蓝盾入侵防御系统BDNIPS技术白皮书.docx

1、蓝盾入侵防御系统BDNIPS技术白皮书蓝盾入侵防御（BD-NIPS）系统技术白皮书蓝盾信息安全技术股份有限公司一、产品需求背景入侵防御系统是近十多年来发展起来的新一代动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。也许有人会问，我已经使用防火墙了，还需要入侵防御系统吗？答案是肯定的。入侵防御是对防火墙及其有益的补充，入侵防御系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与在线防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知

2、识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防御被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。有了入侵防御系统，您可以：知道是谁在攻击您的网络知道您是如何被攻击的及时阻断攻击行为知道企业内部网中谁是威胁的减轻重要网段或关键服务器的威胁取得起诉用的法律证据二、蓝盾入侵防御系统4.1概述蓝盾NIPS是一种实时的网络入侵防御和响应系统。它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告，实时对攻击做出阻断响应，并提供补救措施

3、，最大程度地为网络系统提供安全保障。蓝盾NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。用户可以实时查看网络中的通讯。可设置监控IP的流量、端口的流量和总流量，有利于管理员更正确地了解分析网络行为。一旦发现可疑行为，蓝盾IPS可以准确地显示入侵行为及其相关数据，实时向管理员以多种方式告警，以利及时采取措施。蓝盾IPS可以根据用户的设置，将网络信息、分析结果、入侵记录、流量监控等生成报表以邮件形式发给客户，可供用户查询。蓝盾NIPS设备提供旁路、透明、网关以及混合接入等灵活多样的部署方式，适合各种复杂的网络结构。蓝盾NIPS对流经被保护网络的流量进行

4、基于内容特征、协议分析以及流量异常等方式的检测，其中协议分析涵盖了TCP/IP协议栈从网络层一直到应用层的各种协议的详细分析和检测，支持的协议包括IP、ICMP、TCP、UDP、Telnet、HTTP等。系统对检测到的异常和攻击事件记入攻击事件数据库，并且可以配置和其他交换机、内置或外挂防火墙联动进行整体防御。蓝盾NIPS入侵防御系统采用标准的19英寸1-2U机箱；提供了4-6个固定的10/100/1000Mbps自适应以太网接口（4电或4电2光），最多可以同时保护3个子网。同时，蓝盾NIPS入侵防御系统也可以作为NIDS设备旁路部署，可以同时对5个子网实施监控。蓝盾NIPS采用专为安全应用度

5、身定做的安全操作系统，可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而能很好的保证设备自身的安全性。4.2主要功能编号功能功能描述1支持镜像口监听、透明、路由、混合部署模式。 BD-NIPS同时多种部署模式，支持镜像口透明、路由、监听、混合部署模式，支持在线阻断和旁路阻断，能够同时部署多个防御(或监控)网络，实时对攻击做出反应，最大程度地为网络提供安全保障。2支持多种协议解码分析 能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融

6、合分析技术。3完备的分析检测能力 BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析、异常行为检测、关联分析、数据挖掘等方法，采用了自适应多协议融合分析技术。4强大的攻击特征模式库 BD-NIPS内置包括拒绝服务攻击、TELNET等攻击模式库共有8000多条，能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。5强大的蠕虫检测能力 BD-NIPS拥有强大

7、的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。6实时检测基于服务的攻击行为 BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。7有效的异常检测技术 有效的异常检测与统计检测等检测方法能降低漏报率。BD-NIPS的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统

8、误用。8违规行为检测功能 用户可以定义一些规则，监控内部网络各主机间的连接，保护一些重要的主机和服务器，对违反规定或不应该出现的连接，即使还没发生攻击，系统也会进行报警。9IP处理和碎片攻击检测 具有IP处理和碎片攻击检测功能，防止黑客进行各种碎片攻击。10网络流量分析 BD-NIPS提供流量分析功能。能统计、分析网络数据流量，发现异常并及时报警。11灵活的策略设置 BD-NIPS检测引擎内置了大约2600条入侵模式，可以检测已知的大部分入侵，BD-NIPS同时允许有经验的高级用户自定义入侵模式，做到量体裁衣，检测用户最为关注的事件。12支持实时系统升级 BD-NIPS检测引擎内置有实时的升级

9、模块，可以通过控制中心在线升级检测引擎，而不必停止入侵防御系统的正常工作，从而保证了入侵防御系统的无间断运行。13不断更新的入侵模式 新的黑客技术不断涌现，攻击模式需要经常更新；广东天海威数码技术有限公司将定期地更新对最新攻击手段的识别，及时扩充到入侵模式库中，最大限度的防范黑客入侵；根据用户的需要，允许有经验的高级用户自定义入侵规则。14支持远程升级 BD-NIPS具有完善的远程升级能力，用户可以在线远程更新攻击特征库或升级软件模块，补充最新发现的攻击特征，使系统拥有最新的产品特性。15实时的检测分析、响应能力 BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，

10、反应快速，实时性高。系统可以实时监控网络中的通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关数据，实时向管理员告警，以便及时采取措施。16支持多种报警和响应手段 BD-NIPS提供多种实时报警和响应手段，报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信报警、消息报警等。17多网段检测、集中管理 BD-NIPS可以检测用户系统的多个网络。根据用户具体需求，每个检测引擎可以同时检测多达5个用户网络。18支持分级监控、集中管理 BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级的报警日志可根据日志报

11、警策略一级一级向上汇总，甚至可送到总控制中心；上级控制中心可管理下级控制中心和下级检测引擎。19具有集管理、监控和分析功能于一体的图形化控制台 为了确保网络系统的安全，减少入侵防御系统部署、配置、管理方面的支出，设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。20强大的信息记录、查询能力BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息（可以当作入侵的证据）、入侵警报信息、系统管理记录等。21强大的审计和实用的报表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、攻击报警数据、管理日志等进行分类统计、关联分析，可以根

12、据用户的设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询、生成报表。本系统支持TXT、HTML、PDF等多种报表形式。22全面的联动能力 BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产品（防火墙等）和其它第三方厂家的安全产品实现联动。入侵防御蓝盾入侵防御系统可以对缓冲区溢出、SQL注入、暴力猜测、DOS/DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与蓝盾防火墙联动、TCP Killer、发送邮件、安全中心显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防御。流量监测系统可对网络流量进

13、行实时监测，对 TCP、UDP、ICMP、FTP、P2P等协议及应用进行分析，对造成网络阻塞的源地址进行定位和记录。实时阻挡攻击蓝盾入侵防御系统内嵌蓝盾防火墙及入侵防御系统，无论在何种部署模式下都可以对入侵进行在线实时阻挡。图形化日志分析及报警系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。支持对系统日志、告警日志和操作日志的多样化管理和查询和多种格式导出。数据挖掘及关联分析蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能，能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好应对措施。安全访问蓝盾NIPS设备的以

14、太网口，按功能区分为管理口和业务口。通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能，确保用户能够安全访问SecEngine设备管理口。支持受限的访问协议：HTTP、HTTPS、SSH和SNMP。日志管理及查询蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。若输出到远程日志主机，需进行相应的配置。日志文件可以以CSV格式导出；可以自动循环日志记录，也可以用户主动删除。4.3功能特点2.3.1固化、稳定、高效的检测引擎及稳定的运行性能BD-NIPS

15、检测引擎是固化的，采用标准的工业机箱结构，可以方便的放置到标准机柜中，便于机房管理人员的管理。检测引擎的操作系统是BDOS2.0，是蓝盾信息安全技术股份有限公司自主开发的蓝盾防火墙操作系统的改进版。检测引擎系统软件已经预先配置完毕；检测引擎内建有蓝盾防火墙，自身安全性很高，可以防范针对检测引擎的攻击。蓝盾入侵防御系统是纯硬件架构，含检测与分析功能：支持事件统计分析，协议异常检测，可有效防止各种攻击欺骗。可检测8000类以上的攻击。蓝盾入侵防御系统采用内存零拷贝、零系统调用以及高性能网络数据包处理技术，可保持稳定的运行性能。2.3.2 检测模式支持和协议解码分析能力1)同时支持基于主机和网络两种

16、检测模式BD-NIPS同时支持基于主机和网络两种检测模式，既有检测网络数据的硬件检测引擎，又有安装在各主机上的主机代理检测客户端软件，能够同时监控主机和网络的入侵信号，在系统受到危害之前发出警告，实时对攻击作出反应，最大程度地为主机和网络提供安全保障。2)支持多种协议解码分析能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析，能读懂基于这些协议的交互命令和命令执行情况。综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。2.3.3 检测能力1)完备的分析检测能力BD-NIPS具有完备的功能，主要的功能包括：TCP流重组，端口扫描

17、检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了特征匹配、协议分析和异常行为检测等方法，采用了自适应多协议融合分析技术。系统具有强大的IP处理能力,能防止黑客进行各种碎片攻击。TCP多包组合攻击技术（攻击分许多包发送，一次一个或几个字节）可以轻松地绕过普通的模式匹配类型的入侵防御系统。BD-NIPS的TCP流重组功能可以重组TCP连接的双方的通讯，组合各个攻击包，使所有的组合包攻击技术无能为力。端口扫描是入侵的先兆，黑客一般是先通过扫描来确定用户系统的

18、类型，然后针对性的进行攻击。BD-NIPS具备识别端口扫描功能。普通的入侵防御系统只能识别简单的TCP端口扫描，不能识别黑客的其它扫描。BD-NIPS可以识别包括TCP扫描、UDP扫描、SYN扫描、SYN+FIN扫描、NULL扫描、XMAS扫描、Full XMAS扫描、Reserved Bits扫描、Vecna扫描、NO ACK扫描、NMAP扫描、SPAU扫描、Invalid ACK扫描在内的几乎所有扫描方式。UNICODE漏洞和缓冲溢出漏洞是最常用的攻击手法,也是最常见的系统漏洞，BD-NIPS可以有效的检测到。 BD-NIPS具有完备的功能,特别是BD-NIPS的异常轮廓统计分析技术，使入

19、侵防御系统具有自主学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。2)强大的攻击特征模式库BD-NIPS内置攻击模式库有8000多条，能检测出绝大多数攻击行为。并且其中的攻击模式库也在不断地升级、更新。能检测的主要攻击包括： WEB_ATTACKS攻击、WEB_IIS攻击、WEB_CGI攻击、WEB_FRONTPAGE攻击、FTP攻击、DOS攻击、DDOS攻击、BACKDOOR攻击、NETBIOS攻击、ICMP攻击、ICMP_EVENT攻击、DNS攻击、SMTP攻击、SCAN攻击、RPC攻击、MSSQL攻击、TELNET攻击、V

20、IRUS攻击、SHELLCODE攻击、REMOTE_SERVICE攻击、FINGER攻击、OVERFLOW攻击等。3)强大的蠕虫检测能力BD-NIPS拥有强大的蠕虫检测隔离能力。内置有1000多条蠕虫检测规则，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。同时通过异常检测技术能成功检测新蠕虫，因此在一定的程度上能解决蠕虫滞后的问题。4)实时检测基于服务的攻击行为BD-NIPS提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。5)有效的异常检测技术有效的异常检测与统计检测等检测方法能降低漏报率。BD-N

21、IPS的异常轮廓统计分析技术，使入侵防御系统具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。BD-NIPS使用的异常检测模块的设计原理图如下图。异常数据包跟踪模块从预处理模块获取异常数据包，并建立起跟踪队列，同时使用异常检测方法进行深入的异常检测。为了加快异常检测速度，在异常数据包跟踪模块使用多线程协同式跟踪分析技术。流量状态监控模块监控网络流量状态及每一工作主机的流量状况，同时实时计算出流量变化情况。会话监控模块监控TCP会话，从中发现异常会话。在异常集中分析机器学习模块，将异常数据包跟踪模块、流量状态监控模块、会话监控

22、模块的监控结果进行集中分析、集中关联、集中检测，从中发现异常特征，并进行预警和规则入库。6)违规行为检测功能用户可以定义一些规则，监控内部网络各主机间的连接，保护一些重要的主机和服务器，对违反规定或不应该出现的连接，即使还没发生攻击，系统也会进行报警。支持对未受权外联行为的检测。7)网络流量分析BD-NIPS提供流量统计分析功能。能统计、分析网络数据流量，发现异常并及时报警。8)URL关键数据阻断 蓝盾入侵防御系统支持对URL关键数据的阻断，并动态过滤。2.3.4 策略设置和升级能力1)灵活的策略设置BD-NIPS检测引擎内置了大约8000条入侵模式，可以检测已知的大部分入侵，BD-NIPS同

23、时允许有经验的高级用户自定义入侵模式及特征，做到量体裁衣，检测用户最为关注的事件，并能重现入侵攻击事件。2)支持实时系统升级BD-NIPS检测引擎内置有实时的升级模块，可以通过控制中心在线升级检测引擎，而不必停止入侵防御系统的正常工作，从而保证了入侵防御系统的无间断运行。3)不断更新的入侵模式新的黑客技术不断涌现，攻击模式需要经常更新；蓝盾信息安全技术股份有限公司将不断地更新对最新攻击手段的识别，及时扩充到入侵模式库中，最大限度的防范黑客入侵。4)支持远程升级BD-NIPS具有完善的远程升级能力，用户可以在线远程自动更新攻击特征库或升级软件模块，补充最新发现的攻击特征，使系统拥有最新的产品特性

24、。5)支持IP地址与MAC地址的绑定为了防止IP欺骗、地址伪装，本系统具有MAC绑定技术。它可以将IP地址和网卡的硬件地址绑定起来。2.3.5 响应能力1)实时的检测分析、响应能力BD-NIPS能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。系统可以实时监控网络中的通讯，一旦发现可疑行为，BD-NIPS可以准确地显示入侵行为及其相关数据，实时向管理员告警，以便及时采取措施。2)支持多种报警和响应手段BD-NIPS提供多种实时报警和响应手段，报警信息可以通过网络、有线、无线等多种方式通知管理员。报警方式有控制中心声音报警、控制中心图形报警、电子邮件报警、短信

25、报警、消息报警等。在发现发入侵或者异常行为之后，可以根据安全规则提供电子邮件、声讯警示、消息警示窗、TCP阻断等多种响应方式，并可以与防火墙联动，及时切断入侵通道，达到主动式防御。而且对入侵主机进行“反向拍照” ，对入侵者的身份进行特征提取、记录。2.3.6管理能力1)多网段检测、集中管理BD-NIPS可以同时对多个网络实现保护。根据用户具体需求，每个防御引擎可以同时部署3个网络，如果作为NIDS设备，可以同时检测多达5个用户网络。强大的多网络检测能力将提高检测的准确性，也将极大地节约包括购买开支、管理开支在内的各项开支。BD-NIPS检测引擎系统可以集中由控制中心系统进行管理。集中管理可以极

26、大地减少管理工作量。并且支持多探测器集中管理，远程管理，具有完善的管理数据备份、恢复措施。2)支持分级监控、集中管理BD-NIPS支持在大型网络中采用分级监控、集中管理模式。下级的报警日志可根据日志报警策略一级一级向上汇总，甚至可送到总控制中心；上级控制中心可管理下级控制中心和下级检测引擎。3)集管理、监控和分析功能于一体的图形化控制台为了确保网络系统的安全，减少入侵防御系统部署、配置、管理方面的支出，设计人员经过大量细致的工作,设计出了支持集管理、监控和分析功能于一体的图形化控制台。即使是对网络仅有基本认识的人员，经过简单的技术培训，也可以安装、配置、管理入侵防御系统。可灵活定制和简单管理的

27、管理员视图。蓝盾IPS系统支持攻击事件输出到数据库并提供查询、统计、图形化分析以及报表输出功能。统计 统计向用户提供一个时间段内比较突出的攻击事件的统计：比如列出最近1小时发生的攻击，发起攻击最频繁的100个源IP地址，收到攻击最频繁的100个目标IP地址。汇总信息包括统计攻击总数、接口总数、和命中攻击的规则总数；并提供按地址和端口进行统计的攻击数据。查询 通过时间、IP等查询明细条件，查询符合条件的攻击事件。 图形化分析 图形化分析是在指定的时间内，针对不同的统计属性统计出攻击数，并以图形方式显示。图形化分析结果能分别根据时间、事件规则、IP地址等提供报表。2.3.7 审计、取证能力1)强大

28、的信息记录、查询能力BD-NIPS有强大的信息记录、查询能力，这些信息包括原始的网络信息（可以当作入侵的证据）、入侵警报信息、系统管理记录等。从而重现入侵攻击事件。用户可以自定义的信息记录规则，只记录用户关心的网络活动，过滤掉用户不关心的网络信息。记录的信息可以进行多样化的、用户定义规则的查询。可以生成各种信息的统计报表。 2)强大的审计和实用的报表功能BD-NIPS具有强大的审计功能，能对检测到的各种数据，包括原始数据、攻击报警数据、管理日志等进行分类统计、关联分析，可以根据用户的设置，将网络信息、分析结果、入侵记录存储到数据库中，可供查询、生成报表。本系统支持TXT、HTML、PDF格式多

29、达20种日志与审计报表样式，并支持用户灵活定制。2.3.8 联动协作能力1)全面的联动能力BD-NIPS支持BDSEC、OPSEC等主流联动协议，能与蓝盾系列产品和其它第三方厂家的安全产品，如防火墙、安全网关、服务器监控软件、桌面主机代理检测软件和DDoS防御网关等实现联动，共同防御入侵。 BD-NIPS还提供通用联动API接口，任何安全设备厂家使用蓝盾入侵防御系统的通用联动接口，就可以非常容易的和蓝盾入侵防御系统进行联动,从而构架全方位的网络安全防御体系。2)构建全网防御体系BD-NIPS通过蓝盾主机审计系统提供服务器监控和桌面主机代理检测客户端，通过在内网每台主机上安装代理检测客户端软件，

30、与本系统检测引擎进行联动，构成一个“全网防御”体系，可以有效防御、隔离冲击波、震荡波等大规模蠕虫攻击。三、产品优势3.1强大的检测引擎蓝盾NIPS检测引擎结合误用检测和异常检测两种检测方法为用户网络提供了完善的保护功能。构成FIRST检测引擎关键技术有： 基于状态的特征匹配检测技术：基于状态的特征检测技术依据攻击的特征模式对网络报文进行匹配； 协议分析检测：以常用协议为对象，对不符合标准协议规范的报文进行分析，能检测出利用协议漏洞进行的各种攻击，包括未知的攻击和变种攻击；异常流量分析检测：通过对网络流量规律的数学建模和智能统计分析，检测攻击者攻击前为收集信息而进行的扫描等探测行为，阻止进一步的

31、攻击（如DoS/DDoS攻击）。3.2全面的系统规则库和自定义规则蓝盾NIPS入侵防御系统把已知攻击的特征定义（规则）集中在一起放在特征数据库中（共8257条），供系统在特征匹配检测时使用。特征数据库分为两种： 系统预定义规则库：设备供应商定期发布或紧急情况下发布的系统预定义规则库； 用户自定义规则库：由用户自己定制的规则组成的攻击特征库。3.3数据挖掘及关联分析功能蓝盾NIPS入侵防御系统具有数据挖掘及关联规则智能匹配等高级关联分析功能，能从无序的低级别的端口扫描及轻量级入侵企图中挖掘出入侵事件的前兆，通知网络管理员做好应对措施。3.4安全访问蓝盾NIPS设备的以太网口，按功能区分为管理口和业务口。通过用户名/密码、受限的访问IP地址和受限的访问协议以及蓝盾NIPS设备自身的防DoS/DDoS功能，确保用户能够安全访问设备管理口。支持受限的访问协议：HTTP、HTTPS、SSH和SNMP。3.5日志管理及查询蓝盾NIPS设备支持对系统日志、告警日志和操作日志的多样化管理和查询。系统日志、操作日志可以输出到硬盘日志文件、数据库和远程syslog日志主机。若输出到远程日志主机，需进行相应的配置。日志文件可以以C