下一代入侵防御系统产品白皮书(SANGFOR)下一代入侵防御系统(NIPS)是自主研发的网络型入侵防御产品,围绕精确识别,有效阻断的核心理念,通过对网络流量的深度解析,可及时准确发现各类非法入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。SANGFOR NIPS 不仅可以应对对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解,而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为进行防御,有效弥补网络层防护产品深层防御效果的不足,为用户提供了完整的立体式网络安全防护。
SANGFOR NIPS相比传统入侵防御系统更加强调通过多维度的检测技术包含基于AI 和沙箱等技术实现识别的精确性,同时,通过简单的运维操作方式提升管理和运维的有效性。
1.1产品架构介绍
1.1.1深度内容解析
SANGFOR NIPS的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统NIPS 等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
1.1.2分离平面设计
SANGFOR NIPS通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。实现数据报文的高效,可靠处理。
1.1.3单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,SANGFOR NIPS所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度。
1.1.4多核并行处理
现在CPU核越来越多,从4核到8核,16核,再到128核的CPU。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,
包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。
同时SANGFOR NIPS的多核并行处理技术进行了大量的优化工作——减少临界资源的访问,除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。
1.2涵盖传统安全功能
SANGFOR NIPS除了关注来自应用层的威胁以外,也涵盖了传统网络安全的基础功能,使得客户在使用原有网络传输设备的基础上可以实现无缝切换到SANGFOR NIPS。
1.2.1完善的网络适用性
SANGFOR NIPS涵盖了完整的传统防火墙功能包括基于IP协议,端口的5元组访问控制策略、针对源和目的地址转换以及双向地址转换,NAT地址池,基于端口的PAT等所有NAT功能、支持静态路由,动态路由协议(OSPFv2,RIPv2)、基于服务和应用的策略路由,VLAN接口,子接口属性,Access/Trunk二层VLAN端口支持等功能,以便于用户替换传统防火墙后,将原有的策略完全迁移至下一代防火墙中,实现简化组网、方便运维的效果。
1.2.2I Pv6/IPv4 双协议栈
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置;支持IPv6静态路由;支持双栈、6to4及6in4隧道实现IPv6网络与IPv4网络访问等。NGAF产品已获IPv6-Ready 认证。
1.2.3融合领先的IPSecVPN
SANGFOR NIPS融合了国内市场占有率第一的IPSec VPN模块,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的NIPS攻击威胁进行流量清洗,全面提升广域网隔离的安全性。
1.2.4统一集中管理平台
SANGFOR NIPS提供统一集中管理平台实现对分支各设备的集中监管,可实现各分支设备的硬件资源情况实时上报以及安全日志汇总,集中管理配置下发与远程独立配置,提高管理效率,简化运维成本。
1.2.5灵活的应用部署方式
SANGFOR NIPS支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,SANGFOR NIPS也能灵活支持。
1.2.6更高效的处理能力
为了实现强劲的应用层处理能力,SANGFOR NIPS抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,SANGFOR NIPS也放弃了多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、恶意代码/脚本等众多应用威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
1.3全面的入侵防御能力
SANGFOR NIPS不仅可以应对对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解,而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为进行防御,有效弥补网络层防护产品深层防御效果的不足,为用户提供了完整的立体式网络安全防护,同时,通过简单的运维操作方式提升管理和运维的有效性。
1.3.1基于应用的深度入侵防御
SANGFOR NIPS的灰度威胁关联分析引擎具备7000+条入侵防御特征库,可以全面识别各种安全威胁;另外,凭借在应用层领域10余年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
下图为灰度威胁关联分析引擎的工作原理:
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。
由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,SANGFOR NIPS在两方面得以增强:
第一,通过SANGFOR NIPS抓包,客户可以记录未知流量并提交给的威胁探针云,在云中心,专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。
第二,不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
1.3.2常见应用层攻击防护
SANGFOR NIPS能够有效防护OWASP组织提出的10大web安全威胁的主要攻击:防SQL注入攻击
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SANGFOR NIPS 可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击
跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。SANGFOR NIPS通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
防CSRF攻击
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操
作。SANGFOR NIPS通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
1.3.3完整的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。SANGFOR NIPS提供完整的终端安全保护,全方位的保护终端不受威胁困扰。
1、病毒防护
SANGFOR NIPS采用流模式和启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP 等多种协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。NIPS中的协议解析引擎采用了并行解析架构,可以对包括HTTP、SMTP、POP3、FTP等不同的协议并发进行解析,极大的提高解析效率。协议解析引擎和杀毒引擎之间直接通过共享内存传递病毒样本和杀毒结果,进程之间数据交互零拷贝,不会因为不同引擎间的数据拷贝导致杀毒效率降低。另外,杀毒引擎对于已经查杀过病毒样本,将智能的提取样本特征写入缓存,当协议解析引擎再次发起相同的病毒样本查杀任务时,可以快速的返回查杀结果,从而极大的提高病毒查杀效率。2、基于终端的漏洞防护
内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。SANGFOR NIPS同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
1.3.4基于漏洞的攻击防护
SANGFOR NIPS的威胁分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。安全团队对于网络中不断发现的攻击形式进行解析,通过后端的专家团队对攻击的不断解析发现其中的攻击特征,并将攻击特征整理归纳填充到现有的特征库中
为用户定期进行更新,当遇到重大安全威胁时的安全团队会同时发布威胁预警并进行实时更新,帮助用户抵御最新的安全威胁。
同时,为满足对新威胁防御的需求,让用户以最快的速度具备防御新威胁的能力,实现了安全云与在线设备的联动。通过云端收集上万台在线设备的未知威胁进行分析,并将分析结果发送给所有的SANGFOR NIPS,使得用户具备防御最新威胁的能力。
为了更好的服务客户,通过与CNCERT、Google virus total等十余家权威机构的合作来实现共享威胁情报,帮助用户接收到最全面的信息,实现对新威胁的有效防御。
在对已知威胁具备了防御能力之后,为了弥补固定特征库防御方面会有遗漏的问题,提供了云端在线的沙盒检测功能。通过沙盒环境下未知流量的运行来监测系统环境的变化,提取相关参数变化形成分析结果,确定威胁类型并将结果下发到设备端。同时内部每周也会通过云端在线沙盒收集流量来进行分析,用以填充设备特征库。
1.3.5智能DOS/DDOS攻击防护
SANGFOR NIPS采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP 协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。
1.3.6失陷主机检测
SANGFOR NIPS具备业内独有的失陷主机检测功能,能够实时对外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库,全球在线的僵尸网络荣誉库,业界领先的失陷主机行为识别技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。
同时结合多种失陷主机的行为特征为主机失陷的概率进行评分,帮助用户对问题进行精确定位,减少误判带来的运维浪费。
1.4产品功能特色
1.4.1L2-7层全面入侵防御
SANGFOR NIPS支持7,000多种攻击特征,能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击;封堵主流的高级逃逸攻击;检测和防御主流
的异常流量,含各类Flood攻击;提供用户自定义攻击特征码功能,可指定网络层到应用层的对比内容;提供虚拟补丁功能,让没有及时修补漏洞的客户,能够保障网络安全正常运行。
随着七层应用的丰富,针对应用层的攻击越来越多,据权威机构统计,75%网络攻击发生在应用层,而传统的网络攻击防御技术已经无法应付当今复杂多样的安全需求。将10余年应用层的研究成果应用于NIPS,能够针对应用进行识别和管控,即使加密过的数据流也能应付自如,可识别超过5,000种以上应用,能准确识别IM、P2P下载、文件传输、游戏软件、流媒体等应用以及常见的移动应用,并利用P2P智能流控技术,实现对隧道与加密P2P应用的精确识别,最终实现对应用的安全管理和控制。
1.4.2云沙箱未知威胁检测
SANGFOR NIPS在发现未知流量时,将会主动(配置允许的条件下)将未知流量上传到云端沙盒进行未知威胁的检测工作。云端沙盒可以通过监测沙盒环境下的文件执行情况、异常网络行为、注册表改动等行为来进行未知威胁的判定工作,再通过特征库更新的方式下发到所有在线的NIPS上。
目前已经有上万台设备与云端联动,每天运行大量的未知流量发现新威胁特征,用以充实特征库,帮助用户抵御最新的攻击行为。
1.4.3威胁情报预警与处置
在云端通过安全事件响应分析模块自动对安全事件进行及时的响应和分析,产出安全事件的危害描述、漏洞特征、攻击特征和防护策略,网关设备通过更新机制把安全事件更新包更新到本地,并通过控制台弹窗的方式告知用户当前的安全事件和危害,本地扫描器针对漏洞特征对当前防护的业务系统进行全面扫描分析定位是否存在此安全事件漏洞。如果本地存在安全漏洞,则通过安全引擎对此漏洞的安全攻击特征进行防护,并且通过自动化生成安全防护策略的方式帮助用户达到全面有效防护此安全事件的目的。在对此安全事件完成安全防护后,本地扫描器还会再次扫描评估是否全面有效的防护了此安全事件。
1.4.4智能运维管理
日常运维中大多数用户每天都会看到上千条的安全日志,在对于这些安全问题的处理上如果依靠人工分析那么往往无法快速有效的策略配置。在对设备的配置方面还需要原厂工程
师协助处理,这个日常工作带来了很大的延误。SANGFOR NIPS通过基于问题的发现,可自动生成响应的防护策略,帮助客户快速简单的实现策略更新,第一时间实现安全防护。
同时,为了便于设备上线,支持场景化的配置向导,用户选择不同的部署方式以及使用场景,即可实现产品的快速实施;支持安全策略一体化配置,通过一条策略即可实现不同安全功能的配置,简化用户配置工作;
最终通过设备内置的安全运营中心,检测用户网络各阶段存在的安全问题,并形成待办列表,帮助用户快速消除安全隐患。