技术白皮书铁穹高级持续性威胁预警系统方案.docx
《技术白皮书铁穹高级持续性威胁预警系统方案.docx》由会员分享,可在线阅读,更多相关《技术白皮书铁穹高级持续性威胁预警系统方案.docx(10页珍藏版)》请在冰豆网上搜索。
技术白皮书铁穹高级持续性威胁预警系统方案
文档编号:
DongXunTech技术白皮书
密级:
【对外】
铁穹高级持续性威胁预警系统
技术白皮书V2.1
声明3
支持信息4
1.概述5
1.1APT攻击事件频繁5
1.2APT攻击中的未知木马6
1.3安全面临新的技术挑战6
2.铁穹高级持续性威胁预警系统7
2.1产品概述7
2.2产品架构7
2.3产品功能8
2.3.1木马识别和发现8
2.3.2安全预警8
2.3.3资产关联8
2.3.4木马追踪和地址定位8
2.3.5报表与策略管理8
2.4产品特色9
2.4.1网络级的木马安全检测9
2.4.2基于行为和特征的检测方法9
2.4.3强大的木马追踪和地址定位能力9
2.4.4强大的未知木马检测能力9
2.5关键技术10
2.5.1数据镜像和封包重组技术10
2.5.2广谱特征码木马监测技术10
2.5.3网络异常行为处理和分析技术10
2.5.4木马深度追踪和地址定位技术10
2.6典型部署11
2.6.1单一旁路部署11
2.6.2分布式部署11
3.应用领域13
3.1政府、军工和部门13
3.2企事业单位和研究院所13
3.3金融、证券和其他机构13
4.产品规格型号14
5.结束语15
声明
1.权利归属
本文档中的东巽信息—铁穹高级持续性威胁预警系统产品的所有权和运作权等法及有关法律规定的权利和一切商业权益均归东巽信息技术(下称
DongxunTech),DongxunTech提供的服务将完全按照其发布的本声明以及相关的操作规则严格执行。
因DongxunTech铁穹高级持续性威胁预警系统所产生的一切知识产权归东巽信息技术,并受、商标、标签和其他财产所有权法律的保护。
2.其它产品说明
本文档中所提及的所有其他名称是各自所有者的品牌、产品、商标或注册商标。
3.授权声明
任何组织和个人对DongxunTech产品的拥有、使用以及复制、修改等涉及法等有关法律所规定的权利都必须经过DongxunTech书面同意和有效授权。
4.管理
用户对信息和服务的使用是根据所有适用于DongxunTech的国家法律、地方法律和国际公约或协定。
5.目的本声明仅为文档信息的使用,非为广告或产品背书目的
支持信息
东巽信息技术
:
4
如果您希望得到更多关于东巽产品的报价、产品信息以及技术支持等信息,请您查阅我公司:
.dongxuntech.。
概述
随着黑客技术和攻击手段的不断深入,近年来出现了一种新型网络攻击思想一APT攻击,它改写了网络
安全游戏规则的攻击行为,组织严密、目标明确、手段高超、危害巨大,其受害者中不乏大型企业,国家机
构。
我国的政府、军工、机关、企事业单位和研究院所,也正遭受着频繁的APT攻击。
1.1APT攻击事件频繁
从针对Google等公司的极光攻击(2009年)、Stuxnet病毒攻击事件(2010年)至UMcAfee公司公布的针对西方能源公司的夜龙行动(2011年)、RSASecureID遭窃取事件(2011年),以及近期的针对韩国金融
和政府机构的遭受的网络攻击(2013年),APT攻击已经为人们所熟知。
APT(AdvaneedPersistentThreat)是高级持续性威胁的英文缩写,是指专门针对特定组织所作的复杂
且多方位的高级渗透攻击。
在攻击流程上,APT攻击与普通攻击行为并无明显区别,但在具体攻击步骤上,
APT体现出以下特点,使其更加高级更加具有破坏力:
攻击行为特征难以捕获
APT攻击中普遍采用0Day漏洞获取权限、通过未知木马进行远程控制,而传统基于特征匹配的检测设备
总是要先捕获木马样本,才能提取特征并基于特征进行攻击识别,这就存在先天的滞后性。
单点隐蔽能力强
为了躲避传统检测设备,APT更加注重动态行为和静态文件的隐蔽性。
例如通过隐蔽通道、加密通道避
免网络行为被检测,或者通过伪造合法签名方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。
攻击手段丰富
目前曝光的知名APT事件中,社交攻击、0day漏洞利用、物理摆渡等方式层出不穷,防不胜防。
针对性强
APT攻击的目标一般是经过精心选取,具有很强针对性。
一旦选定,一般不会改变,攻击者会尝试不同攻击技术、攻击手段不达目的决不罢休。
攻击持续时间长
APT攻击分为多个步骤,从信息搜集到信息窃取往往要经历几个月甚至更长时间。
正是APT攻击所体现出的上述特点,使得传统的防御方式难以有效发挥作用,造成攻击事件频发。
1.2APT攻击中的未知木马
从众多的APT攻击事件中可以发现,攻击的远程控制多采用未知木马,而未知木马均具有超强的免杀、
穿透、隐藏能力,传统的网络级安全产品,如防火墙、入侵检测、UTM防毒墙、反垃圾、WAF等产品,无法
检测出未知木马。
随着未知木马技术的成熟,已经形成下载、控守、驻留等多种不同用途的未知木马。
正是这种未知木马程序的长期潜伏和驻守在对方的目标网络和主机中,不被检测和发现,威胁着整个网络安全。
因此,如果能够及时识别发现未知木马行为,就能够有效防御APT攻击。
1.3安全面临新的技术挑战
东巽科技作为国网络安全技术领导者,长期对网络攻防技术进行研究,已经形成了成熟的网络攻防理论
方法,建立了立体的防御网络攻击技术体系,有责任承担保卫国家信息安全的重任。
经过深入剖析APT攻击
过程,了解APT攻击特点,探索出一套针对APT攻击的防方法,通过在网络层加强对未知木马的检测和防,有效切断APT攻击途径,抵御APT攻击威胁,保障业务健康稳定持续安全运行。
铁穹高级持续性威胁预警系统是东巽科技为了应对APT攻击中未知木马威胁而开发的新一代网络安全产
品,它通过在网络层实现对全网围的木马检测、分析预警,从而保障国家重要部门网络安全,确保各项业务
能够健康稳定持续安全运行。
铁穹高级持续性威胁预警系统
2.1产品概述
2.2产品架构
F图是铁穹的架构图:
铁穹高级持续性威胁预警系统(以下简称:
铁穹)是一款在网关处采用旁路工作模式的硬件产品,通过
分析通信数据挖掘各种木马通信痕迹、识别木马特征和行为,在网络层实现对全网围木马检测和阻断,应对
高级持续性威胁(APT使用的各种未知木马攻击,对木马进行追踪和定位,判断木马家族、来源国家、制作
组织,弥补了防火墙、入侵检测系统、防毒墙等在网络层对木马检测的技术空白。
资产关联引擎
综合分析引擎
远程分析
数据存储模块
数据存储模块
2.3产品功能
2.3.1木马识别和发现
铁穹系统不仅能够准确识别网络通信中的已知木马行为,还能够有效判断出未知木马通信行为的存在。
其中对已知木马的识别,是基于已知木马特征(木马特征库包括:
木马特征码、黑域名、黑IP、黑网址)检
测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS服
务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。
2.3.2安全预警铁穹系统识别已知木马和高危异常行为后,会通过木马报告、异常行为报告等方式进行预警。
系统管理员可根据预警信息制定解决方案。
2.3.3资产关联
铁穹系统通过对关键资产、普通资产、业务系统进行统计管理,并将检测出的安全威胁信息与资产信息
进行关联。
资产关联能够让用户直观了解到威胁感染的位置和速度,准确定位攻击的目的性。
2.3.4木马追踪和地址定位
经过研发团队长期的分析研究,铁穹系统建立了强大的木马专家库,将木马的深度信息放入其中,主要包括木马名称、木马编号、木马类型、木马家族、来源国家、制作组织、木马特征和木马危害等,一旦发现已知木马,则将这些信息展现出来。
同时铁穹系统通过IP地址定位技术,能准确定位网主机和外网目标主机的IP地址,判断目标主机所在的国家和地区。
2.3.5报表与策略管理
铁穹系统提供木马报告、安全评估报告、统计分析报表、趋势分析报表、排名分析报表多种统计图表,帮助用户全面、直观掌握安全状况。
铁穹系统为木马特征库、行为库、专家库升级策略、木马日志上传策略、数据采集策略、协议分析策略、
木马检测策略等提供维护管理功能。
2.4产品特色
2.4.1网络级的木马安全检测
铁穹系统通过旁路方式部署在网络出口和核心交换设备上,对全网围的木马通信行为进行监控、分析、识别和预警,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白。
2.4.2基于行为和特征的检测方法
铁穹系统通过强大的特征库和行为库,使用基于行为和特征的木马检测方法,在网络层对各种已知和未知木马的网络通信行为进行实时监控、分析、识别预警,如通过黑域名、黑IP和木马特征码对已知木马进行检测和发现,通过心跳规律、可疑流出流量、动态域名等木马行为对未知木马进行检测和发现。
2.4.3强大的木马追踪和地址定位能力
铁穹系统具有强大的木马追踪和地址定位能力,一旦发现网络部具有木马行为,则可以对网的主机和外网的目标地址进行准确定位,判断目标主机所在的国家和地区,并获取与木马相关的深度信息,包括木马名称、木马编号、木马类型、木马家族、制作组织、来源国家、木马特征、危害等级、风险描述和安全建议等。
2.4.4强大的未知木马检测能力
铁穹系统除了能够准确识别已知木马,还具有强大的未知木马的识别能力。
对已知木马的识别,是基于已知木马特征(木马特征库包括:
木马特征码、黑域名、黑IP、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS服务器、异常流量、异常动态域名、
非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。
2.5关键技术
2.5.1数据镜像和封包重组技术
铁穹系统通过旁路接入网络方式在底层捕获各种网络通信数据报文,分离出关键性数据,取出数据报文中的有效数据,为后续协议分析和木马监测提供基础服务。
2.5.2广谱特征码木马监测技术
铁穹系统通过收集和分析已知木马的网络通信协议,抽取和提炼木马网络通信数据中的广谱特征码,纳入铁穹系统的木马特征库中。
铁穹系统通过在网络出口和核心交换设备上对网络通信数据进行实时截获,通过特征匹配,发现数据包中具有木马广谱特征码的通信数据,并根据此特征确定其木马网络通信行为,实现对已知木马和由该木马变种而形成的未知木马的监测。
2.5.3网络异常行为处理和分析技术
铁穹系统通过建立木马行为库,对网络中各种异常通信行为进行实时监控和分析处理,主要包括异常规律域名解析、异常心跳信号、异常DNS服务器、异常流量、异常动态域名、非常规域名等,为发现未知木马提供重要技术支撑。
2.5.4木马深度追踪和地址定位技术
铁穹系统通过建立强大的木马专家库,将木马的深度信息放入其中,主要包括木马名称、木马编号、木马类型、木马家族、来源国家、制作组织、木马特征和木马危害等,一旦发现已知木马,则将这些信息展现出来,为下一步决策提供支撑。
铁穹系统通过IP地址定位技术,确定网主机和外网目标主机的IP地址,判断目标主机所在的国家和地区,为下一步木马处理提供基础支持。
2.6典型部署
261单一旁路部署
铁穹系统可以旁路部署在用于单位核心交换设备上,对各种木马网络通信行为进行实时监控、分析、识别预警,让管理人员可以随时了解
升级会员 