杭州迪普科技有限公司
2013年8月
目录
一、概述 (3)
二、产品简介 (3)
三、产品特色技术介绍 (4)
1.先进的特征提取技术 (4)
1.1.协议特征形式化建模流程 (4)
1.2.特征数据挖掘算法模型 (5)
2.攻击防御技术 (5)
2.1.基于指纹特征的检测技术 (5)
2.1.1 蠕虫攻击防护 (6)
2.1.2 SQL注入防护 (6)
2.1.3 XSS攻击防护 (7)
2.1.4 缓冲区溢出防护 (7)
2.1.5 系统漏洞攻击防护 (7)
2.1.6 碎片攻击防护 (7)
2.1.7 未知威胁检测防护 (8)
2.2.异常流量检测技术 (8)
3.病毒过滤技术 (8)
4.网络带宽技术 (10)
4.1.基于用户的带宽管理 (10)
4.2.基于服务的带宽管理 (10)
5.网络访问控制技术 (10)
6.URL过滤技术 (10)
7.高可靠安全性 (11)
7.1.完善的HA部署方式 (11)
7.2.支持冗余电源 (12)
7.3.丰富的Bypass功能 (12)
一、概述
随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
二、产品简介
迪普科技在IPS2000系列创新性的采用了并发硬件处理架构,并采用独有APP-X硬件架构,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS 还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
漏洞库的全面性、专业性、及时性是决定IPS能否有效防御的另一关键。迪普科技采用APP-ID应用识别与检测技术,拥有专业的漏洞研究团队,不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间内具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之
一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS 的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。
DPtechIPS2000系列是目前性能最高的的IPS产品,并在漏洞库的基础上,集成了专业病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
三、产品特色技术介绍
1.先进的特征提取技术
1.1. 协议特征形式化建模流程
●协议形式化分析
分析协议的通信环境、协议提供的服务。
●获取网络流量数据
捕获数据报文并对报文进行逐层分析,按照 TCP/IP 协议栈分层统计网络流量的组成,以树形结构显示分析的结果。
●数据挖掘
采用分类分析、聚类分析、关联分析、序列模式分析等数据挖掘方法,通过分析网络流量信息,根据关联规则对网络协议规则进行聚类分析。
1.2. 特征数据挖掘算法模型
图1数据挖掘算法模型
序列符号化:采用时间序列分段方法形成便于数据挖掘工具处理的符号序列。
数据挖掘:使用经典的算法,可以得到满足最小支持度和最小置信情况下的关联规则。
对规则聚类:根据协议的通信环境和提供的服务,获取协议规则,即协议的语法语义。
2.攻击防御技术
2.1. 基于指纹特征的检测技术
基于指纹特征的检测技术主要用于漏洞的检测和防御,通过迪普漏洞研究团队发布的漏洞以及自身挖掘的安全风险进行深度分析,提取出相应特征,配合高效匹配算法对报文进行高速精确匹配,阻断此类攻击。同时通过不断自动或手动升级特征库保证及时识别攻击行为。攻击检测防御模块的基本功能和原理,如下图所示。
图6 IPS攻击检测及防御
针对各种发生的攻击行为,提供丰富的日志和报表统计功能,包括攻击源、目的IP和端口,攻击发生时间,攻击详细描述信息以及相应CVE等漏洞编号。支持度报表信息,能够按照攻击级别、频率、地址进行输出和查看。便于管理员及时掌握网络中存在的风险。
2.1.1 蠕虫攻击防护
蠕虫攻击在网络中比较常见,蠕虫病毒是通过网络自我扩散,一般通过1434端口漏洞传播;常见蠕虫病毒有尼姆亚、飞客蠕虫、熊猫烧香等。
迪普科技IPS2000系列入侵防御系统针对蠕虫病毒,有非常全面的特征,通过识别特征,可以检测网络中是否存在蠕虫扫描主机的行为,并阻断其行为,从而进行有效的防护。
迪普科技IPS2000系列入侵防御系统时刻关注各种最新发布的漏洞,并分析出特征添加到最新特征库,IPS可以通过在线自动升级到最新特征库,及时阻止未知蠕虫的扩散。
2.1.2 SQL注入防护
SQL注入是利用程序中的漏洞,构造特殊的语句并提交以获取敏感信息,如:
●获取系统权限
●未经授权状况下操作数据库的数据
●恶意篡改网页内容
●私自添加系统帐号或数据库使用者帐号
迪普科技IPS2000系列入侵防御系统通过分析SQL语法和语义,在GET消息的URL部分和POST消息的负载部分检测,进行精确识别,并对知名SQL注入攻击进行特征提取,有效阻止SQL注入攻击。
2.1.3 XSS攻击防护
由于网站对输入过滤不严格,攻击者往Web页面的HTML代码中插入恶意的数据,用户认为该页面是可信赖的,当用户浏览该页之时,嵌入Web页里的恶意代码/脚本会被执行,导致浏览该网页的用户被攻击。
迪普科技IPS2000系列入侵防御系统通过分析XSS的语义,在GET消息的URL部分和POST 消息的负载部分检测,进行精确识别,有效阻止XSS攻击。
2.1.4 缓冲区溢出防护
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。
迪普科技IPS2000系列入侵防御系统通过识别协议,匹配特征和合规划处理,有效阻止缓冲区溢出攻击。
2.1.5 系统漏洞攻击防护
漏洞攻击是指不法者通过操作系统软件或应用软件本身的缺陷,植入木马、病毒等方式来攻击或控制电脑,从而窃取电脑中的重要信息,甚至破坏系统。
迪普科技IPS2000系列入侵防御系统通过专业的漏洞分析团队分析各种安全漏洞,同时收集软件提供商发布的漏洞及网络上已知漏洞的特征,加入IPS特征库,并实时关注新出现的漏洞,有效阻止漏洞攻击。
2.1.6 碎片攻击防护
IP数据包最长具有65535个字节,如果有意发送总长度超过65535 的IP碎片,一些老
的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。
当发现分片报文时,迪普科技IPS2000系列入侵防御系统通过网络数据包的IP协议层的id,使用DMA硬件拷贝技术,快速拷贝报文内容,不影响网络数据的快速传输。通过综合分析有关分片报文的信息,如分片报文的产生速度,分片报文的源IP和目的IP,相关协议的等等,根据用户制定的规则,实现碎片攻击可靠防护。
2.1.7 未知威胁检测防护
迪普科技IPS2000系列入侵防御系统,使用内置的协议防护策略,和系统内部集成的协议正规化规则,对不符合协议规则的网络数据,进行防御保护。
未知威胁检测,主要针对应用层协议的正规化,如HTTP协议,SMTP协议,POP3协议,FTP协议等主流成熟的应用层协议。例如,当网络数据流的使用HTTP协议,但HTTP的请求不符合RFC标准文档的规范,系统利用内部集成了协议的正规化规则,会对数据流进行防护操作,以保证在网络数据流中去除异常流量,或者控制异常流量的类别和数量。
2.2. 异常流量检测技术
主要通过动态规则过滤、异常流量限速和先进的“智能流量检测”技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等各种攻击。
丰富的异常流量日志信息,包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息,便于了解网络流量状况。
3.病毒过滤技术
迪普科技IPS2000系列入侵防御系统通过集成专业病毒特征库向用户提供防病毒服务,能够检测HTTP、FTP、SMTP、POP3、IMAP、RAR、ZIP等传输的病毒。防病毒模块可以以在线、旁路、桥接和混合等模式部署在网络中,通过采用实时分析的方式,自动检测、阻断或重定
向携带病毒的报文与异常流量。防病毒模块提供的功能包括:
⏹防病毒规则管理
⏹防病毒特征查询
⏹防病毒日志
支持防御文件型、网络型和混合型等各类病毒,能够通过新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。设定三种级别流行性病毒检测,根据流行度,用户可以配置开启不同级别的病毒防护控制。防病毒特征库定期更新以保证对新病毒的及时响应。防病毒模块的基本功能和原理,如下图所示。
图7 病毒检测与防护
传统的检测病毒的方法,可以分为四种:特征代码法,校验和法,行为检测法,和软件模拟法。在网络设备上实现防病毒功能,最好的方法就是特征代码法。迪普科技IPS2000系列入侵防御系统通过集成专业病毒库,精确扫描经过设备的网络数据流,如果与特征相符,就认定为病毒。不同的病毒特征,划分病毒的流行度,可以有不同的防护动作,并生成日志。迪普科技防病毒查杀具有:检测准确快速、可识别病毒的名称、误报警率低等优点。
迪普科技的防病毒日志有丰富的报表功能,能提供各种查询条件,如病毒源IP,目的IP,病毒种类,各个时间段等等。日志支持远程发送,也支持日志备份等操作。迪普科技IPS 病毒库以定期(每周)和紧急(当重大安全病毒特征被发现)两种方式发布,并且能够自动
分发到用户驻地的IPS中。
4.网络带宽技术
4.1. 基于用户的带宽管理
迪普科技IPS2000系列入侵防御系统能够根据内网或IP地址划分成不同的用户或用户组,对每个用户或用户组进行带宽管理,分配其上行方向和下行方向的平均带宽,防止用户级别的带宽滥用和误用。
4.2. 基于服务的带宽管理
迪普科技IPS2000系列入侵防御系统能够按照流量所属的应用层协议或服务如IM、P2P、网络电视、网络游戏等上网行为,为不同用户的不同服务的流量定义不同的策略,实现了基于服务对网络流量进行细化管理和网络流量的合理优化,防止服务带宽的滥用和误用。
5.网络访问控制技术
迪普科技IPS2000 系列入侵防御系统通过深度检测以及协议指纹分析技术综合分析网络中诸如P2P下载、即时通讯、远程管理、网络游戏、网络电视、代理服务、金融证券等用户网络访问行为,协助企业对用户上网行为进行有效的控制管理。
6.URL过滤技术
URL过滤分为URL高级过滤和URL分类过滤。
如下图所示,提供超过1000万URL地址信息,每天定制更新。提供灵活的分类信息,便于产品配置,具有未知URL地址自动更新功能。
图8 专业URL过滤
●1、URL分类过滤
基于迪普自己分析的地址特征库实现的功能。通过配置策略,可以根据特征库里的url 地址对用户访问的页面进行过滤,保护用户不受到非法网站的侵害。根据网络现实情况,可以积极迅速的更新url地址特征库,可以保证用户购买产品后该功能的长期有效性。
●2、URL高级过滤
用户除了可以使用迪普自己的URL地址特征库对访问的页面进行过滤,还可以根据自己的需求以及网络环境来定义要过滤的URL链接,满足用户更多的需求。
可以定义具体的IP,主机名来对作为URL地址进行过滤。对于有经验的用户,还可以使用正则表达式来定义URL地址,可以实现配置1条策略对多个URL地址进行过滤的要求。
7.高可靠安全性
7.1. 完善的HA部署方式
迪普科技IPS2000系列入侵防御系统支持HA部署,能够对状态和配置信息进行同步,在出现宕机情况时,能够通过主备机的切换等保护措施保证网络不中断同时确保防护业务的持续性。
7.2. 支持冗余电源
支持冗余双电源,避免电源故障宕机,实现高可用性。
7.3. 丰富的Bypass功能
迪普科技IPS2000系列入侵防御系统支持以下两种Bypass类型。
●应用Bypass功能,
迪普科技IPS2000系列入侵防御系统采用安全、可靠的软件平台,可以自动识别设备异常,当设备出现异常即自动切换成Bypass状态,对网络业务不造成影响。
当网络流量异常增加,远高于设备部署时的评估流量,设备能够自动评估网络数据流量和设备的处理性能之间的差异,开启Bypass功能,可以保证网络畅通。当流量恢复正常时,设备也能自动监控到网络流量正常,自动关闭Bypass,保证系统业务正常。
●硬件Bypass功能,
迪普科技IPS2000系列入侵防御系统采用高可靠的硬件平台,内置Bypass掉电保护模块,当设备掉电时保证网络畅通。同时对于光模块,可选择外置掉电保护PFP(Power Fault Protector)设备,能够通过外接PFP掉电保护模块,扩展Bypass功能,组成完善的Bypass方案。同时,对于机框式设备,可配置专用的光保护板,光保护板功能与PFP 一样,可全内置于机框式设备中,更加方便可靠。
图9 正常情况下流量转发示意
杭州迪普科技有限公司文档秘级:对外公开
版权所有,侵权必究All rights reserved Page 13
正常情况下,将PFP 主机串接在IPS 与交换机中间,PFP 通过IPS 的USB 口监控IPS 的工作状态,一旦IPS 掉电或出现其他硬件故障,则将IPS 直接Bypass ,流量经过PFP 进行转发,确保网络正常使用。
图10 IPS 掉电后直接通过PFP 转发
