白皮书下载1 概述
迪普科技IPS2000入侵防御系统是针对应用系统防护而设计的专业安全设备,产品基于迪普科技自主知识产权的高性能硬件平台APP-X及L2~7融合操作系统Conplat进行开发,为用户操作系统、中间件、数据库、邮件服务器、DNS服务器和FTP服务器等核心资产提供专业的应用层防护。迪普科技凭借强大的安全研究 团队及强大的多种技术融合的入侵检测引擎,可针对层出不穷的漏洞威胁及攻击手段提供有效全面的安全加固和防护。此外,迪普科技IPS2000入侵防御系统还可为用户提供安全可视化服务,帮助用户直观了解现网安全状况,及时消除安全隐患。
迪普科技IPS2000采用管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
2 IPS技术优势
2.1 精确的应用识别能力
随着网络上的应用爆炸性增长,一个封闭、仅仅完成数据传输任务,而对4-7层应用一无所知也无法管理的网络越来越无法满足需求。为了解决此问题,迪普科技IPS2000的Conplat平台除了支持三层和四层的传统协议之外,还支持4-7层的应用识别,从而实现基于应用的管理。
Conplat应用识别在会话管理的基础上识别每个流经设备的数据包所属的应用协议及其命中的数据特征。Conplat应用识别的基本思路是利用所谓特征状态机来逐层推导协议,同时识别各个协议层次上的数据特征。它的核心围绕一个叫着协议特征状态树的逻辑结构(如图1所示)。
图1 协议特征状态数和检测特征提取
迪普自主研发的应用识别检测引擎,集成了多项检测技术,实现了基于精准状态的全面检测,其工作原理图如下:
图2 应用识别检测引擎
■ 特征识别技术
特征识别技术是提取和分析网络应用进程在进行交互过程中所携带的特有协议内容标识,进而识别网络流所使用的特定网络协议。如BT的点对点协议,可以通过捕捉TCP上的数据交互特征“\x13bittorrent protocol”来发现。
■ 关联识别技术
关联识别技术,是在业务流没有任何特征可提取并且其业务流和控制流是分离的情况下,控制流需要被先分析识别出,然后通过特定的应用层网关对控制流的协议进行解析,最后从协议的内容中识别相应的业务流的技术。如常见的RTP协议、FTP协议、SIP协议、H323等。
■ DFI识别技术
DFI识别技术主要用来识别加密的数据流。因为数据被加密之后,无法提取有效的内容特征,故此类数据需要通过数据流的状态特征来识别。这里分为流检测技术和节点发现检测技术。
■ 流检测技术
流检测技术主要有两种:流特征检测和数据挖掘分类检测,两种算法各有优缺点。使用的流参数:
常用参数:报文大小、报文到达间隔时间、报文到达顺序、流持续时间分布
其他细分参数:五元组、流总分组数、分组到达时间间隔平均值/方差/最大值/最小值、分组净荷平均值/方差/最大值/最小值…
● 方式一:流特征统计检测
图3 流特征统计检测
● 方式二:数据挖掘分类检测。主要采用贝叶斯算法进行分类,对每一条流计算属于各类的概率,选取最大值所对应的类别。
图4 数据挖掘分类检测
■ 节点发现检测技术
● 方式一:网络直径检测:P2P具有更大的网络直径。
图5 网络直径检测
● 方式二:连接行为模式检测
TCP/UDP混用:同时使用UDP或TCP做控制与传输的,一般为P2P(排除DNS协议)
IP/Port对:请求Port数:请求IP数 > 10,一般为非P2P
失败连接数比例:比例较高(排除恶意软件)
大量突发连接数:(排除病毒、蠕虫等)
图6 连接行为模式检测
迪普科技IPS2000系列入侵防御系统将以上多种检测算法充分融合,从而实现智能应用检测算法。
2.2 多种技术融合的攻击检测能力
2.2.1 基于指纹特征的检测技术
基于指纹特征的检测技术主要用于漏洞的检测和防御,通过迪普漏洞研究团队发布的漏洞以及自身挖掘的安全风险进行深度分析,提取出相应特征,配合高效匹配算法对报文进行高速精确匹配,阻断此类攻击。
迪普内置IPS特征库,实时阻断各类黑客攻击,如缓冲区溢出类漏洞、系统扫描探测类、注入攻击、跨站脚本攻击、木马远控、WEB后门、信息泄露、WEB扫描探测、蠕虫病毒、密码攻击、中间件漏洞等,为用户核心资产提供专业的应用层防护。同时还支持查看攻击事件明细,分析攻击源目的IP及端口,并可针对攻击事件分析攻击报文内容,便于攻击取证。
2.2.2 智能的协议识别技术
传统的安全产品是通过RFC规定的端口来识别协议的,检测效率高简单易行。但是现在的应用,比如P2P、即时通信、木马后门、网络游戏等应用都运行在任意端口之上,从而绕过传统安全产品的检测和控制。
迪普IP采用智能的协议识别技术,通过特征来发现协议,这样即使是通过动态端口或隧道实施的恶意入侵行为也能被准确的检测出来。比如绑定为53端口的木马后门程序。
2.2.3 防高级逃逸攻击技术
AET高级逃逸技术是黑客躲避安全检测,达到恶意攻击目的的一种高级入侵手段。目前比较主流的AET类型有以下几类:分片逃逸攻击、乱序逃逸攻击、编码变形逃逸攻击等。迪普科技IPS2000基于智能的数据包重组技术、协议解码技术对分片报文、乱序报文、HTTP编码等绕过行为进行检测,避免黑客绕过安全检测,使变种攻击无所遁形。
2.2.4 防数据泄露技术
在知识经济时代,企业之间的商业竞争越来越表现为核心技术、知识产权、独有配方等商业机密的竞争。一旦企业掌握了这些核心优势,将会在市场竞争中处于明显领先优势。因此,这些核心资产的泄露,同样也会给企业带来致命的风险,甚至会影响到企业的生死存亡。数据泄露分内部和外部,内部员工通过邮件、网盘、FTP文件上传、即时通讯等方式将重要文件泄露出去;外部黑客入侵成功之后,将敏感数据(比如身份证号、银行卡号、手机号等)从被攻击的网络非法传输到由攻击者控制的外部系统。
迪普科技IPS2000的防数据泄露技术,支持对不同的用户在不同时间段对系统内部敏感数据、文件类型进行识别,实现对敏感数据使用情况的监控和控制,从而达到防止数据泄露的目的,全方位保证用户核心资料的安全性。
2.2.5 基于行为模型的攻击防护技术
■ 扫描探测防护
“知己知彼,百战不殆。”扫描探测,目的就是“知彼”,为了提高攻击命中率和效率,基本上常见的攻击行为都会用到扫描探测。常见的扫描探测方式为地址扫描探测、端口扫描探测、漏洞扫描探测。地址扫描探测是利用ARP、ICMP协议请求行为来标识网络上哪些主机存活;端口扫描探测是利用TCP、UDP协议来获取目标主机开启的端口和服务情况;漏洞扫描探测是使用TCP/IP协议栈指纹来识别不同的操作系统和设备。攻击者就可以通过扫描探测猜测目标主机提供的服务以及潜在的漏洞,为下一步入侵做好准备。
迪普科技IPS2000通过分析扫描攻击行为,提取流量特征,提供基本攻击防护,包括ICMP不可达、ICMP重定向、Tracert探测、IP地址扫描、端口扫描、漏洞扫描等,避免后续的攻击行为。
■ 畸形包攻击防护
迪普科技IPS2000支持针对协议漏洞的畸形包攻击防范,对LAND、死亡之Ping、IP分片重叠、UDP Fraggle、WinNuke、ICMP Smurf、Tear Drop等常见攻击的检测防御,并可根据用户自身安全需求设置相应防护策略。
■ 异常流量防护技术
迪普科技IPS2000主要通过动态规则过滤、异常流量限速和先进的“智能流量检测”技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、TCP Flood、DNS Request Flood、DNS Reply Flood、HTTP Get Flood、CC攻击等。可以自动检测并防御DDoS攻击,可以阻止恶意流量,保障正常的业务不受影响。
2.2.6 自定义规则检测技术
迪普科技IPS2000设备支持根据可以定义协议、攻击方向、特征字符串、正则表达式,告警级别等来自定义检测规则。当发现攻击而又不能及时升级特征库时,可以通过自定义规则,快速防御威胁。
2.3 专业引擎防病毒能力
流式病毒检测引擎,直接提取病毒特征。当病毒文件经过设备时,只要匹配上病毒特征,设备就会立刻做出响应,比如阻断或重定向携带病毒的报文和异常流畅,提高了检测性能。同时迪普的防病毒模块还支持对特征例外的操作,当某条检测规则产生误报时,用户可以根据病毒ID找到相应的病毒特征,让该病毒特征失效,从而能快速恢复业务。
2.4 智能的上网行为分析和控制
迪普科技IPS20002通过深度检测以及协议指纹分析技术综合分析网络中诸如P2P下载、即时通讯、远程管理、网络游戏、网络电视、代理服务、金融证券、移动应用等用户网络访问行为,协助企业对用户上网行为进行有效的控制管理;
在互联网提供的海量、庞杂的信息中,很多负相关或者是极少相关的信息以不同的表现形式,从不同的方面对人群造成毒害或者干扰。因此,对网络访问进行必要的、有效的内容过滤是非常重要的。迪普科技IPS2000提供的URL过滤和Web关键字过滤功能,可以组织内部用户访问非法的网址,以及对网页中的不良信息做阻断。除此之外,用户可以自定义具体的IP,主机名来对作为URL地址进行过滤。对于有经验的用户,还可以使用正则表达式来定义URL地址,可以实现配置1条策略对多个URL地址进行过滤的要求。
2.5 全面支持IPv6和隧道检测
可以在IPv4/IPv6双栈、MPLS等复杂网络环境下良好的工作,可以识别并检测QinQ、PPPoE、MPLS、GRE、Vlan等特殊封装的网络报文,具备面向下一代网络的各种特性。
2.6 虚拟化技术
在云数据中心环境下,迪普科技IPS2000可通过虚拟化技术将安全资源池化,按需为不同租户提供安全资源:租户拥有独立管理界面,可自行配置安全策略,按需分配吞吐、并发、新建等资源。
图7 虚拟化技术
2.7 高可靠安全性
2.7.1 完善的HA部署方式
迪普科技IPS2000支持HA部署,能够对状态和配置信息进行同步,在出现宕机情况时,能够通过主备机的切换等保护措施保证网络不中断同时确保防护业务的持续性。
2.7.2 支持冗余电源
支持冗余双电源,避免电源故障宕机,实现高可用性。
2.7.3 丰富的Bypass功能
■ 应用Bypass功能
迪普科技IPS2000采用安全、可靠的软件平台,可以自动识别设备异常, 当设备出现异常即自动切换成Bypass状态,对网络业务不造成影响。
当网络流量异常增加,远高于设备部署时的评估流量,设备能够自动评估网络数据流量和设备的处理性能之间的差异,开启Bypass功能,可以保证网络畅通。当流量恢复正常时,设备也能自动监控到网络流量正常,自动关闭Bypass,保证系统业务正常。
■ 硬件Bypass功能
迪普科技IPS2000采用高可靠的硬件平台,内置Bypass掉电保护模块,当设备掉电时保证网络畅通。同时对于光模块,可选择外置掉电保护PFP(Power Fault Protector)设备,能够通过外接PFP掉电保护模块,扩展Bypass功能,组成完善的Bypass方案。同时,对于机框式设备,可配置专用的光保护板,光保护板功能与PFP一样,可全内置于机框式设备中,更加方便可靠。
图8 正常情况下流量转发示意
正常情况下,将PFP主机串接在IPS与交换机中间,PFP通过IPS的USB口监控IPS的工作状态,一旦IPS掉电或出现其他硬件故障,则将IPS直接Bypass,流量经过PFP进行转发,确保网络正常使用。
图9 IPS掉电后直接通过PFP转发
2.8 可视化的风险报表
迪普科技IPS2000将攻击日志、病毒日志、流量统计信息、会话日志等发送到统一管理平台。统一管理平台提供丰富的报表功能,支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势等多种报表模板,在报表中可直观显示整体安全风险概况分析,让用户对自身业务系统在某段时间内的安全状况有直观了解。同时根据用户在这段时间内面临的安全威胁,IPS会对用户整体安全风险进行评级,包括高危、中危、低危和安全等。另外,IPS针对攻击级别较高的攻击事件还可以提供安全解决方案。
图10 整体安全状况评估
2.9 灵活的网络部署方式
迪普科技IPS2000支持透明模式、旁路模式、网桥方式接入网络,具有实时收集流入目标网络内所有数据包的能力。具备多接口数据重组以及多接口并行防御和监听能力,以确保IPS能够在直路环境、旁路环境、直路与旁路混合环境、非对称路由环境等场景下收集到完整的网络数据,检测并防御威胁。
