CloudEngine12800交换机IPS安全插板技术白皮书.docx

《CloudEngine12800交换机IPS安全插板技术白皮书.docx》由会员分享，可在线阅读，更多相关《CloudEngine12800交换机IPS安全插板技术白皮书.docx（17页珍藏版）》请在第壹文秘上搜索。

1、IPS安全插板技术白皮书文档版本V1.0发布日期2015-05-271. 互联网安全趋势31.1. 更多的安全威胁31.2. 常用的入侵手段32. 华为IPS插板技术原理52.1. 总体架构52.2. 基础系统漏洞防护52.3. 客户端防护62.4. 已感染系统的活动防护72.5. 协议异常检潴72.6. 协议识别82.7. DDOS攻击防护82.8. 特征库升级93. 华为IPS插板的技术亮点113.1. 先进的基于漏洞的签名113.2. 高阶防躲避技术133.3. 可视化应用感知技术143.4. 多层DDOS防护技术153.5. IPv6检测能力163.6. 全球安全能力中心164. 部署

2、方式174.1. 插板IPS部署方式174.2. 插板IDS部署方式171 .互联网安全趋势1.1. 更多的安全威胁随着互联网飞速的发展，用户面临的威胁也日益严重。首先，服务器上安全的软件系统的规模越来越大，复杂度越来越高，软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，大部分就是因为安全措施不完善所招致的苦果。同时网络上信息资源的丰富使得普通人很容易就能够掌握各种计算机技术，迅速找到各种软件的漏洞。其次，而由于互联网新兴应用的增长，比如社交网络，在线视频，微博等，使得互联网用户充分暴露在互联网环境下，使得攻击者有了

3、新的机会，大量的客户端漏洞被暴露，大量的攻击都开始瞄准用户。恶意的攻击者们受利益的驱使，通过攻击普通用户，得到如信用卡，帐号等隐私信息。再者，计算机安全知识涉及的面太广，一般客户难于采取有效的措施对网络进行安全防护。这几个因素使得安全威胁飞速增长，尤其是混合威胁所带来的风险。黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥，机密数据被盗窃，重要数据被篡改、破坏，使客户遭受严重的经济损失。当网络安全设备还在以七层网络分层来讨论安全问题的时候，我们看到，现在的网络威胁已经聚焦在第七层即应用层，我们甚至可以亳不夸张的说，我们要面对的新兴的威胁，很多都已经渗透到“第八层”即内容层。新的网络威胁需要更先

4、进的网络安全产品，用户需要一种产品，不仅可以充分感知二层到七层来,甚至更需要深入到内容层来发现潜藏的新威胁。1.2. 常用的入侵手段黑客主要通过系统入侵和远程入侵渗透到网络中，常用的入侵手段可以概括为：入侵手段描述口令破解攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令连接盗用在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信第3页,服务拒绝攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标网络窃听网络的开放性使攻击者可通过直接或间接窃听获取所需信息数

5、据篡改攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性地址欺骗攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任社会工程攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息，从而提高攻击成功率恶意扫描攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏攻击者可通过破坏域名服务器或路由信息等基础设施使目标陷于孤立数据驱动攻击攻击者可通过施防病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标第4页,2 .华为IPS插板技术原理2.1. 总体架构知识库入侵日志数据库 控制台用户界面系统总体框架IPS插板核心架构如上图所示。网络抓包引擎模块。网络抓

6、包引擎模块可以捕获监听网络中的原始数据包，做为入侵防御系统分析的数据来源。预处理模块。预处理模块主要是对数据报文进行协议解析以及标准化的过程。包括IP碎片重组、TCP流重组、HTTP、Unicode.RPC、Telrlet解码等功能。经过预处理模块处理之后提取相关信息,并将处理后的报文交给规则匹配模块处理。规则匹配模块。规则匹配模块对协议解码模块提交的数据，运用匹配算法和规则库中的规则进行比较分析，从而判断是否有入侵行为。控制台是引擎和外借明令交互的窗口，主要接受外部的明令执行相关操作。入侵日志数据库的作用是用来存储网络数据引擎模块捕获的原始数据、分析模块产生的分析结果和入侵相应模块日志等。提

7、供大量的日志存储以及为威胁报表生成提供依据。用户界面是用户和入侵防御系统互动的直接窗口，界面提供可视化的威胁分析、系统状态显示、用户指令输入接口等功能，以WEB方式提供给客户使用。2.2. 基础系统漏洞防护华为IPS插板支持对各种威胁类型的安全防护，并且紧跟互联网的最新威胁趋势，提供最新的最顶尖的防护能力。超越一般入侵防护系统所能防护范围。其中，通过阻挡针对系统漏洞的攻击，达到“虚拟补丁”的效果。漏洞指的是软件设计的缺陷或者错误。这些漏洞一旦被公布或被黑客挖掘出来就可能被利用来进行入侵攻击。这些被利用的漏洞可能导致以下安全威胁的出现，运行黑客下发的程序，自动从网络上下载文档，执行本地程序，损坏

8、应用程序。基础系统漏洞主要指的是操作系统的基本服务或者主流服务器软件的漏洞。这类漏洞往往是服务器安全性的大敌。其中尤以能够被远程利用的漏洞更为严重，尽管随着技术进步，现在的操作系统和服务器软件都会及时安装安全补丁，使得这类问题已经不再像过去那样严重。但无论如何，对于这类威胁的方式，始终是作为入侵防护产品所必需的基础功能，我们通过通用漏洞防护的技术（即基于漏洞的签名技术）来封堵最常被攻击者利用的漏洞。这类漏洞最常于微软的操作系统和软件，如LSASS和MS-RPCDCOM组件。有很多蠕虫和恶意软件都利用了这类漏洞来进行传播和攻击，如W32.Downadup和Confickero2.3. 客户端防护

9、偷渡式下载防护偷渡式下载防护是一种最为诡秘的入侵方式。在正常上网的情况下，计算机就自动下载了可执行的数据内容到用户终端上。这是在用户没有任何知悉的情况下发生的，这使得问题变得更加严重，统计显示，这己经是目前网络中最严重的入侵活动之一。主流网站往往成为这类“驱动下载”攻击的源点。IPS通过虚拟补丁的技术，充分保护浏览器和插件的漏洞不被利用，使得偷渡式下载无法实施。由于偷渡式下载利用的技术比较高级，其攻击内容又可以经过非常精心设计，并加入很多混淆技术，IPS网络智能防护会采用高级的反躲避技术来确保检测这些攻击。欺骗类应用软件防护黑客除了利用操作系统及其他应用软件的漏洞进行入侵之外，还有许多其他可利

10、用的手段，如利用社会工程学进行欺骗。通过一些欺骗手段使得用户执行了一些他们根本不希望的操作。这种基于社会工程学的欺骗攻击行为主要包括那些被统称为“误导应用”或“流氓软件”的攻击行为。华为IPS支持检测及防护“误导应用”的网络签名规则。以下是一些常见的网络“误导应用”：虚假编解码器第6页,目前网络上存在着数十种的语音及视频文件格式，而且大部分需要特定的播放器软件或版本才能进行播放。正因为这样，大部分的网络用户都了解，有时候为了播放某个格式的视频或语音文件他们必须下载或更新播放软件，以解码二进制文件并播放。恶意软件编写者一般会把成人网站或者视频教材等相关视频、语音文件作为欺骗手段的一部分，先显示相

11、关视频介绍及播放点击按钮，当用户点击按钮查看视频内容时则提示用户需要下载及安装编解码器。当用户点击下载时，实际下载及安装的却不是编解码器而是恶意软件。虚假安全扫描网站现网上存在着多种多样的虚假安全扫描网站的广告。欺骗者架设好虚假的安全网站，受骗用户访问该网站时会自动弹出告警窗口，告知访问者他们的主机存在安全威胁或已被入侵，要求用户下载安装他们的威胁清除软件等。华为检测到大量利用这种恐吓策略欺骗用户的所谓安全站点。间谍/广告软件检测间谍及广告软件继续成为企业的安全威胁。为缓解这种威胁，IPS支持对间谍/广告软件的检测。间谍/广告软件也许不会在网络内主机间传播，但却是非常需要关注的问题。入侵防护系

12、统是否能够对间谍/广告软件的检测能力可以成为企业决定是否允许应用这类软件的决策依据。2.4. 已感染系统的活动防护各种多形态的病毒变形不断快速出现，对常规的防病毒软件带来了很大的挑战。网络IPS是一个很好的病毒辅助检测设备。当被感染主机的病毒程序通过网络进行通信，企图更新自身版本或下载其他恶意程序以进一步控制被入侵主机时，基于相关签名，IPS能够检测到这类通讯报文，报告已被感染了的主机。当IPS检测到相关主机受病毒感染的警报时，需要使用最新的杀毒软件对受感染主机进行全面的安全扫描及病毒清除操作。2.5. 协议异常检测协议异常检测是一种非常基本的入侵检测手段。黑客通常利用网络上很多应用服务器在设

13、计中并不完善，对协议中的异常情况考虑不足的弱点对服务器加以攻击。通过向服务器发送非标准或者缓冲区溢出的通讯数据，进而夺取服务器控制权或者造成服务器宕机。IPS插板支持对多种协议进行异常检测，通过深度协议分析，对于那些违背RFC规定的行为，或者对于明显过长的字段，明显不合理的协议交互顺序，异常的应用协议的各个参数等等，根据危害程度，识别潜在的针对应用服务器和客户端的入侵行为。第7页,协议异常检测覆盖的协议有：HTTP,SMTP,FTP,POP3,IMAP4,MSRPC,NETBIOS,SMB,MS_SQL,TELNET,IRC,DNS等等，覆盖常用的30多种协议。2.6. 协议识别传统的协议识别

14、是通过端口来识别协议，比如80端口就是HTTP协议，21端口是FTP协议，但是协议并不等于端口，SA协议分析技术引入了基于应用特征的深度识别，不是简单地通过知名端口来定义协议，可以根据协议特征进行智能识别，那么通过高级的协议识别技术，可以有效地降低IPS的误报率，系统不会因为HTTP运行在3128端口而漏过HTTP协议上的攻击。网络智能防护系统根据威胁检测需要，支持多种协议和文件类型的分析和识别。SA(ServiceAWareneSS)技术以流为单位，按报文顺序逐个检测IP报文报文载荷的内容，从而识别出流对应的协议，识别后通过解析内容的方式提取更详细的信息。即SA技术包含SA识别和SA解析两种

15、技术。特征跨多个报文连接状志/交互俏息L3: IP PacketL7 MessageSOUreC PortPProtocol多层次特征L4: TCP儿DP PacketSourceIPAddr IP AddrSA示意图AnplicatioilHTTPFPSMTP.SA识别技术能够深度分析数据包所携带的L3L7L7+的消息内容、连接的状态/交互信息(例如连接协商的内容和结果状态，交互消息的顺序等)等信息，从而识别出详细的应用程序信息(例如协议和应用的名称等)。SA解析技术是在SA识别出报文的协议之后，为了获取更详细报文内容，对被识别为指定协议的报文进行解析，获取报文中指定的字段的内容。例如解析HTTP消息获取HTTP访问的URL等。2.7. DDOS攻击防护拒绝服务攻击也就是DoS(DenialofService)攻击，其目的是通过攻击使计算机或网络无法提供正常的服务。DOS攻击的特点有难于防范、破坏力强、易于发动、追查困难、危害面广。第8页,当攻击者控制了大量傀儡主机，利用这些分布在不同网络中的主机，同时发起一种或者多种拒绝服务攻击，则升级为危害更大的攻击手段：分布式拒绝服务攻击（DDoS,Distr