巨大的挑战。由于传统的入侵检测系统一般基于简单的模式匹配实现,在百兆满负荷的网络环境中工作已经相当吃力,而网络带宽成10倍的增加,如果不考虑其它条件,意味着要求IDS增加10倍的处理能力,因此网络的发展,提出了千兆或更高性能IDS的需求。而高性能入侵检测的一个重要瓶颈就在于高速的报文捕获和批量处理分析。

  为了提高报文捕获的效率,通过修改网卡驱动程序,使用DMA和数据零拷贝技术零拷贝技术,大大提高了效率,如下图所示:

  


图1:DMA和数据零拷贝技术和传统入侵检测报文捕获技术的比较



  零拷贝技术省略了TCP/IP堆栈的处理,直接将网卡通过DMA直接数据传输将报文数据传递到了IDS系统可以访问的空间,大大减少了传统方式中因为上下文切换和数据拷贝而带来的系统开销,使用了零拷贝技术之后,系统的捕包效率大大提高,测试结果是在能够在1.4G的CPU下,捕获100万/秒报文时,CPU占用率还低于10%。这种效率完全可以满足在千兆高速环境下入侵检测分析。

  支撑平台结构和系统优化

  对于整体结构的优化有助于进一步提高IDS系统引擎的速度。

  并行处理

  在双CPU并行处理机上,通过使用多线程,使得我们可以将多个报文同时进行处理,为了减少同步带来的代价,使用报文的预分析,然后根据预分析的结果进行任务分配,将一个报文的所有分析和匹配工作都交给一个工作线程去处理,多个线程可以同时并行处理多个报文。

  使用汇编语言实现关键处理

  通过使用汇编语言可以大大减少使用高级语言带来的冗余代码,在核心的关键处理上如模式集合的匹配上使用汇编语言实现能够大大提高效率。

  优化内存分配算法

  经过分析在IDS系统中,会大量的使用内存的分配和释放操作,如果,实现中都通过系统的分配释放函数来实现会大大影响系统的处理速度。通过使用简化而且合理的内存分配算法,能够使这部分的代价减少。

  精简运行的操作系统

  通过精简运行的操作系统,使用优化程序技术也是提高入侵检测的性能的必要条件,同时保证了入侵检测产品的自身安全性。
  2.3 基于状态的协议分析

  协议分析模块完成IDS系统引擎中主要的分析工作,对于一个报文在引擎的处理过程中,报文:分析:匹配=1:1:N,这就是说一个报文需要经过一次分析,再和N条规则进行匹配之后产生事件。如果能够通过更准确的分析,减少匹配的工作,就能够最终提高整个IDS系统的处理效率。因此协议分析的准确性和效率对于整个系统的处理效率影响非常大。这部分包括两个大的方面:

  提高协议分析的速度

   1.基于状态的协议分析

   网络中通讯的报文一般都不是孤立的,而是在一系列的报文通讯之中的,也就是说是有一定的报文前后上下文的。通过基于状态的协议分析,能够大大提高解析的准确度,同时对于不同报文采用不同的少量分析的方式,从而也提高了协议分析的速度。

   2.运用多种算法进行解析

   在报文的分析过程,采用多种算法来提高协议解析的速度,比如使用高速树型匹配算法、HASH算法等等。

   提高协议分析的效果

   采用两种方法提高协议解析的效果:直接产生协议分析中确定的事件和更深入的协议分析。

   1.直接产生协议分析中确定的事件

  通过在协议分析模块中直接产生事件,从而减少在匹配规则模块中规则集的规模,如:RFC协议确定的事件和异常事件:如 FLOOD攻击,从而提高整个报文的处理速度。

   2.更深入的协议分析

   更深入的协议解析提高了规则集中规则的匹配准确性,比如缩小一次字符串匹配在报文中搜索范围,从而节省时间,提高规则匹配的效率。

  2.4 树型规则和匹配算法

   前面已经提到,报文:分析:匹配=1:1:N的关系。一个报文需要跟多条规则进行比较,这需要大量的运算,占用许多的CPU时间。通过三个方法去提高其效率:协议规则子集、规则树和快速模式集合匹配。

  1. 协议规则子集

   协议规则子集是通过将规则集合中的规则按照其所属的协议分成许多小的子集,而一个报文只与其相关的协议规则子集中的规则进行匹配,从而大大减少实际一个报文进行匹配的规则数量,减少匹配时间。

  2. 规则树

  将线性规则匹配方式改造成为树型规则匹配方式,就必须构造规则树。通过规则树,我们可以很容易在匹配过程中淘汰掉不可能的规则,减少重复判断的次数,并实现将一个协议变量的多个取值放到一起(形成取值集合)进行判断,大大的提高了比较效率。

  3. 快速模式集合匹配

  由于在一个报文的匹配中,最为耗时的匹配运算是在报文中匹配一个字符串模式,通过快速模式集合匹配算法来提高这部分匹配的效率。快速匹配意味着能够尽可能快的在一个正文串中查找到一个模式串的存在,这是通过提高匹配时移动模式的距离实现的;集合匹配意味着同时快速的对多个模式进行匹配。二者的结合就是在一个报文中快速的匹配多个模式。

  2.5 特征提取分析和描述

  解决入侵检测的漏报和误报现象还依赖于准确的特征提取和描述,在天阗所应用的特征全面采用了如下两种特征分析方法和统一的规范化语言描述

  基于漏洞机理的特征分析

  利用漏洞机理的方法来提取和定义特征,可以实现检测和具体攻击工具的无关性,特别对于防止新型变种的攻击和攻击工具改造非常有效。

  基于攻击过程的特征分析

  攻击过程分析法则是完全站在攻击者的角度,破析完整的攻击过程,可以判断攻击是处在攻击尝试阶段还是已经攻击成功。

   VT++规范描述语言

  天阗不论是那种分析方法,最后都是通过规范化的VT++描述语言来进行统一定义。采用VT++描述语言保证了特征的快速更新和供用户自主定义新的攻击特征以及用户关注的特殊行为,从而扩充检测内容和范围

  2.6 分级管理与控制技术

  上级管理端可以对下级管理端进行监测传感器配置管理、策略下发、升级等管理,并可以显示下级上报的各种事件。每级管理端在管理下级管理端的同时还可以直接管理监测传感器。管理端进行多级部署逻辑图如下:

  

  

  上级对下级的管理模式包括集权管理模式和灵活管理模式,可以应对不同的管理需求。
  
  2.7 面向对象的虚拟引擎

  虚拟引擎技术是指在一台入侵检测系统的物理引擎上,可以虚拟出多个引擎。可以按照网络环境指定的分类标准,比如VLAN(组)、MAC地址(组)、IP地址(组、段),进行分别防护。在每一个虚拟引擎上可以执行不同的检测策略集,因此可以做到不同的响应方式,从而实现有针对性的入侵检测。

  采用虚拟引擎技术使得在单一硬件设备中可以完成以往需要多套硬件设备才能完成的任务,同时IDS在部署上更为简单,管理方面也比多个IDS所组成的系统要集中和易行,能带给用户更多的实惠和便利。
   第3章 功能特性

  3.1 高强度的自身安全性

  IDS作为用以监测网络的信息安全产品,其自身的安全的重要毋庸置疑,如何确保安全性,是安全厂商们需要重点关注的问题。

  籍此,中国信息安全产品测评认证中心开展了EAL1-7级别的信息安全技术认证,EAL认证是参照国标GB/T18336也就是国际标准CC(ISO/IEC 15408)进行的一种分安全等级测评。这种测评是按照安全目标,配置管理,交付与运行、开发、文档、生命周期支持、测试和脆弱性分析、不同层次的设计审核等等几个方面对安全产品进行测评。其级别划分为EAL1到EAL7七个级别。ISO/IEC 15408准则的TOE评估定义了七个安全认证级别类别,不同的安全级别有不同功能要求和保障要求。其中EAL3为系统的测试和检查级(methodically tested and checked),目前,国内网络级的安全设备能认证的最高级别就是EAL3级认证。

  天阗入侵检测与管理系统作为国内首批通过EAL3认证的入侵检测产品,能够满足具有适当安全需求的政府、特定商业用户及军用的需求,比EAL2通过结构测试满足一般商用的级别实现了阶段性的增长。

  无超级用户权限

  在天阗入侵检测与管理系统中,不存在一个拥有全部权限的超级用户,避免了因为某一用户/口令的泄漏而导致系统被人控制。

  多身份鉴别强认证

  在某些环境中,除了使用用户名/口令的认证方式外,天阗入侵检测与管理系统还提供了硬件认证方式,用户可以使用IC卡、加密狗等硬件存储设备来实现强认证

  带外管理部署方式

  控制中心与所探测网段可以实现隔离部署,保证控制中心的自身安全管理;

  加密的通讯方式

  控制中心与探测引擎通信加密,探测器和控制中心互相认证,防止欺骗,防止日志、策略在传输过程中被篡改;

  网络接口隐身技术

  探测引擎检测网口无IP地址,入侵者无法对消失在网络中的目标进行扫描和攻击,这样在网络中实现自身隐藏及带外管理;管理网口不开放额外连接端口,提高自身的隐藏性;

  优化的系统内核

  探测引擎操作系统内核重新编译,并经过了特别的优化,不采用通用的TCP/IP堆栈,避免通用TCP/IP堆栈的缺陷导致的安全漏洞。

  动态口令管理

  使用SSL或超级终端登录探测器时,需要使用动态口令,以避免权限的泄露。

  Watchdog监视

  探测引擎具有Watchdog功能,确保系统的长期稳定运行。  

  3.2 完善的管理控制体系

  多层分级管理

  天阗可灵活设置成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制,使上级部门能够统一全网的安全防护策略;通过信息上传机制,使上级部门能够及时了解和监控全网的安全状态。

  灵活的更新和版本升级

  天阗支持手动和自动的特征更新和软件版本升级,也可以在分级管理体系下由主控统一来完成。天阗的探测引擎同时支持通过USB口进行升级。

  独立的升级管理中心,对控制台软件、探测器软件的升级都仅需一次点击,极大的简化了网络管理员的工作。

  全局预警

  在天阗的多层分级管理体系下,可以实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示。

  利用全局预警通道,各级管理员也可以发送交互信息,交流对安全事件的处理经验。

  严格的权限管理

  天阗可以设定多种分类权限供不同的人员使用,支持更为严格的多鉴别身份认证方式。同时在产品部署上支持事件监测、事件分析以及管理配置分布部署,从物理角度保证管理安全。

  时钟同步机制

  天阗支持NTP服务进行时间同步,保证跨时区的部署条件下也能保持管理时间的一致性。

  支持多报警显示台

  天阗提供了良好的多点监测机制,允许挂接多个报警显示中心,方便多个管理人员进行有效的报警观测。

  数据库维护管理

  天阗支持多种数据库:MSSQL、ORACLE等,提供强大的数据库维护管理功能,支持快速入库,可以对历史数据进行自动、手动的备份、删除操作,还可以导入历史的备份数据。

  可扩展到入侵管理

  天阗可以实现多种安全产品:网络入侵检测、流量监测、漏洞扫描、主机入侵检测的统一管理和协同关联。

  

  3.3 全面的入侵检测能力

  多种技术结合防止漏报

  天阗采用引擎高速捕包技术保证满负荷的报文捕获;

  天阗采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;

  天阗采用了IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;

  天阗拥有了业界最为全面和更新速度最快特征库,能够对通用的攻击方法和最新的流行攻击手段进行报警;

  采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;

  采用行为关联分析技术,可以发现基于组合行为的复杂攻击;

  多种措施降低误报

  基于状态的协议分析和协议规则树,保证特征匹配的准确性;

  基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息;

  通过采集和关联攻击发送方和被攻击目标的信息,可以成功或失败的攻击事件给出明确标识。

  通过支持入侵管理,可以结合漏洞扫描结果来评估威胁的风险级别。

  多种机制限制滥报

  天阗内置了状态检测机制,可以识别和处理类似“STICK”等的反IDS攻击,有效地避免了事件风暴的产生;

  天阗提供了多种可选的统计合并技术,可以对同一事件采用合并上报,减少报警量。

  自定义入侵检测规则

  天阗提供了规范化的VT++语言和向导定义模式,帮助用户自定义检测模式,扩充检测范围。

  全面兼容CVE和CNCVE标准

  天阗通过了CVE严格的兼容性标准评审,并获得最高级别的CVE兼容性认证(CVE Compatible),在入侵检测系统知识库上得到国际权威组织的认可。同时,天阗也具有标准的CNCVE 的对照。
 3.4 自适应检测策略管理

  天阗提供多种不同分类方式的系统策略集,可以针对不同环境、不同应用以及关注目标选取最合适的检测策略。

  天阗提供向导方式、已有策略集之间逻辑操作和在系统策略集上衍生等多种方式,方便用户自定义最佳使用的检测策略集,并支持策略集的导入和导出。

  天阗提供了灵活的策略编辑方式,确保用户在最短的时间内调整自己所需要的策略。

  天阗提供了动态策略调整模式,可以根据预设的事件发生频率来动态调整策略中应用的响应方式、合并条件以及过滤条件,从而减少报警日志量或者自动对高级事件调高相应级别。

  天阗支持虚拟引擎的划分,可以为不同网络对象制定适应性的检测策略,实现有效的入侵检测。

  

  3.5 可扩展的响应和联动

  天阗具有丰富的可扩展事件响应方式, 包括

  屏幕显示

  日志记录

  TCP KILLER阻断

  支持邮件方式远程报警、声音以及自定义程序报警

  支持向网管发送SNMP TRAP 信息

  天阗通过自有VIP 协议族,可以充分实现和第三方安全产品以及网络设备的策略响应联动。

  防火墙联动:通过对天阗的联动通讯标准的支持,防火墙业界主流的20家以上的产品可以实现和天阗的联动,对外部发起的攻击行为进行阻断。

  交换机联动:天阗可以和港湾公司的智能安全系列交换机联动,根据策略制定动态关闭相应的交换机端口,可以防止蠕虫类事件的攻击扩散,进行内网安全防护。

  3.6 多样化日志分析报告

  天阗分别为管理人员和入侵检测分析员提供了不同类型的日志分析手段和报告输出。

  天阗为管理人员提供了常用的周期性统计模版,提供多类型TOP10的排名,管理人员可以直接利用,得出管理性的安全结论。

  天阗为入侵检测分析员提供了多种缺省分析模版,根据这些模版可以获得多种分类的事件日志信息和交叉统计排名,既可以对事件详细追踪处理,也可以发现主要安全事件的焦点所在。

  天阗提供了多样化的日志过滤查询条件,用户可以进行自主定义习惯的查询模式,进行有效的日志分析查询,报表的题头、内容、字段可供用户自主调整。

  通过对于缺省模版的选择和自定义过滤查询条件,用户可以进行自主制定多样化的分析报告模版并进行保存使用。

  天阗的报表可以手动、自动导出为多种常用格式(如:WORD\EXCEL),并设置邮件定时发送报告功能。

  3.7 人性化界面功能操作

  天阗在界面设计和功能充分考虑的整体美观性布局和用户操作习惯方便性,主要表现在:

  采用图形化拓扑结构显示产品组件之间的管理控制关系;

  采用可定制的分窗口和事件树,分类显示报警信息;

  提供向导操作模式,供用户按照规范的步骤进行准确操作;

  提供可定位的联机手册和具有详细的攻击、漏洞解释的安全信息手册,帮助用户参阅功能使用和事件查询。

 3.8 线速级的高性能处理

  攻击特征流采用统一的100种标准的不同攻击样本,目标机器配置多种网络服务。网络背景流量采用专用发包设备来制造,以0背景流量为基准,测试入侵检测系统在不同的流量环境(包长)和不同连接背景下的检测能力。

  百兆引擎的性能指标如下:

  



  



  千兆引擎的性能指标如下:

  



  



  

  3.9 稳定的成熟产品应用

  天阗产品从投入商业化生产以来,销售数量始终占据国内IDS市场前两名。已投入用户使用的产品数以千套计,并且在国内唯一拥有单用户部署数量超过百套的成功案例。

  天阗的用户类型覆盖了国内最广泛的行业用户群体,销售领域遍及政府、金融、电信、交通、能源、教育、企业等部门和行业,共200多家;天阗的用户地域分布包含了全国各省、直辖市以及各省的中小型城市。

  天阗的应用给用户的网络安全提供了可靠的保障。根据针对天阗的用户调查结果,80%的用户及时发现了各类入侵行为(黑客入侵、拒绝服务、蠕虫泛滥、内部的可疑行为等),50%的用户发现了系统的脆弱性问题(如系统漏洞、弱口令等),还有一部分用户使用天阗大大加强了内部网络运行状况的管理(对通信内容管理、流量监测、访问控制监测等)。

  天阗的用户调查结果表明,天阗产品的客户满意度达到90%以上,客户对于天阗产品安全服务(安装调试、排错、升级、应急响应等)的满意率达到99%以上。

  通过广泛的用户群体,在天阗的应用部署方面积累大量的实际经验,推动着天阗向着成熟化、客户化、国际化的全面发展。

第4章 入侵管理架构

  天阗入侵检测与管理系统是一个可组合的安全产品套件,包含如下五类可单独销售的部分:

  网络入侵检测系统,型号:NS200/NS500/NS2200/NS2800以及相应可选模块。

  网络异常流量监测系统,型号:FS1900(千兆)

  网络入侵事件定位系统,型号:IMS-EP

  网络入侵风险评估系统,型号:IMS-RA

  主机入侵检测系统,型号:HS120/HS220/HS320/HS420/HS520

  同时,天阗入侵检测与管理系统还可以和天镜脆弱性扫描与管理系统进行同台管理,减少部署管理成本,加强安全产品之间的配合。

  



  

  4.1 网络入侵检测系统

  产品综述

   天阗入侵检测与管理系统(网络型)独创性的将检测、管理配置、报警显示以及日志分析四部分的功能可以实现分开部署,满足多人同时监测和分权限管理。

  

  

产品型号

NS200

NS500

NS2200

NS2800

多级管理

可做为子控

支持主子控

可做为子控

支持主子控

向下分级

支持

支持

网络环境

百兆

百兆

千兆

千兆

检测网路

一路

两路

一路

两路

检测能力

100Mbps

200Mbps

1000Mbps

2000Mbps



  

  部署结构

  单级管理下的分布式检测部署

  



  多级管理下的分布式检测部署

  



  

  功能特性

  网络探测引擎:网络探测引擎采用专用硬件设备通过旁路方式接入检测网络。网络探测引擎全面侦听网上信息流,动态监视网络上流过的所有数据包,进行检测和实时分析,从而实时甚至提前发现非法或异常行为,并且执行告警、阻断等功能并记录相应的事件日志。

  百兆型:百兆型网络引擎提供10/100M自适应的RJ45接口,可以用于满负荷的100M的以太网。

  千兆型:依据网络接口的不同,还细分为千兆电口型和千兆光口型。电口型用于1000Base-TX标准的接口,光口型用于1000Base-SX标准的多、单模光纤接口。

  管理控制中心:控制中心面向用户,提供管理配置之用。控制中心是个高性能的管理系统,它能控制位于本地或远程的多个网络探测引擎的活动,集中制定和配置策略,提供统一的数据管理。管理控制中心可以被设置为主、子结构,主管理控制中心可以实时接收、转发子控制中心的告警信息,分类提取子控制中心的日志信息,下发各种配置文件、策略供子控对其所属网络探测引擎进行配置。

  综合信息显示:它能显示详细的入侵告警信息(如:入侵者的IP地址、攻击类型),对事件的响应提供在线帮助。

  日志分析中心:将历史的报警信息进行分类提取,提供了多种分析手段和模版,可以产生用户所需要的独特的统计性和分析性的管理报表。

  此外,天阗还具备独立的升级管理中心,根据用户需要,对天阗系列产品进行软件升级,定制升级周期等。
 4.2 入侵事件定位系统

  产品综述

  入侵事件定位系统结合网络入侵检测系统,可以将离散的实时报警信息通过地理信息、网络结构以及和IP地址的定位结合显示在图形化的界面上,用户可以清晰的看到入侵事件的源头或目标对象,不同地域的入侵事件发生比例以及事件级别比例。通过入侵事件定位系统,用户可以更好的使用入侵检测提供的信息进行事件跟踪及时的响应处理,有效的提高了入侵事件的可视化管理。

  入侵事件定位系统也可以将天镜脆弱性扫描与管理系统(分布版)扫描出来的漏洞信息显示在定位点上,用户可以看到关心的主机设备存在的不同级别漏洞分布状况和详细漏洞名称。

  部署结构

  入侵事件定位系统可以和网络入侵检测系统的管理、显示组件安装在一起,也可以独立分布安装。

  入侵事件定位系统支持多授权部署,满足不同管理区域划分的人员的重点关注。

  功能特性

  支持多样化的定位设置属性

  支持对入侵检测事件或漏洞信息进行定位;

  入侵检测事件可以区分事件发生的源地址、目的地址或者来自于某一个网络探测引擎的设备IP进行定位;

  可以设置统计时间和决定是否采用定时整点清零,显示不同时间段的统计信息变化。

  支持多种方式的定位观测点

  定位观测点支持单个IP、IP段、IP群组以及IP子网的灵活划分定义,可区分内部主机和外部主机,用户可调整不同的位置感应区大小;

  每一个设定的观测点,可增加责任人姓名与联系电话等信息并进行显示。

  支持多样化的地图显示和操作

  支持多种图形格式的引入,用户可以导入真实的地理图形、拓扑图形,并可以建立多级子图,形成图形集合。同时支持地图文件的更换、导出;

  系统缺省提供高精度的中国地理地图,支持地图放大、缩小。

  支持不同类型观测信息对比显示

  提供按照事件、漏洞安全级别或入侵检测具体事件的饼图、柱状图的事件对比,显示统计结果的实时变化,也可以对历史事件进行多种图表的统计查看。

  提供多样化的事件查询方式和事件标记

  支持区域热点进入查询当前发生详细事件,并可以标注事件是否已经通知责任人处理的状态信息。事件查询可以按照安全级别和源、目的地址进行显示过滤。可以通过历史数据库进行事件信息回放。

  支持图形统计格式联机打印输出或保存为相应图片信息

  支持多种系统设置参数的灵活调整,满足不同环境下的性能要求

  



  
  4.3 入侵风险评估系统

  风险评估

  风险是指对目标有所影响的某个事情发生的可能性,它根据后果和可能性来度量。

  以风险为核心的安全模型的两个个重要因素:威胁性、脆弱性,三者之间的关系为:风险=威胁性×脆弱性。

  由于威胁性具有不可预期性,因此对于威胁性的最佳表述方式就是事件,如入侵事件;对于脆弱性的代表实体就是通过漏洞扫描获得的漏洞分布信息。入侵方式的产生机理一般是要利用具体的安全漏洞,而入侵方式的成功要依赖于安全漏洞是否存在,因此对于风险的分析主要是分析入侵和漏洞之间是否具有对应的关联分析。对于具体的重要资产,如果通过入侵检测发现具有针对性的入侵事件发生,而通过漏洞扫描分析发现又具有对应漏洞存在,那么该资产就成为我们的主要风险点,需要及时响应和应急处理,防止损失的进一步扩大。相反,如果发现两者不相匹配,说明只是一种入侵企图,需要加强防护措施和改善应急策略。

  由于目前入侵检测和漏洞扫描一般都是做为独立的产品存在,因此要进行风险分析,往往要通过各自的结果进行手工分析,给管理人员带来极大的工作量。

  天阗入侵风险评估系统采用了协同关联分析技术,能够自动的将入侵检测事件和漏洞扫描的结果进行自动的关联分析,给出风险分析结果。
 部署结构

  天阗入侵风险评估系统是一个可独立安装的软件系统,其部署前提是把天阗入侵检测与管理系统和天镜脆弱性扫描与管理系统进行同台管理,由入侵风险评估系统下发扫描任务到天镜的扫描引擎进行关注的资产进行预扫描,获取相关资产的漏洞信息。

  在启动风险评估的条件下,当天阗网络入侵检测报告的事件的地址信息如果和资产地址相符合,就对目标资产进行实时的脆弱性校验,显示风险分析的结果和评估赋值。

  功能特性

  入侵风险评估的基本步骤如下:

  1. 判断入侵事件中的IP信息是否落入所关心的资产范围;

  2. 判断该入侵事件的影响的系统和目标资产的实际系统是否有对应性;

  3. 判断入侵事件针对的端口信息在目标资产上是否已经打开;

  4. 判断入侵事件所针对的漏洞信息在目标资产上是否具有。

  通过上面一系列的实时关联分析判断,可以得出多样化的风险评估结果;对于入侵事件和漏洞信息能够对应的风险信息给出明确的警示,作为管理人员及时处理的有效依据。

  关联分析条件设置

  关联分析条件包括指定关联分析对象、关联分析扫描策略、资产对象管理。通过设置,预先建立对资产的主机、服务、系统的信息收集和漏洞分布状况,为进行入侵事件的校验做好准备。

  



  支持评估策略灵活调整和扩展

  根据网络入侵检测和漏洞扫描的知识库的定期更新,实现评估策略同步更新,保持对新的安全风险进行关注和评估。

  支持资产脆弱性资料库的自动更新

  由于实际环境的动态变化,为了保证风险分析的准确性,可以指定定时的扫描计划任务,更新对资产脆弱性分析的资料库。

  



  确定性的入侵风险评估报告

  通过报告明确给出具体的入侵检测事件和漏洞信息可以完全关联的资产风险分析结果,对于这些结果可供管理人员进行有效的安全加固和策略调整。报告格式可以输出多种格式,如:WORD、EXCEL等。

  

 

 

 4.4 异常流量监测系统

  产品综述

  大规模网络攻击一般表现前兆期、爆发期、稳定期以及消亡期四个阶段,特别是自动化攻击的蠕虫、恶意代码,如果能够在爆发期以前就能够及时发现、预警,对于后期的治理和降低损失是非常有利的。自动化蠕虫、恶意代码等在爆发前需要做大量的探测,扩大其可利用传染、控制途径,因此特定的网络流量时间走势和流量分布会发生明显的变化,就能够在第一时间迅速发现网络流量的异常,并做出及时而准确的流量异常报警和安全响应。

  通过旁路侦听的方式对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,并记录网络中的实时流量信息,发现网络流量的异常变化,并可以对带有具体特征的恶意流量进行有效提取和连续性监测,对于用户把握具体的攻击事件产生的异常流量的威胁程度或地址分布具有独特的价值。网络流量的变化过程的相关信息自动进行存储,通过分析可以形成详细的分析报表。

  

  部署结构

  天阗异常流量监测系统可以通过使用单独的硬件化流量引擎来进行流量监测,也可以作为天阗网络入侵检测系统的附加模块进行结合使用,是对网络入侵检测系统的有效补充,也是入侵管理中一个重要组成部分。

  对异常流量监测系统的管理控制是可以和网络入侵检测系统的管理控制中心进行同台管理。针对流量监测所需要的连续性观测是通过单独的流量监测中心来完成,提供了多样化的流量显示方式,并产生异常流量的报警信息和异常流量查看。

  

  功能特性

  多样化的全面流量监测

  协议流量监测:根据天阗所能分析的协议,定时统计其流量值,以连续的曲线等方式展现出来;其功能价值在于帮助用户了解其网络中各种协议状况,便于发现基于时间条件下某种类型协议流量异常突变以及不同协议的流量的对比突变。

  端口流量:根据天阗对端口信息的解析,定时统计其流量值,以连续的曲线等方式展现出来;其功能价值在于帮助用户了解端口流量分布,便于发现基于时间条件下某种非预期的端口打开(如木马连接)、端口流量异常突变以及不同端口流量的对比突变。

  1. UDP端口流量:将流量根据UDP端口分类,可以分为源端口和目的端口,每个端口由一条单独的曲线描绘流量的变化。

  2. TCP端口流量:将流量根据TCP端口分类,可以分为源端口和目的端口,每个端口由一条单独的曲线描绘流量的变化。

  IP流量:统计具体的IP地址的流量信息,帮助用户了解哪些地址占据了网络的主要流量和分布趋势。

  1. 源IP统计:将流量根据源IP地址分类,每个源IP地址由一条单独的曲线描绘流量的变化

  2. 目的IP统计:将流量根据目的IP地址分类,每个目的IP地址由一条单独的曲线描绘流量的变化。

  3. IP对统计:将流量根据源IP地址和目的IP地址对分类,每个IP地址对由一条单独的曲线描绘流量的变化。

  4. 固定IP统计:将流量根据IP地址分类(不分源和目的),每个IP地址由一条单独的曲线描绘流量的变化。

  长度流量:将流量根据以太网报文长度分类,并分为6个区间段,每个长度区间的流量由一条单独的曲线描绘流量的变化。通过长度流量监测可以帮助用户发现网络中数据包长度规律和趋势。

  流行蠕虫流量监测:按照流行的十大高危险蠕虫的特征进行分析其占据流量的大小,方便用户及时发现是否有蠕虫传播或者蠕虫的变化趋势。监测蠕虫种类将随这流行趋势的变化而动态更新和调整。

  攻击报文流量统计:统计带有特定数据特征的报文流量,帮助用户发现网络中攻击报文占据的网络流量大小。通过该功能可以对不同攻击事件产生的流量进行统计分析,发现网络中恶意流量的分布变化和统计结果。

  



  

  流量细化监测和显示

  流量细化监测和显示可以帮助用户发现某种可疑流量后,进行细化监测,发现造成可疑流量的具体原因。

  流量细化监测是指流量监测者得到一种统计流量类型的各个流量分曲线的显示界面,需要其某个单独流量曲线按照另外的分类方式进行分组统计,实现深入流量分析。

  例如:用户在查看源IP流量,看到192.168.1.1的流量数据非常大,所以想察看该IP的流量是从那些服务端口发出的,这就需要察看该IP的端口流量。通过选择细化监测,就可以看到排名靠前的该地址的端口流量,进一步定位问题产生原因。

  用户选择可以选择的流量细化方式包括IP流量,源IP流量,目的IP流量,IP对流量,端口流量,协议流量,长度流量等。

  自定义特征流量监测

  产品提供了自定义特征流量向导,用户可以根据自己关心的内容进行重点监测定义:如重要服务器的IP流量、端口流量, 显示其状态和变化趋势。

  用户还可以基于漏洞机理特征、攻击特征定义以及特定入侵检测的事件来监测流量事件,用来发现可能出现的未知攻击出现或者是某种最新攻击流量的变化趋势。

  

  



  

  自定义异常流量报警

  天阗网络异常流量监测系统不但支持用户自定义特征网络流量的统计,而且支持用户对异常流量的定义。用户可以根据流量的波动变化范围和不同流量曲线的相对比值,来定义流量的异常报警。

  自定义异常流量按定义方式分为2种:

  1. 流量波动异常:根据流量曲线的变化,用户定义曲线的变化范围,如果具体流量超出范围则报警,形成流量波动异常事件;

  2. 流量对比异常:根据2条流量曲线的比值的变化,用户定义曲线的比值变化范围,如果2条流量曲线的比值超出范围则报警,为流量对比异常事件。

  

  



  

  历史流量分析和报告输出

  管理控制中心将流量引擎产生的流量统计数据记录到相应的数据库中。

  通过流量日志分析可以对历史流量查询,了解不同类型的历史流量变化,显示指定时间段的各种流量的报文数、字节数的统计结果和或平均流量大小。

  通过报表分析还可以产生不同时间段的异常报警事件的详细查询报告。

  查询结果可以生成对应的报告,输出支持WORD、Excel、HTML的常用格式。

  

  

 

 

   4.5 主机入侵检测系统

  产品综述:

  主机入侵检测系统是基于对主机系统信息和针对该主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为。它可以用来实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web应用、邮件应用、数据库服务等。

  主机入侵检测系统主要用于不同操作系统的重要应用服务器平台进行检测和防护。  

  部署结构:

  天阗主机入侵检测系统根据主机平台和操作系统类型,划分为如下:

  

  

序号

产品型号

主机平台

具体操作系统

1

HS120

WIN

Windows NT/2KWindows XPWindows 2003

2

HS220

SUN

Solaris 7以上版本

3

HS320

IBM

AIX 4.3以上版本

4

HS420

HP-UX

HP-UX 11i以上版本

5

HS520

LINUX

Redhat7.3 89以上版本



  

  

  天阗主机入侵检测系统支持和网络入侵检测系统进行同台管理,使用统一的管理界面、监测界面,进行统一的入侵管理,减少管理成本。

  主机入侵检测系统的主要优点如下:

  不受交换环境影响

  不受加密环境影响

  监测系统内部入侵和违规操作

  对网络入侵检测形成有效的补充

  

  功能特性:

  全面的监测范围

  对主机平台提供了最全面、细致的监测保护,其监测范围主要包括:正常和异常用户行为、正常和异常管理行为、各种安全事件、可疑连接事件、系统日志等。

  自定义检测规则

  对于不同主机平台提供了不同定义规则,可以允许用户自主定义检测主机平台的关注行为,扩展监测范围和类型。

  灵活多样的告警功能

  控制中心在收到主机引擎上报的安全事件后,根据事件的策略定义,能以屏幕显示、电子邮件、WinPopup以及用户自定义方式发送告警信息。

  丰富的报表功能

  多样化的预定义查询模板和多种可选的输出格式:WORD、Excel、HTML,使用户可以很方便地对日志进行查询和生成相关报表。

  分布部署集中管理

  不同的主机探测引擎分布式地驻留在对应的主机平台上,通过统一的管理控制界面进行配置,策略制定和下发,显示告警信息以及日志维护。

  支持同台管理

  支持和网络入侵检测系统进行同台管理,使用统一的管理界面、监测界面,进行统一的入侵管理和版本升级,减少管理成本。
 第5章 服务支持

  上海启明星辰信息技术有限公司

  地址:上海市浦东张江高科技园区松涛路563号海外创新楼A座6层 邮编:201203

  电话:021-50801133 传真:021-50803515

  E-MAIL:shanghai@venustech.com.cn

  启明星辰信息技术有限公司深圳分公司

  地址:深圳市福田区深南中路2号新闻大厦十四层 邮编:518027

  电话:0755-25951188 传真:0755-25951088

  E-MAIL:shenzhen@venustech.com.cn

  启明星辰信息技术有限公司武汉分公司

  地址:武汉市武珞路717号兆富国际大厦3005室 邮编:430072

  电话:027-87862885 传真:027-87862896

  E-Mail:wuhan@venustech.com.cn

  启明星辰信息技术有限公司重庆分公司

  地址:重庆市高新区科园一路200号渝高广场C座15-1号 邮编:400039

  电话:023-89099838 传真:023-89099500

  E-Mail:chongqing@venustech.com.cn

  启明星辰信息技术有限公司沈阳分公司

  地址:沈阳市和平区文化路19号金科大厦910室 邮编:110004

  电话:024-23898819;024-23898858 传真:024-23898922

  E-Mail:shenyang@venustech.com.cn

  启明星辰信息技术有限公司西安分公司

  地址:陕西省西安市南二环中段396号秦电国际大厦0735室 邮编:710061

  电话:029-83133318 传真:029-83133319

  E-Mail:xian@venustech.com.cn

  北京总部售后统一支持热线:800-810-6038

文章来源:http://www.venustech.com.cn/
  • 联系我们 | 网站地图 | 服务热线:800-810-6038
  • © 启明星辰 1996-2007 版权所有 京IPC备05032414号