天阗入侵检测与管理系统

全面检测威胁面临的挑战之一
• 协议分析要求全面
公开协议 上千种应用 多种协议变量
协 议 分 析
未公开协议
数据库：TNS（oracle）、TDS（SQL）等
即时通讯：TCQ、MSNP等
动态协商端口
新型协议：SIP、P2P等
非标准端口
用户自行定义协议端口
12
全面检测威胁面临的挑战之二
• 攻击识别要求全面
产品升级包
科学指导事件处理
7
度量安全建设效果 发现→定位→解决→管理
从风险管理看IDS威胁管理
ISO13335：风险管理模型
威胁管理
量化威胁
威胁
定位威胁
科学指导 度量安全建设效果
三分技术 七分管理
8
深入认识IDS价值
• 科学使用IDS
– 不再是抓“黑客”的简单IDS – 从威胁检测上升到威胁管理层面
威 胁 管 理
IDS
入 侵 行 为 检 测
入 侵 行 为 呈 现
安 全 运 营
为风险管理提供基础数据，并为安全建设 决策提供参考 科学的安全建议，保证网络具备相应的威胁抵御能力 实时告警，多种格式用户报表，日志记录，历史备份等； 识别各种协议，对各种攻击、病毒等入侵行为的检测；
IDS为风险管理和安全决策提供支持
36
天阗IDS的“第一”
• 连续六年国内IDS市场份额第一
– 多年市场成功销售，保证产品持续发展 – 客户遍布全行业，树立良好的用户口碑 – 销售全过程体系成熟：销售、售前、售后以及商务经验传承
• •
多次权威测评产品排名第一 IDS领域的技术先驱
– – – – – – –
– 最全面的资质认证，国际CVE产品兼容证书 – 各种专利技术保证产品检测能力和性能领先
检测
这里的响应是指被动响应——报警
参考文 档:www.mirusdf.comdfe./dfejw/df
相关编号：cve-xxxxx 危害描述：
32
有效呈现之三：关联定位
大规模部署
报警信息：172.16.235.21 slammer病毒 31次
33
有效呈现之四：详细事件处理指导
– 事件呈现
• 拓扑 报警
管理模板更新
规则库升级 软件升级
19
全面和有效体现IDS核心价值
20
• 深入认识IDS价值
• 发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍 • 天阗典型应用
全面检测之一：协议分析
• 单、多因子相结合的识别方式（专利技术）
– 不仅依赖于RFC标准参数 – 深入了解协议本质，提取协议特征
9
IDS如何发挥应有价值
入侵检测
黑客攻击 蠕虫病毒 木马后门 间谍软件 ……
威胁管理
实时报警
事件统计 处理办法 安全措施
……
全面的检测覆盖
有效的威胁呈现
做好全面和有效才能体现IDS的价值
10
• 深入认识IDS价值
• 发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍 • 天阗典型应用
扩充能力
基于原理检测 综合优势
基于特征检测 对新攻击的应 变能力
基于特征检测 综合优势
精确检测覆盖面
基于原理检测
27
全面检测之五：组网能力全面
• 面向复杂网络
OA办公区
生产网络 多个接口灵活组网模式：
•面对不同网络下发不同策略 •在同一界面上统一管理 TCO方面： • 免除重复投资 • 节略管理投入
– 详细处理方法
事件名称： 事件 描述 影响
TCP_蠕虫_W32.zotob.a/b变种_IRCBOT
W32.zotob蠕虫是Mytob蠕虫的最新变种。目前该蠕虫产生了两个变种，名称分别为W32.zotob.a和W32.zotob.b。该事件表明源IP 主机已经中毒且正在连接目的IP的IRC服务器，并被攻击者远程控制。该蠕虫利用了微软2005年8月10日公布的最新系统严重漏洞 －－Microsoft Windows Plug and Play远程缓冲区溢出漏洞 (MS05-039) 进行主动攻击。Zotob蠕虫攻击TCP端口445，和冲击波、 振荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。该 病毒传播的广度非常大。病毒攻击目标系统时 WINDOWS系统 V-A.D.Lab建议您：下载微软公布的MS05-039漏洞的最新补丁，避免病毒利用该漏洞攻击存在该漏洞的主机；升级最新的杀毒工 具，或者下载针对该蠕虫的专杀工具进行杀毒。 ，可能造成系统不断重启，类似于震荡波、冲击波发作时候的情形，但是Zotob蠕 虫影响的进程变了，为系统关键进程“Service.exe”。中毒的主机还可能会主动通过IRC连接某些IRC服务器上的机器人，并通过该 机器人被病毒散播者控制，病毒散播者可以远程控制连接到这些IRC服务器上的中毒主机进行一些非法的操作。。 Zotob蠕虫除了 利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些邮件病毒所具有的危害。
• 通过详细日志定位问题
大量低级事件为特殊 端口连接事件且主要 来自三台主机
5
IDS实际应用中的价值发挥
• 解决问题，有效控制病毒传播 – 措施1：禁止威胁扩散
主机：王二
– 措施2：寻求启明星辰安全专家帮助 – 措施3：升级IDS产品，根据处理方法杀毒
清除步骤
升级包
========== 1. 结束病毒进程 %System%\FuckJacks. exe ……
•特点
–特征变，检测方法就要变
•特点
–特征变，检测方法不用变
动态的检测 以变应变 检测不全面
15
静态的检测 以不变应万变 检测扩充复杂
全面检测威胁面临的挑战之五
• 检测对象覆盖要求全面
– 面向多级网络
分支机构
Internet 单位总部
远程办公
合作单位
– 面向复杂网络
16
数据检测完整性保证
• 计算机数量和网络的发展
营 业 厅
调度专网
28
全面检测之五：大规模部署
• 面向多级网络 • 多级管理
– – – – – – 统一策略下发 统一报警上传 统一规则升级 统一报表生成 全局事件预警 ……
29
全面检测之六：检测性能
• 高速环境下的线速检测-保证无丢包
30
有效呈现之一：精确报警
• “IDS的报警信息太多了，根本看不过来”
攻击名称：ZOTBOT
事件说明：zotbot病毒是一
种。。。。。。。
响应
检测+“响应”
防护
影响系统：windows操作系统
处理建议：。。。。。。。。。。。。。。
补丁下载：
http://securityresponse.symantec.co m/avcenter/venc/data/w32.zotob.a. html
– 结果：问题主机恢复上网，病毒未扩散
• 加强网络安全建设
– 事后改进：网络划分Vlan；严格防火墙策略（端口策略）；行政管理手段（U盘使用）； – 改进效果：周事件统计报告 所有事件均有下降 高级 0；中级 82；低级 615
6
IDS不再是简单的入侵检测
量化威胁
通过入侵事件 的统计数字和 对比直观展现 威胁
协议分析
协议伺服器
23
全面检测之二：流量检测
• 异常流量检测乱序算法
– 传统使用hash算法 • 性能较差 • 维护hash表将消耗极大内存 – 采用熵值计算的微缩算法 • 熵值是混乱和无序的度量 • 计算方法简单“S＝ KlnΩ” • 无需维护随会话量而增长的表
流量
时间
24
全面检测之三：攻击识别
IDS-实现管理
攻击受众范围越来越广，响应思路面临挑战 僵尸网络: “重灾区” 360万台, 占全球58% 木马病毒: 盗取普通网民 的个人信息换取经济利益
• •
从异常中分析威胁 系统化的操作指导
4
IDS实际应用中的价值发挥
• 国家某部委实时威胁监控方案
– IDS部署情况： • 部委：总控，集中管理 • 省、市：子控，分级部署
基于原理的检测机制
•优势
–能识别同原理的未知攻击 –不受变形攻击的影响 –检测面广，每个原理应对攻击数多 –能精确识别特征不唯一的攻击
•劣势
–仅能识别已知的攻击 –检测面窄，每个特征应对的攻击数少 –动攻击特征不唯一，不易精确识别 –抗变种能力弱
•劣势
–由于技术门槛高、扩充复杂、应对新攻 击速度有限
•
——安全管理员
疑问：这么多信息都需要一条条分析么？ 能不能有一种方法降低IDS的报警数量？ 为什么会有这么多报警信息？
受病毒感染机器
Internet
UNIX
结合环境，精确报警信息， 降低“误”报率 “环境指纹”技术
ANI蠕虫
31
Solaris
AIX
有效呈现之二：详尽描述
• “看到报警应该怎么处理？”
建议措施
34
有效呈现之五：多种呈现方式
• 多种报表-有效归纳总结
– 展现形式
柱状图
饼状图
表格
– 展现内容
交叉报表
35
自定义报表
有效呈现之五：自动及时升级
强 大 组 织 保 障 及 时 更 新 在 线 自 动 升 级
攻击分析，漏洞发掘
TM
VF专家团
启明星辰网站 事件更新下载
特征更新 最新威胁防御
及时防御更新 各种新型攻击威胁
攻击行为 异常流量 网络协议 检测机制 物理覆盖
检测算法
部署位置
网络性能
检测 内容
检测 机制
检测 对象
检测 性能
全面检测
18
有效呈现威胁的诸多要求
多种用户自定义 不同部署位置
多种报警方式 结合网络拓扑 界面直接管理
功能自动执行
有效呈现
事件详细解释 及时报警显示
定位事件源头
清晰传播途径 科学处理步骤
26
缓冲区溢出攻击 网络数据库攻击 网络设备攻击 安全扫描 木马后门 间谍软件 拒绝服务与分布式拒绝服务 蠕虫病毒 CGI访问/攻击 网络娱乐 安全漏洞 穷举探测 脆弱口令 ……
全面检测之四：检测机制全面
抗躲避能力
•
变形或未知攻 击识别能力
融合基于特征和基 于原理的两种检测 方法：
– 提升变形攻击识别 能力 – 提升对新攻击应变 能力 – 提升精确检测覆盖 面 – 提升抗躲避能力 – 提升扩充能力
1
• 深入认识IDS价值
• 发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍 • 天阗典型应用
回顾中国IDS历史
• IDS在中国
– 起源：抓“黑客”; 发展：入侵检测到威胁检测
3
IDS面临新需求
攻击效率越来越高，检测思路面临挑战 自动化攻击：出售攻击工具、黑色产业链
– 摩尔定律
• 全世界因特网流量每6个月翻一番 Βιβλιοθήκη Baidu 一年内因特网上网用户翻两番
网 络 发 展
Internet、区域网络 多个局域网 单个局域网 单个局域网 单个PC 单个PC 1990S 2000S
多个局域网、单个
局域网、单个PC
单个PC
1980S
时间
网络规模的发展要求IDS满足高性能检测
17
小结-全面的威胁检测要求
BigHammer 内置防火墙交换机 IPS
定位威胁
安全策略服务器
IDS
AV
Internet
SmartHammer 防火墙
路由器
VPN VPN路由器 VPN
Radius & AAA
人员数据库
清除步骤
80端口
========== 1. 结束病毒进程 %System%\FuckJacks. exe ……
协议分析
协议研究 持续更新
RFC标准 因 子 一
符合标准 判断协议 不符合标准 因 子 二
协议指纹库
判断协议
22
全面检测之一：协议分析
• 非标准协议伺服器
– 协议“柜子”
• 可灵活增加协议而不影响架构 • 针对不同协议采用相应的分析模块
包头
新增协议C 协议F分析
协议
数据内容
提出需求
协议A分析
回应需求
出版中国最早普及入侵检测知识的书籍 中国第一个硬件IDS产品 第一个千兆IDS产品 第一个IDS多级分布式部署 第一个基于拓扑的管理 第一个入侵定位系统 第一个与漏洞扫描相结合的风险评估系统
• 抗躲避能力
–超过12种常用躲避方法检测
–支持攻击还原、编码拟态识别
• 攻击识别能力
–支持会话内/间关联识别复杂攻击
–基于漏洞机理的攻击识别复杂 –支持多达20个的逻辑操作 –支持正则表达式 – ……
25
全面检测之三：攻击类型识别全面
• 攻击类型包括：
– – – – – – – – – – – – – –
已知攻击
变形攻击
新型攻击
SQL注入攻击 跨站脚本（XSS）攻击 ……
13
基于漏洞攻击
全面检测威胁面临的挑战之三
• 监测异常网络数据量要求全面
– 黑客扫描：固定源，目标无序
– 拒绝服务攻击：固定目标，源无序
14
全面检测威胁面临的挑战之四
• 检测机制要求全面
威胁/攻击
基于特征的检测机制
•优势
–简单、扩充迅捷，对各类新攻击的应变 速度更快
总控
总局主控制中心
数据汇总流
天阗IDS引擎 各地直属机构子控中心 直管分属子控中 心
– 威胁监控
• 通过事件报告发现异常： 类似蠕虫病毒
天阗IDS引擎
下级子控
天阗IDS引擎
下级子控
日常：周事件统计报告 高级 0；中级 245； 低级 1027；
异常：某周事件统计报告 高级 0；中级 266； 低级 51843； 现场对三台主机进行 排查，发现主机中出 现熊猫烧香图标