搜索
中国安天实验室AntiyLabs解开大规模网络安全方程——基于空间曲面模型的复杂巨系统网络模拟与解决方案安天实验室中国安天实验室AntiyLabs提纲•大规模网络现状与挑战•分析与应对•典型复杂巨系统网络分析与解决方案中国安天实验室AntiyLabs大规模网络的典型特色•千兆甚至万兆骨干体系•多层连接、结构复杂•出口百兆、千兆、2.5G•百兆或更高带宽到达桌面•终端设备过万,实际用户过万中国安天实验室AntiyLabs面临的挑战:典型复杂巨系统•网络规模大:随着网络节点数量增加,网络可控性呈几何级数下降。•高带宽:内部节点问题对核心层、以及出口可以构成强大压力,同时使一般的安全设备无法实现监控过滤。•无边界网络:大型网络无法确保出口的唯一性,庞大的网络使每个节点都可能成为数据交换的原点。•游离节点数量不收敛:由于机构庞大,人员众多,难以形成行政上的统一管理,因此大量节点处于不可管理状态。中国安天实验室AntiyLabs传统的安全模型•传统的安全模型,是基于“隔离法”加和,而且简单将网络分割为出口和节点,即两个环节均获得安全保障获取整体安全。•传统的网络安全的基本环节划分是出口和各独立节点,因此依靠出口过滤设备(防毒墙)和确保在每台机器上安装反病毒软件,获得整体的安全。•“进不来,出不去,查的出,杀的掉。”中国安天实验室AntiyLabs当传统遭遇现实•网络规模:1000用户即现有企业级AV产品的管理上限,而同时传统AV企业难以在较低价格接受如此海量用户的授权。•高带宽:现有防毒墙如果开放病毒过滤,其吞吐量仅为40M左右,其自身就已经成为运行隐患。•无边界网络:由于网络没有明显的边界,使进不来,出不去,理论上成为不可能。•游离节点数量不收敛:不具备确保所有节点安全的能力,现有反病毒产品的负荷沉重更导致大量用户拒绝安装。同时由于非集中采购,不同部门采购产品之间冲突,使统一部署成为困难。中国安天实验室AntiyLabs安全与现实模型对撞传统安全模型复杂巨系统整体:可以将复杂巨系统网络看成一个非闭合的空间曲面,各个节点都可以看成曲面上的游离点,就像曲面由无数个点构成,复杂网络的节点管理是不收敛的。而节点和节点的安全需求也是不同的。通道:网络的出口可以看成的曲面空间上的主要的交换通道,有如网络出口中正常数据和病毒混杂,蜂拥而至。潜在入口:每一个点都可能成为曲面的潜在边界,每一台终端也可能成为系统的出入口。节点被突破后可能产生链式反应或者辐射反映,成为线形威胁。中国安天实验室AntiyLabs传统的死亡•正如我们无法描黑每一个点,描黑一个无限大的空间曲面,我们也无法通过确保每个节点的安全而构筑复杂巨系的安全。由于节点点数量造成管理难度是不收敛的,因此必须假定为不可靠的。网络整体的可控性不可能是100%节点可控的累加。传统的解决方案是立足于通过必须达到保障所有的点性资源的目的,才能达到保护整个面资源的目的,这个任务显然是不收敛的。•传统的解决立足于把守住唯一通道,即使以效率的降低为代价也再所不惜,这是用户无法接受的,同时把守唯一出口的理想也因实际系统的满身是口,而无法实现。•传统的安全解决立足于让每个节点都能变成绝对可靠系统,在此基础上搭建所谓完备方案,其结果是让用户系统付出过多的资源性成本,其结果必然是方便性降低、系统效率变差导致用户拒绝使用,反而增加了不可靠节点的数量。•各个节点的点形事件可能演化为线性的连锁反应。特别是关键节点的失陷会产生关联影响。因此关键节点需要假定为不可失陷的。传统的服务器反病毒只是把桌面反病毒的体系按照服务器时间片进行效率优化,实际上并没有满足服务器的安全要求。中国安天实验室AntiyLabs提纲•大规模网络现状与挑战•我们的应对•典型复杂巨系统网络分析与解决方案中国安天实验室AntiyLabs解决方案的根本思想•复杂巨系统没有100%可管理的可能性,立足点在于付出可以接受的成本和管理代价,增强系统可见性和可控性,使系统达到安全与应用的动态平衡。•以宏观监控设备获取病毒预警信息和疫情,形成对网络病毒事件准确有效定位,形成网络病毒的全景视图。•节点与节点之间的威胁压力和安全需求不同,需要个性化处理。•提供安全客户端模块,通过负荷轻载、良好共存、彻底处理的思想,减少不可控节点的数量。•提供主机保护系统,实现基于文件、OS、网络三层的立体防御结构。•客户端模块和主机保护系统让安装后的每个节点都拥有了自己的安全边界,这些安全边界可以在无边界网络内部形成一条有边界网络。•有安全边界节点成为其他不安全节点和不安全事件的探头,从而增加体系的感知能力。•将上述安全环节通过安天安全事件管理中心管理起来,形成有序的体系。•CERT提供全面的技术支撑。•技术环节不可能解决所有问题,必须形成一套技术、管理、服务的综合体系,安全厂商和用户协同如一,安全方能无所不及。中国安天实验室AntiyLabs构建完备体系P2DRVDS出口监控、分布监控、移动监控形成宏观侦控体系,并通过客户端模块细粒度检测形成一个无微不至、无所不再的检测网络。依靠出口级准确定位,形成重大事件第一时间网管级别处理,通过客户端处理模块的策略与控制形成细粒度响应。扩展对关键服务器的响应能力。为关键节点、海量不可控节点提供量身定做的不同级别的保护。客户端模块和主机保护系统形成一个立体防御结构。通过安全事件管理中心,形成统一管理,与策略协同。中国安天实验室AntiyLabs总结:我们如何应对现状•网络规模:通过VDS系统增加了大规模网络的可见性、可管理性和可定位性。•高带宽:基于专有技术使高速网路线速病毒检测成为可能。•无边界网络:安装安全客户端的系统即具有了独立的安全边界,这些安全边界又连接成一条安全边界。•游离节点数量不收敛:通过无限量授权使全部游离节点获取安全保护成为可能,同时,通过轻载高效的保护降低用户抵触,使游离节点数量大大减小。•管理与服务!中国安天实验室AntiyLabs模型对撞旁路监控系统实现了高速、高效、实时的出口级检测,通过网络行为对未知病毒实现预判、预警。对无法安装客户端处理模块的节点更提供了一层保障。客户端处理环节,提高了可管理节点的数量,同时对不可管理节点也形成一定的侦控能力。安全管理中心,形成一套统一协同管理体制。中国安天实验室AntiyLabs提纲•大规模网络现状与挑战•我们的应对•典型复杂巨系统网络分析与解决方案中国安天实验室AntiyLabs典型复杂巨系统网络现状三层结构典型复杂巨系统核心为千兆或万兆,出口理论可达千兆。百兆到桌面节点超过10000。中国安天实验室AntiyLabs设计目标•有效保证网络的正常运维•快速发现和遏制群体型网络安全事件,如蠕虫爆发、大规模DDoS攻击等等。•确保关键节点的安全中国安天实验室AntiyLabs回到网络现状出口任务:承担大量关键通讯威胁:容易受到内部病毒对外扫描攻击的压力。要求:保障正常运转和最快响应时间。准可控节点群:任务:承担基本科研开发任务威胁:大量漏洞机器存在,大量公共机房,用户水平不一,可能有无管理主机。染毒后可能影响出口和全网。要求:保障正常运行、正常使用和较快的响应时间。不可控节点群:任务:承担基本生活学习使用威胁:大量漏洞机器存在,用户水平不一,有主观攻击的可能,染毒后可能影响出口和全网。要求:保障正常运行、正常使用和能够定位问题。关键节点群:任务:承担各种信息服务威胁:黑客的主要攻击目标。要求:保障正常运行、正常服务和最快响应时间。中国安天实验室AntiyLabs安天解决方案通过宏观网络病毒监控设备VDS形成不影响网络效率的出口监控、病毒趋势和定位的全景视图。通过安全客户端模块,实现对大量基础节点的保护。通过主机保护系统,形成对服务器群的保护。通过安全管理中心,形成对所有安全环节的整体管理。成立联合CERT进行快速响应、包括因地制宜的联合科研。中国安天实验室AntiyLabsVDS网络病毒监控系统•VDS(VirusDetectSystem,病毒检测系统)是基于旁路工作的网络病毒监控系统,适用于大规模网络下进行网络病毒传播情况的监测。•VDS的技术体制基于对各种网络病毒(邮件蠕虫病毒、漏洞蠕虫病毒、口令猜测蠕虫病毒、脚本病毒、各种黑客工具等等)的完整的扫描、传播、攻击分析,采用基于内容检测为主,辅以行为分析的方式。中国安天实验室AntiyLabs海量节点保护•VDS客户端模块(L模块),是安天用于提供给海量用户节点授权保护的软件系统。•系统包括病毒扫描扫描查杀、病毒监控、主机防火墙、主机IDS、安全配置优化,安全消息通告等环节。文件系统层操作系统层网络系统层病毒查杀配置优化网络防护中国安天实验室AntiyLabs关键节点保护•安天主机保护系统专门为windows服务器架构设计。•通过反病毒、server防火墙、入侵检测、系统诊断、系统审计等环节有机结合,全面保护服务器安全。文件系统层操作系统层网络系统层病毒查杀配置优化、诊断工具、取证分析网络防护中国安天实验室AntiyLabs安天安全管理中心•安天安全管理中心可以管理安天全线产品,包括VDS、VPS、L模块、主机保护系统、honeypot等等,通过数据的有效汇总,协助网管形成处理决策。安天安全管理中心基线管理流量管理产品管理安全统计报表升级分发策略管理中国安天实验室AntiyLabs各种情况的处理中止接入上报/清除客户端其他客户端未安装客户端节点感染病毒,对内网扫描攻击中止接入上报/清除安装客户端VDS设备未安装客户端节点感染病毒,对外网扫描攻击中止接入上报/清除紧急升级VDS设备/客户端病毒捕获技术安装客户端节点感染未知病毒中止接入自动断网客户端客户端/VDS设备安装客户端节点流量超大中止接入清除应急响应客户端/M模块病毒影响基层速度和带宽中止接入清除应急响应VDS设备内网向外网攻击封闭外部IP受攻击节点加固应急响应VDS设备外网向内网攻击中止接入清除客户端/应急响应VDS设备病毒影响出口速度和带宽管理手段技术手段处理检测问题中国安天实验室AntiyLabs创造就是我们的脚步•谢谢各位同仁!