网络安全监控与防范

Security in Your Hand
黑洞的功能
防护如下常见的DDoS攻击
– SYN Flood – ACK Flood – ICMP Flood – UDP / UDP DNS Query Flood – Connection Flood（连接耗尽攻击）
Security in Your Hand
专用ADS设备分类
防火墙和路由器对拒绝服务攻击的抵抗能 力是有限的 专用抗拒绝服务设备已经在电信、金融和 网上交易站点得到了应用 目前常见的三类产品
– Syn gate形式+QoS – 特征码过滤+Syn gate – Syn Gate＋指纹识别
Security in Your Hand
Security in Your Hand
不断发展的公司
人员数目的增长 140 120 100 80 60 40 20 0
吸引了越来越多的专业 技术人员的加入
业务规模的增长
2000 2001 2002 2003 人员数目(人)
5000 4000 3000
4年来，业务规模每年都以超 过100%的速度不断增长
Security in Your Hand
防火墙的局限性
① ② ③ ④ 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为 被攻击的首要目标 ⑤ 防火墙不能根据网络被恶意使用和攻击的 情况动态调整自己的策略
Security in Yourห้องสมุดไป่ตู้Hand
IDS（Intrusion Detection System）就是入侵 检测系统，它通过抓取网络上的所有报文，分析处 理后，报告异常和重要的数据模式和行为模式，使 网络安全管理员清楚地了解网络上发生的事件，并
能够采取行动阻止可能的破坏。
Security in Your Hand
摄像机=探测引擎
后门
Security in Your Hand
公司荣誉
中关村十佳中小高新技术企业 2002/2003电子政务100强 2003 电子政务优秀解决方案奖 2003 信息安全大会优秀安全解决方案（综 合类） …
Security in Your Hand
2、高校图书馆网络风险分析
信息安全的CIA
监控室=控制中心
Card Key
保安=防火墙
形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是 智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光 摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机， 还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路 （与防火墙联动）。
网段无法防问
Security in Your Hand
拒绝服务攻击技术的发展
DDoS攻击将越来越多地采用IP欺骗的技术； DDoS攻击呈现由单一攻击源发起进攻，转变为由多 个攻击源对单一目标进攻的趋势; DDoS攻击将会变得越来越智能化，试图躲过网络入 侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多;
可管理性
基于统计的主告警界面
实际环境中，管理员（用户）需要的是一个对全局安全性的统计概要 数据，而不是详细的不停滚动的攻击告警。 详细精确的统计能够提供给用户快速定位最大风险点的能力。
Security in Your Hand
实时TOP10 监控
Security in Your Hand
Security in Your Hand
近年一些新的拒绝服务攻击技术
DRDOS
– 形成难于追查的ACK Flood
代理连接耗尽
– Fatboy 等工具
BotNet网络
– 通过IRC控制数万台个人主机(Zombi PC)发起
Security in Your Hand
专用抗拒绝服务设备 Collapsar介绍
入侵检测的作用
实时检测网络系统的非法行为 网络IDS系统不占用系统的任何资源 网络IDS系统是一个独立的网络设备，可以做到对 黑客透明，因此其本身的安全性高 它既是实时监测系统，也是记录审计系统，可以 做到实时保护，事后分析取证 主机IDS系统运行于保护系统之上，可以直接保护、 恢复系统 通过与防火墙的联动，可以更有效地阻止非法入 侵和破坏
网络安全监控与防范
1、绿盟科技概况 2、高校图书馆网络风险分析 3、绿盟科技安全设计理念 4、拒绝服务攻击 5、入侵检测技术 6、极光安全评估系统概述 7、绿盟科技安全服务
罗爱国 绿盟科技
1、绿盟科技概况
诚信第一、客户至上 专业服务、面向国际
绿盟科技（NSFOCUS）
2000年4月 成立于北京，正式提供NSPS专业安全服务 2000年11月 研发第一款产品－冰之眼入侵检测系统 2001年，第一批安全服务试点企业， 发布第二款安全产 品-极光远程安全评估系统 2002年，第一批安全服务一级企业，发布第三款安全产品 -黑洞抗拒绝服务系统 2003年，发布第四款安全产品－ESP企业安全计划 2004年，三家安全二级企业之一，通过ISO9001认证 2004年为止，全国共有近180余名员工，大多数为研发和 专业服务技术人员
组织体系
ISO 13335
管理体系
技术体系
ISO 7498
绿盟科技信息安全体系框架 NSFOCUS Information Security Framework
Security in Your Hand
组织体系
机构建设 人员管理
Security in Your Hand
管理体系
制度管理 资产管理 风险管理 技术管理
其它功能
防护连接耗尽 抑制蠕虫扩散 同时防护内外网 。。。
Security in Your Hand
产品特色
灵活管理-B/S结构 给管理员更多选择 详细记录攻击行为 自身安全性高 即插即用 灵活的防护方式
Security in Your Hand
使用案例
2000 1000 0 2000年 2001年 2002年 2003年
业务规模(万元)
Security in Your Hand
总部与分支机构
2000 北京：总部与研发中心 2000 上海、广州：分公司 2002 长沙办事处 2003 沈阳办事处 2004 建立济南、成都、武汉、南京、杭州、 深州、西安等办事处
强大的事件监控与过滤设置
Security in Your Hand
支持常见协议直观回放
HTTP FTP Telnet SMTP POP3
– gb2312,utf8编码 – 支持解出附件
Security in Your Hand
日志分析与报表输出
Security in Your Hand
Security in Your Hand
选择IDS产品通常考虑的主要因素
检测技术
– 深度协议分析 – 模式匹配 – 异常发现
性能
– 捕获数据包的能力 – 分析数据包的能力
规则库的全面性
– – – – – – – – 规则数量 规则更新频率 规则解释的详细程度 解决方案的详细程度 多级分布式部署方式 直观中文使用界面 告警事件的合并与过滤 多角度的分析和报告能力 Security in Your Hand
一些数据
国内外百兆、千兆硬件防火墙没有有效防止DDoS的方法 一台普通PC（P3 800）通过应用层能打出30~40Mbps的DoS 流量，在linux kernel里能打出近50Mbps的DoS流量
硬件防火墙挡不住一台PC机的攻击! 国内IDC中的硬件防火墙被30M DDoS打得全部瘫痪，致使整个
万网 新网 湖北教育厅 武汉教育局 华泰证券 重庆网通 上海热线
TOM.COM 中国联通总部 南京房产网 Sohu.com 荆门广播电视局 中智软件
武汉电信 CNNIC
Security in Your Hand
5、入侵检测（IDS）技术
什么是入侵检测系统
全模块化的自动升级系统
支持所有部件包括引擎、控制台、规则库 在内的实时在线升级(Live) 所有部件均支持离线升级 所有部件均支持定时自动在线升级 引擎支持串口，控制台两种升级路径。
ISO/IEC 17799-信息安全管理标准 ISO/IEC 13335-信息安全管理方面的规范
Security in Your Hand
技术体系
安全矩阵
– 安全评估 – 安全防护 – 入侵检测 – 应急恢复
如访问控制、网络安全评估系统、入侵检 测、防病毒系统等
Security in Your Hand
4、拒绝服务攻击概述
一些拒绝服务攻击案例
有意识的攻击
– – – – – – 1999年 yahoo ,ebay ，DDOS出现 2001 Cert被拒绝服务攻击 2001 蜗牛炸弹的影响 2002年cnnic被攻击 2003 全球13台根DNS中有8台被大规模拒绝服务 小规模的攻击行为
无目的的拒绝服务
– 蠕虫的传播 SQL Slammer
Security in Your Hand
DDoS的特点
极易实施 PC机、广为传播的免费工具软件、好奇心或别的想法
危害性极大
一两台位于宽带网上的PC机就可以使整个IDC瘫痪
极难追查
需要多个ISP的紧密配合才有可能进行追查
Security in Your Hand
漏洞：系统本身的缺陷或配置不当
– 系统漏洞（Win RPC、Solaris RPC…） – 应用程序（DNS、FTP、Telnet…）
Security in Your Hand
3、绿盟科技安全设计理念
绿盟科技
绿盟科技安全体系框架
ISO 17799 (BS7799) IATF 2.0
安全目标 O 机 构 建 设 T 人 员 管 理 P 制 度 管 理 A 资 产 管 理 R 风 险 管 理 T 技 术 管 理 A 安 全 评 估 P 安 全 防 护 D 入 侵 检 测 R 应 急 恢 复
2002年
2003年
Security in Your Hand
最大的中文安全信息库
绿盟科技 首先建立 并维护国 内最大和 最全面的 中文网络 安全漏洞 库，目前 已经达到 7000多条。
Security in Your Hand
独立的漏洞发现能力
绿盟科技已经独立发现了20余个涉及网络安全的重大漏洞 为Microsoft、CISCO 、SUN、Netscreen等国际著名厂商提供了 多个安全漏洞修补建议
not. CIA（Central Intelligence Agency）
机密性
– Confidentiality
完整性
– Integrity
可用性 – Availability
Security in Your Hand
风险分析
风险 威胁：外部因素对系统可能造成的危害
– 黑客攻击 – 蠕虫病毒 – 线路故障
Security in Your Hand
安全产品线的发展
不断成熟的产品版本 ESP 1.0 不断完善的产品线 NIDS 1.0 2000年 2001年 Collapsar 1.0-2.3 HIDS 1.0 RSAS 1.0 NIDS 1.5 RSAS 2.0 NIDS 2.0 HIDS 1.5 RSAS 2.4 NIDS 2.5 RSAS 3.0 NIDS 3.0 Collapsar 3.4
绿盟科技黑洞产品的基本思想
功能专一，针对性强 以高效率为优先，追求效率和精确性全局最优 将DDoS攻击带来的损失降到最低点 统计分析正常应用情况建立防护模型，辅以其 他手段 无需特征库指定匹配特征，防护机制智能化 无需进行类似防火墙的规则匹配 能够针对复杂的网络环境进行灵活的设置
Security in Your Hand
冰之眼的优势与特点
―冰之眼”网络入侵检测系统V3
―冰之眼”(NIDS)是专门针对网络遭受黑客 攻击行为而研制的基于网络的入侵检测产 品。 采用最新入侵检测引擎和技术，具备强大 的实时入侵检测能力。 充分考虑用户需求，设计方便易用的人机 界面 支持超大规模的分布式部署