天清入侵防御系统介绍

产品白皮书

天清入侵防御系统（V6.0）

（Intrusion Prevention System）

版本标识：V6.0.1.0

单位：启明星辰信息技术

版权声明

启明星辰信息技术所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明外,其著作权或其他相关权利均属于启明星辰信息技术。未经启明星辰信息技术书面同意，任何人不得以任何方式或形式对本手册的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天清”为启明星辰信息技术的注册商标，不得侵犯。

免责条款

本文档依据现有信息制作，其容如有更改，恕不另行通知。

启明星辰信息技术在编写该文档的时候已尽最大努力保证其容准确可靠，但启明星辰信息技术不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈

如有任何宝贵意见，请反馈：

信箱：市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100094

：8

传真：0

您可以访问启明星辰：获得最新技术和产品信息。

目录

第1章概述

1.1关于天清

天清入侵防御系统（Intrusion Prevention System）是启明星辰信息技术自行研制开发的入侵防御类网络安全产品。

天清入侵防御系统围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。

启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防。为了了解黑客活动的前沿状况，把握黑客技术的动态发展，深化对黑客行为的本质分析，预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段，启明星辰专门建立了积极防御实验室(V-AD-LAB)，通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑，如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可，成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.

启明星辰对国外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给国际CVE （Common Vulnerabilities and Exposures）组织。目前已有多个漏洞的命名被国际CVE组织采用，获得了该组织机构唯一的标识号。

天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。

1.2入侵防御

首先我们来探讨一个问题：入侵攻击行为包括哪些？什么样的行为可以称为入侵攻击行为？我们来看对入侵行为的标准定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠，不可用的故意行为。

通常提到对入侵行为的防御，大家都会想到防火墙。防火墙作为企业级安全保障体系的第一道防线，已经得到了非常广泛的应用，但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击

行为是防火墙所不能防御的，比如说应用层的攻击行为。

想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层攻击等行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。

想要实现完全的入侵防御，就需要将完全协议分析和在线防御相融合，这就是入侵防御系统（IPS）：online式在线部署，深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。

1.3入侵防御系统和入侵检测系统

入侵检测系统、入侵防御系统是两款互相独立，但又有着在联系的安全产品：

入侵检测系统以旁路方式部署，监视交换机上的所有实时传输数据，专注的是全面检测、有效呈现，这意味着入侵检测系统是作为安全监督管理工具存在，提供给用户全面的信息展现，为改善用户网络的风险控制环境提供决策依据。

入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、精确阻断，这意味着入侵防御系统是作为安全防御工具存在，解决用户面临的实际应用上的难题，进一步优化用户网络的风险控制环境。

关注点的不同、部署目标的不同决定了两款产品在客户价值上的差异和发展方向上的不同。

对于那些重点关注风险控制，由于风险管理要求不高，对检测和监控无具体要求的行业，使用入侵防御系统就可以很好的满足其安全需求。

对于那些IT设施是其业务运营基础的行业，IT设施的风险将极大影响其经营风险，他们既关注风险管理又关注风险控制，希望通过风险管理不断完善风险控制措施，这种类型的用户需要的是入侵检测和入侵防御相结合的解决方案。

对于只关注风险管理的检测与监控，监督风险控制的改进状况的监督管理机构和部门，防御具体的攻击行为不是其工作的重点，他们需要的是能够全面呈现风险信息的入侵检测系统。

第2章深层防御与精确阻断

2.1深层防御

有数据显示，70%以上的攻击行为发生在传输层和应用层之间，我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点：

第一：新攻击种类出现频率高，新攻击手段出现速度快。

据美国CERT/CC的统计数据，2006年共收到信息系统漏洞报告8064个，比2005年增长了34.6%，漏洞数量的迅速增长标志着新攻击类型的迅速增长，而在同一份报告中，采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个，最多的一天几近700，这意味着平均每天发现100种新的攻击手段，最多的一天发现的新攻击手段可多达700种，这是一个非常惊人的数据。

第二：攻击过程隐蔽。

文件捆绑：打开一份文档，结果执行了一个与文档捆绑的木马程序；文件伪装：可爱的熊猫图片，竟然是蠕虫病毒；跨站脚本攻击：仅仅是访问了一个的页面，就被安上了间谍软件。攻击行为正以越来越可以乱真的面貌出现。

除了深层攻击行为这些自身的特点外，越来越多的业务应用，也增加了判断攻击行为的难度：到底是正常的应用还是是违规的应用呢？

如何更好的实现对这些深层攻击的防御，是入侵防御系统需要解决的问题。

深层需要高效和准确，防御则意味着及时的阻断，深层防御需要兼顾两者。

2.2精确阻断

启明星辰认为：深层防御之道，精确阻断为先。

精确阻断是深层防御的先决条件：没有实现对攻击行为的准确判断，误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为，都将给客户带来巨大的损失。而深层防御也对精确阻断提出了更高的要求：不能对新的攻击行为实现精确的阻断，深层防御就无从谈起。

深层防御、精确阻断，是天清入侵防御系统客户价值的核心。