产品简介1 前言 随着网络技术的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活*的重要工具。
值得注意的是,网络安全对政府部门、行业组织、企业单位等的重要性不言而喻。2014年4月15日,正式宣布成立国家安全委员会(以下简称“国安委”),并完成了******次会议的召开。从会议精神所传递的信息中我们不难发现,*********明确指出了11项安全的建设目标,明确要求全国构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。换句话说,信息安全作为建设专项之一,已经被提拔到“一把手工程”的国家战略级高度。在这样的历史背景下,企业、组织与政府部门不仅需要构建自身******的网络安全体系,同时还需要站在国家安全的战略高度,来积极思考信息安全发展的新趋势所带来的各种挑战,需要我们积极应对。
在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。另外,根据国内外调研机构分析发现,网络中蠕虫病毒、垃圾邮件肆虐、攻击工具泛滥、木马后门、拒绝服务司空见惯,的攻击行为也正在不断升级,他们已经不局限于传统的攻击工具利用上,正逐步向0-day漏洞利用、嵌套式攻击、木马潜伏植入等更******的攻击形态变化,这些以行为本身为主导的攻击行为,掺杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化,这无疑给我们的各级政府部门、行业组织和企业单位带来了极大的麻烦。
因此,我们需要了解威胁,我们要找到网络中究竟哪些地方存在威胁?存在什么样的威胁?如何规避这些威胁所造成的伤害?等一系列问题,不得不需要我们网络管理者去面对和解决,信息安全建设的意义也***体现在这些方面。
2 传统网络安全设备的局限性2.1边界安全网关类安全设备的局限性以防火墙为代表的边界安全设备是当前广泛应用于用户网络的一类网关型安全设备,作用是在网络的边缘进行访问控制,除防火墙之外还有其他形态的设备,譬如:UTM(统一威胁管理)、NGFW(下一代防火墙)、IPS(入侵防御)等。这类网关类安全设备主要基于诸如协议、地址、端口这些四层及四层以下的信息进行访问控制,但无法根据7层或超7层协议(如HTTP Tunnel)进行动态分析、过滤。因此它们的访问控制采用的是基于静态的访问控制策略进行的,目前已经越来越难以适应迅速发展且手段千变万化的入侵行为,比如:
u 复杂协议无法解析:无法对复杂协议(多数是应用层协议,如MSRPC)的负载进行有效解析,因此也***无法基于复杂协议的负载进行的入侵行为进行监控与拦截。
u 组合攻击无法检测:无法对由多步骤组成的组合攻击行为进行有效的关联分析,因此防火墙对于这类攻击无法进行监控与拦截。
u 内部攻击无法防范:对于内部发生的攻击行为,因为没有经过边界防火墙,因此防火墙也***无法监控和有效拦截。
2.2传统入侵检测系统及其局限性入侵检测系统(Intrusion Detection System)则是实时入侵发现的专家,由于其部属于旁路位置,因此,入侵检测系统对于内网的攻击行为和来自外部的攻击行为都能够起到有效的发现作用,但与安全网关类设备一样,传统入侵检测系统也存在着自身的局限性:
u 无法真正做到事前告警:只有在攻击行为发生的时候,才能产生告警,无法在攻击发生之前有效预警,即因为缺乏信息整合的能力,无法采用预测技术做到事前告警。
u 很难做到实时阻断:入侵检测系统由于旁路部署,所以很难对实时的入侵起到有效阻断,虽然可以采用与防火墙联动、TCP Killer等方式对攻击进行一定的干扰,但由于实时性较差,因此很难像防火墙一样起到安全闸门的作用,防御能力有限。
u 取证能力有限:与审计类产品相比,入侵检测系统的取证能力有限,入侵检测系统是基于攻击行为片段特征来发现攻击,因此,即使进行取证,也多是采集整个攻击过程某一片段的快照(如时间、端口、ip等静态信息),而很难对攻击全过程进行有效的动态录制(即取证)。因此,在取证方面,往往将审计产品作是***为有效的手段
u 报警事件过多:入侵检测系统由于每天会上报大量的事件(包括可疑行为),根据对国内外传统IDS产品的统计,传统IDS每天产生的报警数量在300条以上。因此对于使用者来说,分析、处理这些事件的工作量巨大,如果不能及时对上报的事件进行有效的分析、处理,则实时报警***失去了意义,并可能导致网络安全事故的发生
u 基于行为的攻击检测难题:传统入侵检测系统虽然具备的检测能力,但其对文件还原之后是否还含有恶意行为、嵌套攻击等都缺乏有效的数据甄别能力,尤其是诸如C&C非法连接行为、0-day利用攻击等***新的******持续性威胁,传统入侵检测的检测机理是无法奏效的。
3 NT35JH-SRe产品规格参数| 产品型号 | NT35JH-SRE |
| 性能 | ★整机吞吐量 | 10Gbps |
| ★IDS吞吐量 | 5.5Gbps |
| ★每秒新建连接数 | 6万 |
| ★******并发连接数 | 300万; |
| ★单包******延时 | ≤5us |
| 配置 | 高度 | 2U |
| ★电源 | 双冗余电源,交流电压100~240V |
| 带外管理口 | 1*GE |
| ★板载捕包口 | 5*GE,1个扩展槽,1个console口 |
| ★硬盘 | SSD硬盘 500G,具有硬件温度监控能力 |
| USB接口 | 2个 |
| 平台 | 采用X86多核硬件平台 |
| ★适应网络环境 | 千兆 |
| 环境要求 | 工作温度 | 0℃ ~ 40℃ |
| 工作湿度 | 5% ~ 85% |
| 存储温度 | -20℃ ~ 70℃ |
| 存储湿度 | 5% ~ 95% |
功能特点1 启明星辰入侵检测系 NT35JH-SRE天阗入侵检测与管理系统是启明星辰公司推出新一代入侵检测产品。系统在架构设计上,囊括了网络已知威胁检测和未知威胁检测两大技术领域,功能涵盖全面。系统保留并完善了对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等威胁具有高精度的检测能力,同时,产品从已知威胁的检测、发现、预警、报告、展现五个维度进行威胁闭环管理,到动态和静态检测结合的未知威胁全面检测,帮助用户全面实现网络中两大威胁的检测与防御,包括了协议攻击、手机病毒、僵木蠕威胁、隐蔽通道、未知漏洞、恶意代码等******持续性的网络威胁。
值得一提的是,新一代入侵检测系统是一款亮点很多的智能化的入侵检测系统,譬如:用VXID算法,快速过滤掉海量的低质量报警事件;用智能调度算法,提升对恶意文件的并行虚拟执行效率;用资产关联算法,使系统展示出来的事件数量大幅减少;用代码优化技术,提升检测处理性能等等,旨在帮助用户,快速定位网络威胁、聚焦******事件、降低管理难度,等等。
1.1产品架构启明星辰新一代IDS的产品架构由三部分组成:
数据和管理控制中心
检测引擎
在线升级系统
其中,数据和管理控制中心负责威胁的展示与管理、多级级联、配置等功能;检测引擎负责对网络流量进行检测,识别出流量中可能存在的威胁;在线升级系统则负责提供软件、特征库、病毒库的升级包,这三部分相互独立,可以灵活部署。
1.2主要功能天阗入侵检测与管理系统是启明星辰自主研发的新一代威胁检测、分析与管理产品,该产品在总结传统入侵检测产品(包括:入侵检测系统、异常流量监测设备、病毒类、恶意URL类检测设备等)不足的基础上,结合大量用户(尤其是行业用户,如政府、金融、******、能源、教育、媒体等)的实际使用效果和反馈,进行了大规模的改进和创新,在******全面威胁检测的同时,强调用户使用的体验,实用、易用、在检测威胁的同时方便用户对威胁进行有效分析和处理、实现对威胁的闭环处理、降低使用人员的使用难度、降低实用人员的使用成本、提高使用人员的工作效率是本品的特色。
全面威胁检测天阗入侵检测与管理系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量、隐蔽信道、AET逃逸攻击等恶性攻击行为有非常******高效的检测效果,并通过简单易懂的去技术化语言帮助用户分析威胁,对威胁进行有效处理。
智能威胁分析天阗入侵检测与管理系统内置的智能分析引擎等,能够对上报的事件,并进行关联分析,识别出重要报警,提醒用户关注,对不重要的报警进行智能过滤,解决了用户查阅大量报警导致对威胁分析和处理难的问题。同时,结合动态分析引擎、静态分析引擎,可以对******持续性威胁做到深度检测。此外,分析报表采用对比分析的方法,让使用者对近期的安全状况一目了然,不再需要使用者在海量的日志数据中进行人工分析,减轻了使用者的工作量和难度,提高使用者的工作效率。
简化威胁管理天阗入侵检测与管理系统注重配置简单的设计理念,主要是指对威胁管理的简单。威胁管理涉及到:威胁发现、威胁展示、威胁分析、威胁处理这四个部分,这四个部分组成了闭环的威胁管理。天阗入侵检测与管理系统采用全面的检测技术******威胁发现的******性;采用多维度图、表、数据结合的方法******威胁展示的简单性、充分性;同时通过智能分析过滤的方法过滤掉无需关注的事件,******威胁展示的质量;采用去技术化的向导帮助使用者对威胁进行分析和处理,此外,自动处理的机制也******程度地降低了使用者的维护工作量。
1.3产品特点天阗入侵检测与管理系统是基于启明星辰多年的安全积累基础之上,采用新一代多核X86高性能硬件平台,为用户提供适合从百兆、千兆、万兆等多网络环境下的威胁发现、威胁展示、威胁分析、威胁处理的专业化威胁发现与管理系统,下面***对本系统的产品特色进行详细介绍。
1.3.1全面******检测天阗入侵检测与管理系统基于启明星辰多年的安全积累,已经具有全面威胁覆盖的能力,可对已知威胁和未知威胁做全面的检测,据此启明星辰还形成多项检测技术。
近些年来,以******持续性威胁为代表的新威胁态势不断向行业客户渗透,天阗入侵检测与管理系统通过融合静态检测算法、动态虚拟沙箱等技术手段,可对未知威胁的攻击行为有非常******高效的检测效果。
1.3.2全面精细的特征库为了有效地降低了误报率和漏报率,做到了针对威胁的******检测,天阗入侵检测与管理系统在特征库的质量上不断更新,并且精选出来的5200多条代表主流攻击的时间,为了强调事件的时效性,特征库还覆盖了大量0 day漏洞,满足用户对于检测产品“全、精、新、准”的述求。
1.3.3******的Web威胁检测当前,电子商务、考试在线报名、关键信息发布、网银、在线交易等网上业务盛行,围绕网上业务或WEB业务的攻击大量泛滥。新一代天阗入侵检测与管理系统通过采用基于语法分析、语义分析的******检测算子技术,不但对常见SQL注入、XSS的攻击检测具有****的检测效果,而且对于采用复杂变形手段的SQL注入、XSS也具有*的检测精度。
1.3.4全面用户上网行为监控天阗入侵检测与管理系统全面覆盖了包括IM、P2P、语音、视频、游戏、在线炒股等主要用户上网行为的监控。通过特征匹配与行为模式分析的方式,对主要的P2P(如:eDonkey、eMule、迅雷等)登录、传输过程进行有效的识别并进行报警,让使用者对网络内存在的各种上网行为进行及时了解,为优化带宽,制定上网行为控制策略提供及时、详细的决策数据。
1.3.5流量智能分析根据天阗入侵检测与管理系统独立的流量引擎模块,可以为用户采集分析,诸如Web流量、邮件流量、数据库流量等网络流量,动态分析出当前时刻网络流量的正常运行态势,并通过与实时流量进行对比,判断出当前流量的走势是否异常。图形化的流量实时运行曲线与超压曲线使得流量运行的情况一目了然。
1.3.6智能报警分析与过滤用户面临网络监控中******的一个问题是事件报警量过大,天阗入侵检测与管理系统采用多维度分析与用户行为挖掘的方式对监测引擎报警上来的大量事件进行智能分析,对其中与实际威胁关系不大的报警进行有效的识别,并在识别的基础上进行了自动过滤,报警数量大大减少,极大地降低了使用者的维护工作量,提高使用者的工作效率,让监测系统的使用真正变得简单。
1.3.7******的原始报文取证为帮助用户解决报警分析难的问题,天阗入侵检测与管理系统内置了原始报文捕获的功能,通过该功能,可以将报警产生那一瞬间及其前后一段时间内的用户场景的上下文如实地记录下来。通过这些信息,我们可以帮助使用者(甚至使用者自己)***可以判断出报警的真伪。原始报文是报警分析的有效手段,同时也可以成为取证的一个途径。
1.3.8组织化威胁管理在大规模分布式部署环境下,威胁管理工作变得尤为复杂,新一代天阗入侵检测与管理系统为此提供了组织化管理的技术方案,即:用户可以根据自己的组织结构定义相应的“门”,形成树形组织结构,用户可以根据需要选择性查看某个“门”的威胁报警事件并生成报表,很好地克服了多级分布式环境下的威胁统一安全管理难题。
1.3.9入侵事件定位系统结合网络入侵检测系统,可以将离散的实时报警信息通过地理信息、网络结构以及和IP地址的定位结合显示在图形化的界面上,用户可以清晰的看到入侵事件的源头或目标对象,不同地域的入侵事件发生比例以及事件级别比例。通过入侵事件定位系统,用户可以更好的使用入侵检测提供的信息进行事件跟踪及时的响应处理,有效的提高了入侵事件的可视化管理。
1.3.10 ******逃逸威胁AET检测可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范。利用分层化检测的方式同时对所有协议层的流量进行检测,使网络中捕获到的攻击包合规化,满足特征检测的条件,***终使得攻击得以展现,逃逸化为无形。
1.3.11 全面支持*6环境针对*6环境完善了网络数据包捕获、*6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,并可以对*6实现事件日志采集和分析统计。
1.3.12 威胁分析与处理帮助新一代入侵检测,采用浅显易懂的事件描述语言,使用户更加直观了解威胁的本质,并且给出易于理解的分析帮助和简单可操作的处理化建议,更利于使用者对威胁进行闭环管理。对威胁进行闭环管理的过程,产品提供了去技术化的威胁分析帮助向导,让使用者可以容易地对威胁进行分析,同时,也提供了简单易操作的威胁处理建议和自动化处理的设置,通过这些建议和设置,使用者可以简单方便地对威胁进行处理,以***小的工作代价完成对威胁的闭环管理。
1.3.13 事件日志与策略自动优化系统根据用户的安全态势及发生频率识别垃圾事件,并自动提醒用户有策略优化任务需要处理,然后与用户交互共同完成垃圾事件的清理,规避操作过程中的风险,同时可将策略优化应用到后续事件处理上。
1.3.14 多维度分析报告天阗入侵检测与管理系统的报表系统分为详细报表、基础统计报表、******统计报表、分析报表4种。其中前3种属于以原始日志为主的基础数据报表,而分析报表则是在原始数据的基础之上通过不同时期的分析,对威胁的关键属性(比如危险级别、攻击者威胁指数等)进行对比,并将对比分析后的结论在报表中输出,让使用者可以通过分析报表清楚地看到当前是否存在威胁,当前的主要威胁是什么。
1.3.15 虚拟流量检测随着云计算、大数据、物联网的广泛普及,网络流量虚拟化技术在用户环境中被大量运用,网络边界变得模糊,因此,传统监控手段面临巨大安全挑战,新一代天阗入侵检测与管理系统可以与天阗虚拟导流器***是解决虚拟化环境下的网络安全威胁无法检测的难题。它利用虚拟化技术手段,结合物理入侵检测产品松耦合方式,将虚拟的网络流量转送至入侵检测设备中,经过流量深度检查从而发现虚拟环境中的网络威胁,实现对虚拟网络的安全梳理。它的核心原理是将经过虚拟交换机上的网络报文按照策略要求导引到的物理安全设备中,达到对虚拟网络进行检测的需求。
