1、文档编号:DongXunTech- 技术白皮书密 级:【对外】铁穹高级持续性威胁预警系统技术白皮书 V2.1铁穹高级持续性威胁预警系统 技术白皮书 V2.1目 录版权声明 .3支持信息 .4一. 概述 51.1 APT 攻击事件频繁 51.2 APT 攻击中的未知木马 61.3 安全面临新的技术挑战 6二. 铁穹高级持续性威胁预警系统 72.1 产品概述 72.2 产品架构 72.3 产品功能 82.3.1 木马识别和发现 .82.3.2 安全预警 .82.3.3 资产关联 .82.3.4 木马追踪和地址定位 .82.3.5 报表与策略管理 .82.4 产品特色 92.4.1 网络级的木马安全
2、检测 .92.4.2 基于行为和特征的检测方法 .92.4.3 强大的木马追踪和地址定位能力 .92.4.4 强大的未知木马检测能力 .92.5 关键技术 102.5.1 数据镜像和封包重组技术 .102.5.2 广谱特征码木马监测技术 .102.5.3 网络异常行为处理和分析技术 .102.5.4 木马深度追踪和地址定位技术 .102.6 典型部署 112.6.1 单一旁路部署 .112.6.2 分布式部署 .11三. 应用领域 133.1 政府、军工和保密部门 133.2 企事业单位和研究院所 133.3 金融、证券和其他机构 13四. 产品规格型号 14五. 结束语 15铁穹高级持续性威
3、胁预警系统 技术白皮书 V2.1版权声明1. 权利归属本文档中的东巽信息铁穹高级持续性威胁预警系统产品的所有权和运作权等版权法及有关法律规定的权利和一切商业权益均归南京东巽信息技术有限公司(下称 DongxunTech),DongxunTech 提供的服务将完全按照其发布的本声明以及相关的操作规则严格执行。因 DongxunTech 铁穹高级持续性威胁预警系统所产生的一切知识产权归南京东巽信息技术有限公司,并受版权、商标、标签和其他财产所有权法律的保护。2. 其它产品说明本文档中所提及的所有其他名称是各自所有者的品牌、产品、商标或注册商标。3. 授权声明任何组织和个人对 DongxunTech
4、 产品的拥有、使用以及复制、修改等涉及版权法等有关法律所规定的权利都必须经过 DongxunTech 书面同意和有效授权。4. 管理用户对信息和服务的使用是根据所有适用于 DongxunTech 的国家法律、地方法律和国际公约或协定。5. 目的本声明仅为文档信息的使用,非为广告或产品背书目的。铁穹高级持续性威胁预警系统 技术白皮书 V2.1支持信息南京东巽信息技术有限公司电话:025-57927524如果您希望得到更多关于东巽产品的报价、产品信息以及技术支持等信息,请您查阅我公司网站:http:/www. 。铁穹高级持续性威胁预警系统 技术白皮书 V2.1一. 概述随着黑客技术和攻击手段的不断
5、深入,近年来出现了一种新型网络攻击思想APT 攻击,它改写了网络安全游戏规则的攻击行为,组织严密、目标明确、手段高超、危害巨大,其受害者中不乏大型企业,国家机构。我国的政府、军工、保密机关、企事业单位和研究院所,也正遭受着频繁的 APT 攻击。1.1 APT 攻击事件频繁从针对 Google 等公司的极光攻击(2009 年) 、Stuxnet 病毒攻击事件(2010 年)到 McAfee 公司公布的针对西方能源公司的夜龙行动(2011 年) 、RSA SecureID 遭窃取事件(2011 年) ,以及近期的针对韩国金融和政府机构的遭受的网络攻击(2013 年) ,APT 攻击已经为人们所熟知
6、。APT(Advanced Persistent Threat)是高级持续性威胁的英文缩写,是指专门针对特定组织所作的复杂且多方位的高级渗透攻击。在攻击流程上,APT 攻击与普通攻击行为并无明显区别,但在具体攻击步骤上,APT 体现出以下特点,使其更加高级更加具有破坏力: 攻击行为特征难以捕获APT 攻击中普遍采用 0Day 漏洞获取权限、通过未知木马进行远程控制,而传统基于特征匹配的检测设备总是要先捕获木马样本,才能提取特征并基于特征进行攻击识别,这就存在先天的滞后性。 单点隐蔽能力强为了躲避传统检测设备,APT 更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检
7、测,或者通过伪造合法签名方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。 攻击手段丰富目前曝光的知名 APT 事件中,社交攻击、0day 漏洞利用、物理摆渡等方式层出不穷,防不胜防。 针对性强APT 攻击的目标一般是经过精心选取,具有很强针对性。一旦选定,一般不会改变,攻击者会尝试不同攻击技术、攻击手段不达目的决不罢休。 攻击持续时间长APT 攻击分为多个步骤,从信息搜集到信息窃取往往要经历几个月甚至更长时间。铁穹高级持续性威胁预警系统 技术白皮书 V2.1正是 APT 攻击所体现出的上述特点,使得传统的防御方式难以有效发挥作用,造成攻击事件频发。1.2 APT 攻击中的
8、未知木马从众多的 APT 攻击事件中可以发现,攻击的远程控制多采用未知木马,而未知木马均具有超强的免杀、穿透、隐藏能力,传统的网络级安全产品,如防火墙、入侵检测、UTM、防毒墙、反垃圾邮件、WAF 等产品,无法检测出未知木马。随着未知木马技术的成熟,已经形成下载、控守、驻留等多种不同用途的未知木马。正是这种未知木马程序的长期潜伏和驻守在对方的目标网络和主机中,不被检测和发现,威胁着整个网络安全。因此,如果能够及时识别发现未知木马行为,就能够有效防御 APT 攻击。1.3 安全面临新的技术挑战东巽科技作为国内网络安全技术领导者,长期对网络攻防技术进行研究,已经形成了成熟的网络攻防理论方法,建立了
9、立体的防御网络攻击技术体系,有责任承担保卫国家信息安全的重任。经过深入剖析 APT 攻击过程,了解 APT 攻击特点,探索出一套针对 APT 攻击的防范方法,通过在网络层加强对未知木马的检测和防范,有效切断 APT 攻击途径,抵御 APT 攻击威胁,保障业务健康稳定持续安全运行。铁穹高级持续性威胁预警系统是东巽科技为了应对 APT 攻击中未知木马威胁而开发的新一代网络安全产品,它通过在网络层实现对全网范围内的木马检测、分析预警,从而保障国家重要部门网络安全,确保各项业务能够健康稳定持续安全运行。铁穹高级持续性威胁预警系统 技术白皮书 V2.1二. 铁穹高级持续性威胁预警系统2.1 产品概述铁穹
10、高级持续性威胁预警系统(以下简称:铁穹)是一款在网关处采用旁路工作模式的硬件产品,通过分析通信数据挖掘各种木马通信痕迹、识别木马特征和行为,在网络层实现对全网范围内木马检测和阻断,应对高级持续性威胁(APT)使用的各种未知木马攻击,对木马进行追踪和定位,判断木马家族、来源国家、制作组织,弥补了防火墙、入侵检测系统、防毒墙等在网络层对木马检测的技术空白。2.2 产品架构下图是铁穹的架构图:采集引擎采集引擎采集引擎协议分析引擎木马分析引擎行为分析 引擎资产 关联引擎综合分析引擎数据存储模块可视化展示分析引擎采集引擎数据存储模块远程分析远程管理网络通信流量网络通信流量网络通信流量铁穹高级持续性威胁预
11、警系统 技术白皮书 V2.12.3 产品功能2.3.1 木马识别和发现铁穹系统不仅能够准确识别网络通信中的已知木马行为,还能够有效判断出未知木马通信行为的存在。其中对已知木马的识别,是基于已知木马特征(木马特征库包括:木马特征码、黑域名、黑 IP、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常 DNS 服务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。2.3.2 安全预警铁穹系统识别已知木马和高危异常行为后,会通过木马报告、异常行为报告等方式进行预警。系统管理员可根据预警信息
12、制定解决方案。2.3.3 资产关联铁穹系统通过对关键资产、普通资产、业务系统进行统计管理,并将检测出的安全威胁信息与资产信息进行关联。资产关联能够让用户直观了解到威胁感染的位置和速度,准确定位攻击的目的性。2.3.4 木马追踪和地址定位经过研发团队长期的分析研究,铁穹系统建立了强大的木马专家库,将木马的深度信息放入其中,主要包括木马名称、木马编号、木马类型、木马家族、来源国家、制作组织、木马特征和木马危害等,一旦发现已知木马,则将这些信息展现出来。同时铁穹系统通过 IP 地址定位技术,能准确定位内网主机和外网目标主机的 IP 地址,判断目标主机所在的国家和地区。2.3.5 报表与策略管理铁穹系
13、统提供木马报告、安全评估报告、统计分析报表、趋势分析报表、排名分析报表多种统计图表,帮助用户全面、直观掌握安全状况。铁穹系统为木马特征库、行为库、专家库升级策略、木马日志上传策略、数据采集策略、协议分析策略、铁穹高级持续性威胁预警系统 技术白皮书 V2.1木马检测策略等提供维护管理功能。2.4 产品特色2.4.1 网络级的木马安全检测铁穹系统通过旁路方式部署在网络出口和核心交换设备上,对全网范围内的木马通信行为进行监控、分析、识别和预警,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白。2.4.2 基于行为和特征的检测方法铁穹系统通过强大的特征库和行为库,使用基于
14、行为和特征的木马检测方法,在网络层对各种已知和未知木马的网络通信行为进行实时监控、分析、识别预警,如通过黑域名、黑 IP 和木马特征码对已知木马进行检测和发现,通过心跳规律、可疑流出流量、动态域名等木马行为对未知木马进行检测和发现。2.4.3 强大的木马追踪和地址定位能力铁穹系统具有强大的木马追踪和地址定位能力,一旦发现网络内部具有木马行为,则可以对内网的主机和外网的目标地址进行准确定位,判断目标主机所在的国家和地区,并获取与木马相关的深度信息,包括木马名称、木马编号、木马类型、木马家族、制作组织、来源国家、木马特征、危害等级、风险描述和安全建议等。2.4.4 强大的未知木马检测能力铁穹系统除
15、了能够准确识别已知木马,还具有强大的未知木马的识别能力。对已知木马的识别,是基于已知木马特征(木马特征库包括:木马特征码、黑域名、黑 IP、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常 DNS 服务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。铁穹高级持续性威胁预警系统 技术白皮书 V2.12.5 关键技术2.5.1 数据镜像和封包重组技术铁穹系统通过旁路接入网络方式在底层捕获各种网络通信数据报文,分离出关键性数据,取出数据报文中的有效数据,为后续协议分析和木马监测提供基础
16、服务。2.5.2 广谱特征码木马监测技术铁穹系统通过收集和分析已知木马的网络通信协议,抽取和提炼木马网络通信数据中的广谱特征码,纳入铁穹系统的木马特征库中。铁穹系统通过在网络出口和核心交换设备上对网络通信数据进行实时截获,通过特征匹配,发现数据包中具有木马广谱特征码的通信数据,并根据此特征确定其木马网络通信行为,实现对已知木马和由该木马变种而形成的未知木马的监测。2.5.3 网络异常行为处理和分析技术铁穹系统通过建立木马行为库,对网络中各种异常通信行为进行实时监控和分析处理,主要包括异常规律域名解析、异常心跳信号、异常 DNS 服务器、异常流量、异常动态域名、非常规域名等,为发现未知木马提供重
17、要技术支撑。2.5.4 木马深度追踪和地址定位技术铁穹系统通过建立强大的木马专家库,将木马的深度信息放入其中,主要包括木马名称、木马编号、木马类型、木马家族、来源国家、制作组织、木马特征和木马危害等,一旦发现已知木马,则将这些信息展现出来,为下一步决策提供支撑。铁穹系统通过 IP 地址定位技术,确定内网主机和外网目标主机的 IP 地址,判断目标主机所在的国家和地区,为下一步木马处理提供基础支持。铁穹高级持续性威胁预警系统 技术白皮书 V2.12.6 典型部署2.6.1 单一旁路部署铁穹系统可以旁路部署在用于单位核心交换设备上,对各种木马网络通信行为进行实时监控、分析、识别预警,让管理人员可以随
18、时了解到内部遭受攻击的情况,避免内部办公网络主机被网络渗透,导致重要敏感信息被窃。部署如下图所示: 2.6.2 分布式部署支持分布式部署,铁穹设备作为网络通讯数据的采集点,采用旁路接入网络出口处,管理人员可以在总部了解全局的情况,快速定位具体哪个分支机构遭受到了未知木马的攻击,进而定位具体主机。实现对全网范围内的已知木马和未知木马的监控、分析、识别预警。部署如下图所示:铁穹高级持续性威胁预警系统 技术白皮书 V2.1铁穹高级持续性威胁预警系统 技术白皮书 V2.1三. 应用领域铁穹系统适合应用到信息化程度较高,对计算机保密程度较严和存在敏感信息数据的单位和部门,在网络出口和核心网关处对木马通信
19、行为进行实时检测、分析、识别预警,填补传统防火墙、入侵检测、防毒墙等安全软件在网络层无法对木马程序进行有效检测的技术空白,保障目标客户网络免遭木马攻击。3.1 政府、军工和保密部门政府、军工和保密机关,属于国家要害部门,面临来自各个国家、黑客组织的网络渗透和窃取机密情报等威胁,需要在网络出口、核心交换设备上部署铁穹系统以加强对木马通信行为进行全网监控和防范,发现木马行为,分析威胁来源,以防止情报泄露,危及国家安全。3.2 企事业单位和研究院所企事业单位和研究院所,属于国家重要部门,面临来自各个国家、黑客组织的网络渗透和窃取商业情报等威胁,需要在网络出口、核心交换设备上部署铁穹系统以加强对木马通
20、信行为进行全网监控和防范,发现木马行为,分析威胁来源,以防止情报泄露,危及国家安全。3.3 金融、证券和其他机构银行、证券、税务等一些提供在线应用服务的机构,面临来自各个国家、黑客组织的网络渗透和窃取商业情报等威胁,扰乱国家金融秩序和正常在线服务,需要在网络出口、核心交换设备上部署铁穹系统以加强对木马通信行为进行全网监控和防范,发现木马行为,分析威胁来源,以防止情报泄露和植入木马进行恶意破坏,危及国家和机构安全。铁穹高级持续性威胁预警系统 技术白皮书 V2.1四. 产品规格型号铁穹系列共分为 3 种不同型号,具体规格如下表所示:产品型号 产品描述 备注iDome-200 1U/4 个百兆电口/
21、2 路百兆 APT 检测/最大处理能力为 200Mbps 标准百兆设备iDome-1000 2U/4 个千兆电口/1 路千兆 APT 检测/最大处理能力为 1000Mbps 标准千兆设备iDome-4000 2U/8 个千兆电口/4 路千兆 APT 检测/最大处理能力为 4Gbps 高端千兆设备铁穹高级持续性威胁预警系统 技术白皮书 V2.1五. 结束语APT 攻击以其针对性、隐蔽性、持续性等特点,严重危害了国家部门、政府机构、各种大型事企业单位的安全。现有的安全防御体系在 APT 攻击面前显得心有余而力不足,铁穹高级持续性威胁预警系统针对 APT攻击提供了专业且切实有效的检测预警解决方案,为您的内部网络一路保驾护航。
