黑盾入侵防御系统技术白皮书

Guide For Heidun IPS
黑盾入侵防御系统 V3.1
技术白皮书
福建省海峡信息技术有限公司



黑盾入侵系统防御 V3.1 技术白皮书
重 要 声 明
本书为【黑盾入侵防御系统】产品配置使用指导手册，其内容将随着产品不断升级而改 变，恕不另行通知，如有需要，请从福建省海峡信息技术有限公司网站下载本手册最新版本。

本文档由福建省海峡信息技术有限公司于 2009 年 7 月最后修订。

在法律法规的最大允许范围内，福建省海峡信息技术有限公司除就本手册和产品应负的 瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用 产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本文档版权归福建省海峡信息技术有限公司所有，并对本文档的内容保留一切权利。

未经本公司书面许可，文档中的任何部分不得以任何形式或手段复制、拷贝、传播给其它第三 方。

在法律法规的最大允许范围内，福建省海峡信息技术有限公司对于您的使用或不能使用 本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中 断、商业信息的遗失或其他损失） ，不负任何赔偿责任。

感谢您购买福建省海峡信息技术有限公司研制开发的“黑盾”系列网络安全产品。

请在 安装本产品之前认真阅读配套的使用手册，当您开始使用黑盾入侵防御系统时，海峡信息认为 您已经阅读了本使用手册。

福建省海峡信息技术有限公司 地址：福建省福州市北环西路 108 号 邮编：350003 电话：086-591-87303710 传真：086-591-87303709 E-mail:si@
版权所有 不得翻录
第2页


黑盾入侵系统防御 V3.1 技术白皮书
目
录
一、 为什么需要入侵防御系统..................................................................................................... 4 1 网络安全发展的趋势.................................................................................................................. 4 1.1 网络安全边界概念的模糊............................................................................................ 4 1.2 网络威胁的变化趋势.................................................................................................... 4 2 传统的安全设备能否面对未来安全威胁的挑战？ ................................................................. 6 2.1 防火墙能否有效的构筑网络安全边界？ .................................................................... 6 2.2 IDS 能否面对未来网络安全的挑战？......................................................................... 7 3 主动防护手段呼之欲出....................................................................................................... 12 3.1 IPS 应具备的特性 ....................................................................................................... 13 3.2 一个完善的 IPS 系统所应当具备的特征 .................................................................. 14 3.3 评估 IPS 产品的几个误区 .......................................................................................... 15 二、黑盾入侵防御系统 （Heidun IPS) ............................................................................................. 16 1 Heidun IPS ............................................................................................................................ 16 1.1 Heidun IPS 支持的工作模式 ...................................................................................... 16 1.2 新一代的检测分析技术.............................................................................................. 18 1.3 实时主动的防御能力.................................................................................................. 19 1.4 优异的产品性能.......................................................................................................... 20 1.5 高可用性..................................................................................................................... 21 1.6 强大的管理和报表功能.............................................................................................. 21 2 部署方式................................................................................................................................... 23 2.1 IPS 的学习适应期 ....................................................................................................... 23 2.2 部署 IPS 的两个阶段 .................................................................................................. 24 2.3 完整的部署带来无处不在的防护能力 ...................................................................... 26 3 Heidun IPS 能给用户带来什么 ............................................................................................. 27 三、结束语........................................................................................................................................... 28
第3页


黑盾入侵系统防御 V3.1 技术白皮书
一、为什么需要入侵防御系统
Internet 及电子商务的发展和普及给企业带来了前所未有的运作效率，但同时依赖于此的 用户们也越来越多的面临着比以往更多的安全问题的困扰。

企业的信息资产受到的损害对一个 企业而言往往会直接转化成更为直接的影响, 诸如客户信心和工作生产力下降等等, 由此给用 户造成的损失也是不可挽回的。

1 网络安全发展的趋势 1.1 网络安全边界概念的模糊
移动办公的兴起，vpn 的大量应用，P2P、IM 的日益普及，原有固定概念中的内外网的逻辑 划分被轻易打破，威胁也由单一的内外网之说变得更为多变，不能再用以前的观点来轻易的划 分内外，更不能在这种认知的基础之上去考虑未来企业的网络安全架构。

配置防火墙目前仍然 是防范网络入侵者的主要保护措施，但是，现在出现了越来越多的攻击技术，可以实现绕过防 火墙的攻击，随着移动办公设备的广泛应用，90%以上的计算机将有机会面临间谍软件、广告软 件、木马和病毒等恶意软件的侵扰。

无视此类现实存在的直接后果：将导致重要数据丢失，机 器被远程控制，病毒和蠕虫在内网恣意传播。

我们正面临的一个困惑：网络安全边界概念用传 统的方式无法有效地描述了。

1.2 网络威胁的变化趋势
计算机网络技术的飞速发展，大大改变了人们的生活面貌，促进了社会的发展，同时，网 络上的各种攻击行为和用户面临的威胁也发生了很大的变化，目前应该特别注意的是网络攻击 技术和攻击工具正在朝下几个方面快速发展。

转向以谋求利益为目标 早期的入侵行为多半是出于好奇、炫耀技术，攻击者并没有强烈的恶意，但近些年来，网 络攻击已经明显转变为隐秘的有组织的、以赚取经济利益为目的行为。

网络入侵行为也发生了 很大的变化，以前常有的那种大规模的单一网络安全事件已不多见，网络攻击者正转向瞄准具 体组织进行敲诈勒索的小范围、更秘密的攻击。

伴随着这种转变的是更多的恶意软件和钓鱼攻 击行为的出现，这些软件通过多种渠道(如恶意网页、邮件、蠕虫、僵尸网络等)侵入用户系统，
第4页


黑盾入侵系统防御 V3.1 技术白皮书
窃取用户信用卡信息或银行账目细节，获取企业知识产权及其他敏感性企业数据，借此得到经 济上的利益，根据近年来对这种带有犯罪意图的网络攻击的统计，今后几年此类事件很有可能 会愈演愈烈。

攻击行为发生新的变化 一般的攻击行为涉及到四个阶段，在每一个阶段都发生了新的变化。

在扫描阶段，扫描工 具的发展，使得黑客能够利用更先进的扫描模式来改善扫描效果，提高扫描速度；在渗透控制 阶段，越来越多的安全漏洞使用户的系统在不知不觉中就被攻击者控制，更加容易受到损害； 攻击传播技术的发展，使得以前需要依靠人启动软件工具发起的攻击，发展到攻击工具可以自 己发动新的攻击；在攻击工具的协调管理方面，随着分布式攻击工具的出现，黑客可以容易地 控制和协调分布在 Internet 上的大量已部署的攻击工具。

目前，分布式攻击工具能够更有效地 发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

威胁涌现和传播速度越来越快 新发现的各种系统与网络安全漏洞每年都要增加一倍，每年都会发现安全漏洞的新类型， 网络管理员需要不断用最新的软件补丁修补这些漏洞。

攻击者经常能够抢在厂商修补这些漏洞 前发现这些漏洞并发起攻击。

SQL Slammer 案例：每 8.5 秒感染范围就扩展一倍；在 10 分钟内感染了全球 90％有漏洞 的机器，OS\应用系统越来越庞大的同时不可避免的带来了系统漏洞的激增。

2003 年 SQL Slammer 蠕虫爆发，它的数量每 8.5 秒会翻一倍，可以在 10 分钟内感染 90% 的有相应漏洞的主机。

虽然以后不一定出现比这传播速度更快的蠕虫，但是随着漏洞利用的自 动化程度和成熟度的增加，谁又能保证不会出现新的蠕虫打破这个纪录呢？而且同样一个蠕虫 攻击，也可能会产生很多种变种。

因此, 企业迫切需要一个对入侵信息能够及时发现并阻断的 设备，这就入侵防护系统（IPS）出现的重要原因之一。

攻击工具越来越复杂
攻击工具的开发者正在利用更先进的技术武装攻击工具， 攻击工具的特征比以前更难发现， 它们已经具备了反侦破、动态行为、攻击工具更加成熟等特点。

同时，攻击工具也越来越普遍 地支持多操作系统平台运行；在实施攻击的时候，许多常见的攻击工具使用了如 IRC 或 HTTP 等 协议从攻击者处向受攻击计算机发送数据或命令，使得人们区别正常、合法的网络传输流与攻 击信息流变得越来越困难。

第5页


黑盾入侵系统防御 V3.1 技术白皮书
2 传统的安全设备能否面对未来安全威胁的挑战？ 2.1 防火墙能否有效的构筑网络安全边界？
从 90 年代初开始，随着 Internet 的快速发展，网络安全的问题也逐步为人们所重视，从 最初采用简单的访问控制列表，到部署防火墙来保护周界安全。

从 1993 年防火墙被广泛地部署 在各种网络中。

虽然，网络中已部署了防火墙，但是，在网络的运行维护中，IT 部门仍然发现 网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器， 可过不了多久问题再次出现。

而实际上，业务增长速度并没有这样快，业务流量占用带宽不会 达到这样的数量，这是目前各大公司网络都可能存在的问题。

并不是当初网络设计不周，而是 自 2003 年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有 害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作 在 L2-L4 时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪 装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通 过防火墙开放的端口进出网络。

如图所示：
telnet
蠕虫 合法访问
Attacker Tftp
HTTP-80/P2P
漏洞服务器
通过80端口无法检 测并阻止攻击
这就是为何用户在部署了防火墙后， 仍然遭受入侵以及蠕虫、 病毒、 拒绝服务攻击的困扰。

事实上，员工的 PC 都既需要访问 Internet 又必须访问公司的业务系统，所以存在被病毒感染 和骇客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，P2P 等应用，利用 80 端口进行协商，然后利用开放的 UDP 进行大量文件共享，导致机密泄漏和网络 拥塞，对公司业务系统的危害极大。

为了能够让防火墙具备深入的监测能力， 许多厂商都基于现有的平台增加了 L4-L7 分析 能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的 L4-L7 深入 检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时， 造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在 严重的性能问题。

第6页


黑盾入侵系统防御 V3.1 技术白皮书
2.2
IDS 能否面对未来网络安全的挑战？
在如今的网络构建中，网络安全已经受到越来越多用户的关注和重视。

网络的安全防护是
一个多层次的保护机制，它既包括企业的安全策略，又包括防火墙（Firewall） 、入侵检测系统 （Intrusion Detection Syetem，IDS）和防病毒软件（Anti-Virus）等产品技术解决方案。

为 了保障网络安全，必须建立一套完整的安全防护体系，进行多层次、多手段的检测和防护。

通 过多年的技术发展，入侵检测系统（Intrusion Detection Syetem，IDS）已经日益成为构建安 全防护体系不可缺少的一环。

主流的入侵检测技术
模式匹配技术 模式匹配技术是入侵检测技术领域中应用最为广泛的检测手段和机制之一，模式匹配技术 也称攻击特征检测技术，假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征， 那么所有已知的入侵方法都可以用匹配的方法来发现， 模式发现的关键是如何表达入侵的模式， 把真正的入侵与正常行为区分开来。

异常检测技术 基于异常检测方法主要来源于这样的思想：任何人的正常行为都是有一定规律的，并且可 以通过分析这些行为产生的日志信息总结出这些规律，通常需要定义为各种行为参数及其阀值 的集合，用于描述正常行为范围。

而入侵和滥用行为则通常和正常的行为存在严重的差异，通 过检查出这些差异就可以检测出入侵。

这样，我们就能够检测出非法的入侵行为甚至是通过未 知攻击方法进行的入侵行为，此外不属于入侵的异常用户行为（滥用自己的权限）也能被检测 到。

第7页


黑盾入侵系统防御 V3.1 技术白皮书
协议分析技术 协议分析是目前最先进的检测技术，是在传统模式匹配技术基础之上发展起来的一种新的 入侵检测技术。

它主要是针对网络攻击行为中攻击者企图躲避 IDS 的检测，对攻击数据包做一 些变形，它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解 析，来快速检测某个攻击特征是否存在，从而逃避 IDS 的检测而开发设计的。

它最大的特点是 将捕获的数据包从网络层一直送达应用层，将真实数据还原出来，然后将还原出来的数据再与 规则库进行匹配，因此它能够通过对数据包进行结构化协议分析来识别入侵企图和行为。

协议 分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。

采用协议 分析技术的 IDS 能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常 行为。

对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实 现偏离了协议标准。

协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS 就发出 告警。

协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻 击方法。

传统的入侵检测系统（IDS）采用旁路方式部署，通过对计算机网络或系统中的若干关键点 收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检 测来自外部的入侵行为，同时也监督内部用户的未授权活动，这是一种集检测、记录、报警、 响应的动态安全技术，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。

部署于网络中的IDS所能实现的主要功能包括： 检测网络中可能的攻击行为，通知用户攻击的危险程度和可以采取的应变防范措施； 协助系统管理员理解网络中所面临的风险级别； 记录网络中的攻击或可疑事件信息，供事后分析和取证； 提供简单的入侵防护措施，避免攻击危害的进一步扩大； 在检测到网络中有攻击行为或可疑的网络数据时，IDS 一般会采取多种的报警响应措施， 以通知用户防范可能的安全风险：
第8页


黑盾入侵系统防御 V3.1 技术白皮书
显示安全事件报警信息到 IDS 控制管理台； 发送邮件、SNMP、Syslog 等其他方式的安全事件告警信息； 将安全事件记录至数据库，以供事后分析、查询； 依据事先的设定发送指令修改防火墙的安全策略，阻止后续的相同攻击包。

面对网络威胁的变化趋势，IDS 已经显现出了诸多的不足之处，在对数据流的检测处理 方面，IDS 无外乎存在如下四种可能 ：
合法的流量中：正确识别并通过 这是IDS的一个合理的结果。

非法的流量中：不能有效地检出攻击 这意味着入侵检测系统失效。

已有的 IDS 实现方法都是采用检测软件运行在通用或专用主机上的体系结构。

这种架构的 问题在于当网络的流量较大时，IDS 的处理能力无法完成对所有流量的综合和深入分析，从而 出现较多的漏报。

除由于性能原因产生漏报外，由于运行 IDS 的主机的网卡工作在杂收模式， 采用诸如 AntiSniff 的技术可以发现网络中 IDS 的存在，攻击者随后可以采用隐秘攻击技术躲
第9页


黑盾入侵系统防御 V3.1 技术白皮书
过 IDS 的监测，这是因为 IDS 采用主机架构并使用简单模式匹配技术，如著名的 Snort，这种 方法对检测病毒是很有效的，因为病毒的特征基本固定，但隐秘攻击技术能够实现同样的攻击 目的却不出现 IDS 可识别的攻击的特征，即并不在攻击代码中出现某些特殊的字符的特点，这 样就欺骗了 IDS。

从原理上说，特征匹配是基于一些特殊字符串的，攻击者只要伪造同样的特殊字符串并发 送到 IDS 检测的网络环境里，就可能造成 IDS 报警，即便这个字符串并没有真正实施攻击。

攻 击者进行这样的行为通常是迷惑和阻塞 IDS，从而让真正的攻击行为得到掩护并实现瞒天过海 的目的，管理员面对大量报警会无所适从，并很可能因此忽略真正的攻击报警。

非法的流量中：有效的识别攻击并告警。

这是一个理想的入侵检测结果。

检测恶意流量的速度和可靠性是衡量入侵检测系统精确性 的指标。

系统其他所有的功能都依赖于这个能力。

系统越精确，就越可靠。

在让系统采取必要 的行动（如抛弃连接）去保护网络之前，它必须被确认拥有很高的精确性。

在合法的流量中：将合法流量誤报为攻击并告警 另外一个问题是误报，IDS 有时会将正常的访问识别为攻击并进行报警。

基于特征匹配的入侵检测，会因为一些特殊网络数据包的字符串触发报警，即便对方并非 蓄意伪造，但是也存在一些正常数据传输恰好包含了某段攻击代码特征的情况，当 IDS 遇到合 法的和良性的流量时，却断定里面藏有攻击。

这种情况是非常糟糕的，它需要管理员对 TCP 会 话进行跟踪和回放，当这样的现象属于个别现象的时候，有经验的管理员是有精力来进行分辨 的。

但这需要管理员实时的对会话进行辨析，遇到大量的诸如此类的工作涌现的时刻，管理员 的人工处理效率将大大降低，而此时需要面对的另外一个问题就是有可能让真正的攻击行为透 过这样的海量信息穿墙而过。

大部分的 IDS 需要通过一个较长的周期来进行策略的调整，以达到减少誤报的目的，这是 让人无法接受的。

另外，由于目前 IDS 的管理设计，可能局限系统的可调整性。

也就是说，你 必须决定是否要检测到或忽视某种攻击。

假如调整目的在于减少错误报警，那么对某种攻击的 检测将被彻底关掉，这些攻击将会畅通无阻，而不被发现。

第 10 页


黑盾入侵系统防御V3.1技术白皮书
部署模式上的不足
现在较好的交换机都支持监听端口，故很多 IDS都连接到监听端口上。

通常连接到交换机时都是全双工的，即在100MB的交换机上双向流量可能达到 200MB，但监听端口的流量最多达到100MB，从而导致交换机丢包。

为了节省交换机端口，很可能配置为一个交换机端口监听多个其它端口，在正常的流量下，监听端口能够全部监听，但在受到攻击的时候，网络流量可能加大，从而使被监听的端口流量总和超过监听端口的上限，引起交换机丢包。

一般的交换机在负载较大的时候，监听端口的速度赶不上其它端口的速度，从而导致交换机丢包。

增加监听端口即意味做需要更多的交换机端口，这可能需要购买额外的交换机，甚至修改网络结构（例如原来在一台交换机上的一个VLAN现在需要分布到两台交换机上）。

支持监听的交换机比不支持的交换机要贵许多，很多网络在设计时并没有考虑到网络监听的需求，购买的交换机并不支持网络监听，或者监听性能不好，从而在准备安装NIDS的时候需要更换交换机。

IDS是一个被动的监听者，而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用，当IDS报警的时候，攻击已经发生而损失已不可避免，用户更迫切的需要更加实时的安全防护，在发现攻击的同时就能将攻击行为实时阻断。

其次在入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵，这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统。

为了弥补IDS的先天不足，一种称之为IDS和防火墙联动的方案出现了，它只是对访问控制系统的一个主动反馈机制（典型的防火墙和路由器）。

防火墙的联动机制使得入侵检测系统具
黑盾入侵系统防御V3.1技术白皮书 有能力来告诉防火墙流量应当阻止何种流量，通常的方式是调整防火墙的策略来防护将来的攻击，但在实际应用中，从IDS发现问题到通过开放接口向防火墙发送策略更新信息，再到最终防火墙激活新的策略所耗费的时间仍无法满足用户对高安全性的要求，特别是在攻击流量激增的情况下，这种方案几乎无法奏效，所以其可行性存在很大问题，如今的入侵检测系统可以通过发复位包（TCP Reset）的方式，或者执行一段用户编写的程序，自动切断危险的连接。

而且入侵检测系统作为整体安全技术的一个组成部分，它还可以和其他安全组件之间协同工作、建立了互动的响应机制。

例如，防火墙作为限制内外网络互相访问的关口，其配置的过滤规则阻止了非授权用户对公司网络的访问，因此在入侵检测系统发现攻击行为时，由它自动地修改防火墙的安全策略，就能封堵可疑的网络通信。

但是由于缺乏统一的标准，多数IDS产品的互动响应机制并不能够普遍得到应用，而且由于网络传输的时延，防火墙对网络可疑行为的拦截并不能在第一时间生效，用户的网络风险依然存在。

同时防火墙与IDS联动的方式还会带来另外一个层面上的问题，甚至由此会产生一个更坏的结果，对攻击者而言，如果能够有效地虚拟出攻击源头，让IDS相信攻击源来自于某一个IP 或者是某一个IP群，那么IDS一旦检出这样的“攻击源地址”，将防火墙进行联动，将会有效地切断和这个虚拟攻击IP的通信，从另外一个角度来看，也就实质性的造成了对真实IP的拒绝服务，其最终的后果是防火墙与IDS的联动从另外一个侧面给拒绝服务提供了新的更易于实现的手段，这是我们所不愿意看到的局面。

分析和管理问题
IT部门为了及时发现入侵，必须对IDS的告警和日志进行分析，发现入侵行为，然后采取相应的防护措施，但随着网络的带宽从2M，发展到100M，直至1000M，IDS产生的报告越来越多，IT部门已疲于应付如此多的告警，对保证网络安全感到力不从心，特别是在零时差攻击日益增多情况下，如何采取及时防御措施，成为IT部门面临的极大挑战。

3 主动防护手段呼之欲出
针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。

着眼于这些问题，新诞生的安全技术应当能够提供一种主动的、实时的防护手段，其设计应旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在检测到恶意流量的同时或之后发出警报。

要做到这一点最有利的方式是通过直接串联到网络链路中而实现这一功能的，即接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击。