天清入侵防御产品白皮书

天清入侵防御系统技术白皮书深层防御、精确阻断北京启明星辰信息技术有限公司BeijingVenusInformationTech.Inc.二零零八年五月天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断1版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天清”为启明星辰信息技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100094电话：010-82779088传真：010-82779000您可以访问启明星辰网站：获得最新技术和产品信息。天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断2启明星辰公司简介启明星辰信息技术有限公司成立于1996年，是一家由中国留学生创立的，拥有自主知识产权的网络安全高科技企业。启明星辰公司的使命是：提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，成为中国最具有主导地位的企业级网络安全供应商，稳步迈入国际网络安全领导企业行列。启明星辰公司的目标和宗旨是：“诚信为先、技术领先、服务本地化、用户第一，成为国际一流的TSP——诚信的网络安全产品、服务与管理平台提供商。”启明星辰公司目前已经形成三条业务主线：在安全管理平台（SOC）方面，启明星辰的泰合信息安全运营中心系统可以满足用户对于多种信息安全产品管理的需要，它包括面向事件的泰合关联管理平台、基于安全域的泰合业务风险监控管理平台、针对处理和响应的泰合工作流管理平台，具有开放性、全方位性以及客户化的特点。在安全服务方面，启明星辰公司强调“以人为本”的实时安全过程，可提供M2S国际化管理咨询、M2S专业化风险评估、M2S实时性管理监控、M2S专家型应急响应以及CISP认证培训服务。在安全产品方面，启明星辰公司可提供入侵检测、入侵防御、漏洞扫描、防火墙/UTM、内网管理系统、上网行为监控系统、非法外联监控系统、防间谍软件系统、安全审计系统、网站监测与自动恢复系统等主流网络安全产品。目录天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断31概述.........................................................................................................................41.1发展过程和方向..........................................................................................41.2适用背景......................................................................................................42产品综述.................................................................................................................52.1产品简介......................................................................................................52.2产品型号设置..............................................................................................62.3产品特点......................................................................................................63产品亮点技术.........................................................................................................74产品典型应用.........................................................................................................95服务支持...............................................................................................................11天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断41概述入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，通常以串行方式透明接入网络。入侵防御系统作为一种新兴的安全防御类产品，其概念出现时间并不短，几乎是在入侵检测产品被大部分网络安全管理人员认知的同时，就出现了入侵防御的概念。在经过一段复杂的发展过程后，入侵防御产品的价值逐渐清晰，并获得了市场的认可。1.1发展过程和方向从2000年出现入侵防御概念，到2006年才形成规模市场销售，入侵防御产品的发展过程分为两个阶段。起步阶段最初的入侵防御概念认为“入侵防御将会是入侵检测的升级版本”，因此当时的入侵防御系统仅仅是将入侵检测系统串行接入，发现攻击后对数据包予以丢弃。事实上入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在分歧。这些问题导致了“替代论”并不为大众所认可。成熟阶段随着大量的机构开始使用网络作为办公或业务开展的载体，网络应用越来越复杂，这些机构所关心的网络安全问题更多的是如何有效防御越发严重的网络应用层攻击行为。这与传统入侵检测产品的风险管理目标没有重合，需要入侵防御产品来弥补这一空缺。而上述要求，也正是入侵防御产品的发展方向：发现并准确阻断那些防火墙等其他安全产品所不能防御的深层威胁行为。1.2适用背景和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御），这就使得入侵防御产品的防御目标较为集中：主要是保护那些对外提供服务的业务系统的安全。天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断52产品综述2.1产品简介天清入侵防御产品是启明星辰公司自行研制开发的入侵防御类安全产品，围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。和启明星辰公司的天阗入侵检测产品不同，前者的产品目标是实时发现并准确判断网络中存在的攻击，并及时予以阻断，而后者的产品目标是全面检测网络中的实时网络数据，及时发现入侵和异常，并将事件的详细信息和处理建议以报警方式呈现给管理员。天清入侵防御产品也包括两个组成部分：硬件形态的入侵防御引擎和软件形态的入侵防御控制台。入侵防御引擎串行接入到网络中，对所有穿透引擎的数据进行分析和做出响应。入侵防御控制台包括四个可独立部署也可以组合部署的部分：管理控制台负责向入侵防御引擎下发策略以及接受引擎上报事件，这些上报的事件依据响应策略实时显示在报警监控台和存储在日志数据库中，存储在日志数据库中的历史信息可以通过报表分析组件进行报告的生成和查询。天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断62.2产品型号设置天清入侵防御产品提供了适应不同网络规模需求的产品型号：表一：天清入侵防御产品型号说明产品型号适用网络NDP100基本百兆NDP200高端百兆NDP1000基本千兆NDP2000高端千兆2.3产品特点2.3.1无缝接入天清入侵防御产品串行接入口无IP地址设置，部署后在网络环境中透明。不更改用户的原有网络拓扑，也无需更改用户原有网络配置。2.3.2精确防御天清入侵防御产品提供了对各种入侵威胁行为的防御，通过下发内置默认策略，可以实现对如下攻击行为的精确阻断：天清入侵防御产品能实现的精确阻断精确阻断溢出攻击精确阻断木马后门精确阻断即时通讯行为精确阻断SQL注入攻击精确阻断间谍软件精确阻断网络游戏行为精确阻断流行蠕虫攻击精确阻断僵尸程序精确阻断异常协议行为精确阻断数据库漏洞攻击精确阻断恶意代码精确阻断脆弱口令行为精确阻断操作系统漏洞攻击精确阻断扫描探测行为精确阻断广告软件行为2.3.3链路保障天清入侵防御产品提供软、硬双BYPASS功能，保障链路在各种情况下的通畅。软BYPASS：在入侵防御引擎关键进程出现异常或需要重新启动（如软件升级，重置策略等）的情况下，确保链路通讯正常。硬BYPASS：在入侵防御引擎出现硬件故障或掉电的情况下，确保链路通讯正常。天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断72.4产品技术特点天清入侵防御采用了独创式的柔性化检测机制，综合了基于攻击原理和基于攻击特征的两种检测手法，既扩大了攻击检测的覆盖面，又保障了检测的精确度。柔性化检测机制包括如下专有技术：在攻击前期：抗躲避检测——采用载体还原技术，重新组合攻击会话，可以发现那些割裂攻击会话攻击企图。拟态识别——采用过程再现技术，模拟目标环境实现攻击语言解析，可以发现那些企图以多变shell或字符替换方式进行的攻击企图。在攻击分析阶段：多因子协议识别——在识别网络数据的协议时，并不单纯采用RFC的端口标准规范，而是综合协议指纹技术，融合协议的常见字段、参数和惯用用法，对没有采用常规端口的协议进行准确识别。协议伺服器——支持随时添加对新型协议的支持，而不影响原有协议识别机制。在攻击判定阶段：会话内和会话间的时序关联——有一些攻击事件可能并不是一个会话，而是由多个会话组合，这就要求检测设备可以将多个会话关联起来分析。多个参数组合判断事件——对于一些复杂的事件，需要组合多个逻辑参数变量进行判断，任何一个单一变量都不是攻击，但多个组合在一起，就形成完整的攻击。基于漏洞机理的判断机制——对某一个漏洞而言，可能会存在上百种攻击方法，无需为每一种新的攻击变种定制单独的检测规则，而是针对漏洞的攻击机理进行分析，不论是什么变种，都可以及时发现。上述技术综合起来，确保了天清入侵防御产品的最大产品特点：精确阻断。作为串行接入的防御产品，如果没有确保精确阻断这一核心，就有可能阻断正常业务，使得所有的保护和防御措施都失去意义。3产品亮点技术启明星辰在天清入侵防御产品的技术研究上进行了充分的考虑，结合入侵防御产品的发展方向和核心，将技术研究的重点聚焦在对应用业务的深层防御上，特别是针对目前普及最为广泛的Web业务的威胁防御能力，更是达到国际领先水平。天清入侵防御产品白皮书北京启明星辰信息技术有限公司深层防御、精确阻断8据OWASP（OpenWebApplicationSecurityProject）