鹰眼网络安全监控中心技术白皮书V5.doc

鹰眼网络安全监控中心技术白皮书版权声明本文档的相关权力归成都三零盛安信息系统有限公司所有。白皮书中的任何部分未经本公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 2008 成都三零盛安信息系统有限公司All rights reserved.信息反馈您的意见和建议请反馈至：成都三零盛安信息系统有限公司Chengdu 30san Information System Co., Ltd四川成都高新区创业路6号成都市810信箱36分箱，610041电话(TEL)：8008863030真（FAX ）子信箱：免责条款根据相关法律的许可范围，本文档不承担任何形式的担保，在任何情况下，本公司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责。出版时间本文档由成都三零盛安信息系统有限公司2004年9月制作出版, 本资料将定期更新。目 录前言1产品概况1主要功能2网络入侵检测2网络行为审计3网络流量监控4全网预警5警报联动5技术优势6高性能核心抓包机制6灵活的自定义规则6二次事件的准确挖掘7警报关联显示模式8全面丰富的警报分析报表8独特的检测参数设置模式9攻击数据内容恢复9数据合并能力9方便实用的警报忽略功能9独具特色的镜像控制台功能10大规模分布式部署与管理能力10完备的自身安全性10部署方式11技术指标12前言信息化社会中，随着网络应用的深入，网络攻击手段也层出不穷，网络所面临的安全威胁日益严重。由于关系到个人隐私、商业机密甚至于国家利益，网络安全问题受到了空前的关注。在此背景下，众多门类的网络安全产品如雨后春笋般纷涌出现。其中，入侵行为检测、网络协议审计、数据库审计、流量分析等各类产品从不同侧重点对网络安全加以保障，业已成为政府与企事业单位在构建网络系统时必须考虑的重要手段。但过多的安全产品部署往往又会使网络结构更复杂、管理更混乱，因此，功能多样、管理方便的一体化安全产品已经成为趋势。产品概况鹰眼网络安全监控中心（简称“鹰眼监控中心”）将入侵检测、网络应用协议审计、数据库审计、流量分析等多种安全产品的功能集于一身，各项功能相互协作，并通过统一方式进行管理，为用户网络提供全面综合的安全保障。鹰眼监控中心以操作系统的网络数据零拷贝采集技术为基础，以自主设计的检测引擎为核心，对网络数据进行入侵行为特征分析、用户网络行为审计、流量分析和异常流量检测，实时捕获各种攻击行为和异常事件。鹰眼监控中心能以多种方式进行报警，其具备强大的联动协作能力和对重大安全事件的全网预警能力，在用户网络中形成全方位的防御体系。鹰眼监控中心分为管理中心和检测引擎两部分，其中管理中心以软件形式安装在用户指定服务器上，检测引擎以硬件形式旁路接入用户网络。产品以C/S架构为基础，提供单层简单部署模式或多层分布式部署模式，能够完成大规模信息网络中的多点检测，同时支持集中式管理和分布式管理方式。多层管理中心之间还可进行权限托管控制和警报信息共享，实现多点灵活监控和全局信息展现。主要功能网络入侵检测鹰眼监控中心提供了强大的入侵检测功能，作为入侵检测功能重要核心的专家知识库目前包含了共24个大类的2000余种攻击特征，并在不断地增加更新中，专家知识库中包含的类别有：规则大类描述后门程序攻击检测攻击者试图通过目标系统中的安装的后门程序，控制目标系统，损害系统安全的行为。缓冲区溢出攻击检测攻击者通过目标系统的各种应用服务的软件实现中存在的缓冲区溢出漏洞，控制目标系统的攻击行为。扫描器攻击检测攻击者使用各种扫描器软件，搜索攻击目标并收集目标系统中的系统信息及安全漏洞的行为。密码破解攻击检测攻击者使用密码破解工具，猜测目标系统的用户口令，以获取口令的方式进入系统的攻击行为。拒绝服务攻击检测攻击者通过抢占目标系统资源阻止合法用户使用系统服务，或使系统崩溃的行为，与分布式拒绝服务攻击相比较规模较小。分布式拒绝服务攻击检测攻击者通过网络中的多台被控主机，同时对目标系统发起攻击，抢占目标系统资源，阻止合法用户使用系统服务或使系统崩溃的行为。FINGER服务攻击检测攻击者针对UNIX系统或LINUX系统中开放的finger服务，获得目标主机中的帐户信息，登录时间，登录次数等相关信息的行为。FTP服务攻击检测攻击者通过目标系统中的ftp服务的安全漏洞实施的各种攻击行为，如用户口令猜测，使用空用户或超级用户登录，读取或修改一些特殊系统文件的行为。TELNET服务攻击检测攻击者通过目标系统中的telnet服务的安全漏洞实施的各种攻击行为，如用户口令猜测，修改系统环境变量，缓冲区溢出攻击等行为。RPC服务攻击检测攻击者利用目标系统中的提供的各种远过程调用服务中的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出，强制执行远程命令的行为。DNS服务攻击检测攻击者通过目标系统中的DNS服务的安全漏洞实施的各种攻击行为，如版本试探，缓冲区溢出攻击等行为。邮件服务器攻击检测攻击者针对LINUX系统或UNIX系统中的sendmail邮件服务器的安全漏洞，发起的攻击行为，如帐号试探，利用内部邮件服务器转发邮件，缓冲区溢出等。数据库服务器攻击检测攻击者针对WINDOWS系统中使用的SQL SERVER服务器的设计和实现漏洞发起的各种攻击行为XWINDOW服务器攻击检测攻击者针对LINUX系统中XWINDOW服务器的安全漏洞发起的各种攻击行为。ICMP协议攻击检测攻击者通过各种不同的攻击程序发出的探测目标主机是否存在的ping包以及针对ICMP协议的安全漏洞发起的攻击行为，如路由信息试探，DOS攻击等。NETBIOS协议攻击检测攻击者利用netbios协议的安全漏洞实施的各种攻击行为，如获取目标系统的用户权限，以及访问目标系统共享文件资源，缓冲区溢出攻击等。TFTP协议攻击检测攻击者利用目标系统中的TFTP服务的安全漏洞实施的各种攻击行为，如越权访问，缓冲区溢出攻击，强制执行命令等。 CGI类型攻击检测攻击者利用各种WEB服务器中的缺省CGI程序的实现漏洞实施的攻击行为，如获取系统信息或者访问权限，强制执行shell命令等。COLDFUSION类型WEB服务器攻击检测攻击者利用COLDFUSION类型的web服务器的安全漏洞，如未公布的管理函数，及脚本漏洞等实施的攻击，如得到或设置web服务中的数据源的缺省密码和用户名，获得非法访问权限，发动DOS攻击等。FRONTPAGE类型WEB服务器攻击检测攻击者利用FRONTPAGE类型的WEB服务器中存在的安全漏洞发起攻击，如获得非法访问权限或通过缓冲溢出导致系统崩溃等。IIS类型WEB服务器攻击检测攻击者利用IIS类型的WEB服务器中的安全漏洞实施的攻击行为，如取得文件源码，获得访问权限，越权查看文件或目录，及缓冲区溢出等。其他类型WEB服务器攻击检测攻击者利用目标系统或设备中的WEB服务器（如IOS，NETSCAPE）的安全漏洞实施的攻击行为，如获取系统信息，获取账户信息，缓冲区溢出攻击等。病毒型攻击针对“冲击波”、“震荡波”等病毒特征进行检测。其他类型攻击检测攻击者利用一些非主流的协议或设备中存在的安全漏洞实施的攻击行为，如修改路由表信息，发送路由数据包，测试内部主机网络拓扑，缓冲区溢出等。网络行为审计鹰眼监控中心提供了对网络中多种主流应用协议和数据库协议的数据分析和审计功能，应用协议的种类包括HTTP、FTP、TELNET、SMTP、POP3、NETBIOS、QQ、ICQ、MSN等，数据库协议的种类包括Oracle、SQL Server和DB2。系统通过对会话过程的重组和分析，及时发现网络中的各种违规网络行为，如浏览非法网站、收发泄密邮件、访问敏感文件、运行P2P软件、违规操作数据库等，为网络资源的合理合法使用提供了有效的监测手段。网络访问行为审计：通过对HTTP协议的审计，能够根据预设的URL、关键字等条件及时捕捉访问非法网站的行为，并完整回放所浏览的网页内容；网络收发邮件行为审计：通过对邮件收发协议（SMTP、POP3协议）审计，能够完整回放邮件的地址、标题、正文及附件等内容；远程文件传输行为审计：通过对文件传输（FTP）协议的审计，能完整地记录和回放FTP操作的过程；远程登录行为审计：通过对远程登录（TELNET）协议的审计，能够完整地记录和回放TELNET的操作过程；即时通讯行为审计：通过对QQ、ICQ、MSN等即时通讯软件进行审计，记录下相应的IP、号码、登录下线时间等信息。网络文件共享审计：可对Windows Netbios协议的文件共享访问操作进行审计，记录下相关的IP、端口、文件等信息；P2P软件行为审计：通过对Emule、Edonkey、BT等P2P下载软件进行审计，将使用该类软件的行为信息进行记录。数据库协议审计：鹰眼监控中心支持对Oracle、SQL Server、DB2等多种主流数据库专用通信协议的审计功能，通过对数据库SQL操作的语法和词法分析，实现了对数据库网络访问过程中的用户名、数据库名、表名、字段名、操作类型等的准确审计，可为回溯数据库安全事件、保障数据库安全发挥重要作用。网络流量监控鹰眼监控中心的网络流量监控功能，可对网络中TCP、UDP、ICMP和ARP协议的网络流量进行总体监控，用户可自定义网络主机进行特定的协议流量监控，通过流量曲线图、柱状图、饼图和详尽的流量分布表等多种方式对监控结果进行展示。根据流量监控获取的数据，鹰眼监控中心还可进行适度的流量异常检查，针对网络中流量的突变和异常的数据流模式，适时发送流量相关警报信息，为用户提供了了解网络异常状态的新途径。全网预警鹰眼监控中心通过灵活的全网预警功能，构建起覆盖全网的多级预警体系。当局部发生严重攻击事件时，系统可及时通告全网其他所有节点采取防御措施，从而防止攻击蔓延。管理员可以指定需要进行全网预警的攻击事件，并控制预警事件的发布范围。同时管理员也可以手动编辑预警信息，并予以发布。预警信息的发布方式也灵活多样，可以通过本地管理中心的管理窗口实时显示，也可以通过Winpop方式直接发送到管理员主机。警报联动鹰眼监控中心具有丰富的警报联动响应手段，提供了主动切断、防火墙联动、交换机联动、SNMP TRAP报警、WINPOPUP报警、电子邮件报警、SYSLOG报警、执行特定程序等多种联动响应方式。通过防火墙联动、交换机联动、SNMP TRAP报警、SYSLOG报警，鹰眼监控中心可以和其它众多的安全产品进行联动协作，使用户网络中的多种安全产品发挥立体安全防御体系的保障作用。通过短信报警、WINPOP报警、电子邮件报警，用户可以在异地接收鹰眼监控中心生成的警报信息，从而及时准确地了解网络安全状况，采取必要的应对措施。能与鹰眼监控中心进行联动协作的防火墙品牌包括：n 华堂n 华依n 天网n 天融信n 东方龙马n 联想网御n 苏富特n 中科网威n NetScreenn 中网n 北大青鸟n 阿姆瑞特n 东软n 亿阳n 上广电能与鹰眼监控中心进行联动协作的交换机品牌包括：n 华为n 港湾n D-Link技术优势高性能核心抓包机制鹰眼产品通过独有的核心抓包技术，在系统的核心态下直接控制网卡状态，抓取网络数据帧，再通过核心态与用户态之间的专用数据通道完成数据帧从核心态到用户态的传递，从而减少了系统在用户态与核心态之间进行系统状态切换和数据拷贝的次数，大大提高了核心抓包的性能。灵活的自定义规则固定的一套安全检测规则即使再完备，也不能完全适用于千差万别的用户网络环境。因此不论是入侵检测规则、协议审计规则还是数据库审计规则，鹰眼监控中心都为用户提供了开放式的用户自定义检测规则接口，用户通过对协议类型、协议参数、攻击特征、审计对象、操作命令、关键字和端口等条件进行全面设置，可以方便灵活地定制出符合自身网络需求的检测规则。一方面可以克服检测的盲目性、提高检测的效率和准确率，另一方面不断丰富系统的专家知识库，应对时刻变化的攻击手段。二次事件的准确挖掘以单条检测规则为主的专家知识库，难以检测由多重事件形成的攻击行为。针对这一局限性，鹰眼监控中心提供了自定义组合规则的功能。用户可针对某些由多个基本事件形成的攻击行为，定义攻击发生的触发条件及后续事件发生的频率和次数，可以有效地检测攻击事件序列，从而挖掘出独立基本事件之间的关联，检测到更深层次的攻击行为。警报关联显示模式鹰眼监控中心独创的警报关联显示模式，突破了简单地以时间顺序排列显示安全警报的方式。在关联性警报浏览模式下，系统将警报以树状列表进行显示，相同目的地址的警报均组织在同一个树结点之下，用户可集中查看某一服务器或主机的全部相关警报，从而快速明确地掌握重点设备的安全状况。全面丰富的警报分析报表鹰眼监控中心为用户提供了可定制的分析报表机制，可依据用户设定的时间、探测引擎、警报类型、地址信息等分析条件，以及分析的强度和深度对定制出多套报表分析策略，报表格式包括了html、wod、excel三种，报表类型包括了总体型、详细型和技术型三种，可以适应用户的多种需求。独特的检测参数设置模式检测参数的设定存在着这样的特点：目标保护系统定义范围越窄，对应使用的检测策略定义越精确，检测效果就越好。针对这一特点，鹰眼监控中心引入了“检测对象集”、“检测规则集”的概念，用户可依据自身网络特点将被保护系统划分为不同的检测对象集，将检测规则依据自身共性划分为不同的检测规则集，使每个检测对象集与特定的检测规则集相关联，从而达到小范围精确检测的目的，提高检测准确度。同时鹰眼监控中心还提供了端口重定向接口，用户通过设置检测对象的端口重定向参数，可以更加灵活地适用于用户自身的网络配置状况。攻击数据内容恢复鹰眼监控中心提供了攻击数据内容恢复功能，可根据用户设定对攻击内容进行记录，以便事后进行数据审查、分析和取证。数据合并能力短时间内发送重复攻击数据是攻击行为的一个重要特征。这些重复的攻击数据可能会带来大量的重复警报，而过多的重复警报会影响到用户对不同警报事件的识别和处理。针对此问题，鹰眼监控中心设置了高识别率的警报合并功能，能将短时间内发生的重复或相似的警报进行合并，有效减少了重复警报数量，使用户能在尽量少的警报中了解到更多的安全信息。方便实用的警报忽略功能在实际应用中，用户环境千差万别，可能会导致误报情况的发生。为此，鹰眼监控中心专门设计了方便实用的警报忽略功能，用户可根据自身网络实际情况将被认为不是危险行为的警报信息，依据警报地址和警报类型等条件进行忽略，从而消除误报影响，使用户更容易地发现真正具有威胁性的安全信息。独具特色的镜像控制台功能在大型和中型用户网络中，往往有多个网络安全管理员对网络系统的安全进行监控和维护，多个网络管理员常常希望能够同时查看警报信息。针对这种情况，鹰眼监控中心提供了镜像控制台功能，用户可将一台管理中心的数据实时同步镜像到安装有鹰眼监控中心镜像控制台软件的其他一台或者多台主机，从而使多个管理员能够同时查看到警报信息，了解网络安全形势，群策群力维护网络的安全运行。大规模分布式部署与管理能力鹰眼监控中心为用户提供了大规模分布式部署与管理的能力，可支持多级集中管理和分布式检测。引擎和子管理中心可将用户需要的警报信息逐级上报，供高级管理中心查阅和分析。系统支持子管理中心的权限托管，高级管理中心可直接对下级中心的引擎进行规则下发、配置检测参数等多种管理。完备的自身安全性l 高强度证书认证通信机制鹰眼监控中心为设备节点间的通讯提供了高强度的身份认证和数据加密能力。数字证书和SSL是鹰眼监控中心安全通讯机制的基础，检测引擎和管理中心均携带PKCS#12格式的设备证书，并使用口令保护。鹰眼监控中心管理中心与检测引擎之间，管理中心与管理中心之间，都使用SSL机制进行认证加密，以确保通讯双方身份的合法性及数据传输的安全性。l 检测引擎使用安全加固的操作系统鹰眼监控中心使用了三零盛安信息系统有限公司自主开发的强林安全操作系统，该系统提供了多项安全功能，包括使用USB介质完成本地用户身份鉴别、根用户权限分割、系统调用时的权限验证等等，同时关闭了设备中的无用服务，确保外部攻击者无法通过有问题的服务端口对产品进行攻击。l 检测引擎的IP隐藏鹰眼监控中心检测引擎端的所有探测端口均屏蔽了自身的IP地址，攻击者无法通过探测端口对鹰眼设备进行扫描和攻击。用户对鹰眼设备的管理以及检测引擎与管理中心之间的通信过程均通过带外方式进行，与用户网络隔离，由此来确保鹰眼设备自身的安全性。l 用户操作日志鹰眼监控中心对所有用户重要操作进行日志记录，通过对日志信息进行查阅，专设的日志管理员可及时发现非授权用户的非法访问与授权用户的非法操作等安全问题，从而调整系统安全访问控制策略，保障系统自身安全性。l 高可靠性硬件系统鹰眼设备使用ramdisk方式构造根文件系统，确保文件系统在任意掉电的情况下不会出现文件损坏或数据丢失。鹰眼设备的LCD状态显示功能可使用户随时监控设备的软件和硬件的工作指标的变化情况，确保出现问题时及时发现处理。鹰眼设备提供串口的维护方式，在设备界面管理出现问题时，可通过串口登录系统，对其进行维护。部署方式在较小规模的用户网络中，使用少量检测引擎即可监控整个网络。在此运行模式下，检测引擎采集用户网络数据并进行分析，用户通过管理中心客户端查