天阗入侵检测与管理系统白皮书

　　【51CTO.com 综合报道】

　　一、关于天阗

　　天阗入侵检测与管理系统是启明星辰信息技术有限公司自行研制开发的入侵检测类网络安全产品。

　　天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的基础上，引入全面流量监测发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有对应的关联关系，给出入侵威胁和资产脆弱性之间的关联风险分析结果，从而有效地管理安全事件并进行及时处理和响应。

　　启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况，把握黑客技术的动态发展，深化对黑客行为的本质分析，预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段，启明星辰专门建立了积极防御实验室(V-AD-LAB)，通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑，如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

　　启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可，成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.

　　启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给国际CVE（Common Vulnerabilities and Exposures）组织。目前已有多个漏洞的命名被国际CVE组织采用，获得了该组织机构唯一的标识号。 同时，启明星辰公司的天阗入侵检测与管理系统和天镜脆弱性扫描与管理系统都通过了CVE严格的标准评审，获得最高级别的CVE兼容性认证（CVE Compatible），从而成为国内IDnVA市场中唯一两项都获得CVE认证的厂商，这标志着启明星辰公司无论在入侵检测，还是在漏洞扫描的技术实力方面均已与国际接轨，并且其研发成果已得到了国际权威组织的充分认可。

　　天阗系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。

　　天阗入侵检测与管理系统和传统的入侵检测产品相比，具有如下几个显著的优点：

　　◆将不同的安全产品在统一的管理控制中心采用拓扑化方式进行集中管理和配置，完成安全策略的制定和分发，综合显示多样化的检测信息，引导入侵管理向平台化方向发展；

　　◆引入的集中监管、分级部署的多级管理体系全面符合中国国情的行政业务的管理模式，真正实现分布式产品的结构统一协调管理，建立安全信息的全局预警机制；

　　◆利用基于攻击特征或漏洞机理的分析，提取出网络流量中不同类型的恶意流量大小和比例，建立全局的异常流量监测体系，和网络入侵检测紧密配合，从宏观和微观两个层面来了解网络安全状况和威胁态势。

　　◆利用IP定位和图形化的表现方式，使得条目式网络入侵事件以形象的可视化方式显现出来，提高对入侵事件的定位能力和响应速度。

　　◆深入挖掘不同安全产品的内在相关性，采用协同关联技术，加强安全产品之间的优势互补，提高安全产品协同作战能力；

　　◆采用规范化的通讯结构，可以实现管理体系的全面升级和扩容，并支持SOC更高层次的安全管理。

　　二、功能特性

　　1．高强度的自身安全性

　　IDS作为用以监测网络的信息安全产品，其自身的安全的重要毋庸置疑，如何确保安全性，是安全厂商们需要重点关注的问题。

　　籍此，中国信息安全产品测评认证中心开展了EAL1-7级别的信息安全技术认证，EAL认证是参照国标GB/T18336也就是国际标准CC(ISO/IEC 15408)进行的一种分安全等级测评。这种测评是按照安全目标，配置管理，交付与运行、开发、文档、生命周期支持、测试和脆弱性分析、不同层次的设计审核等等几个方面对安全产品进行测评。其级别划分为EAL1到EAL7七个级别。ISO/IEC 15408准则的TOE评估定义了七个安全认证级别类别，不同的安全级别有不同功能要求和保障要求。其中EAL3为系统的测试和检查级（methodically tested and checked），目前，国内网络级的安全设备能认证的最高级别就是EAL3级认证。

　　天阗入侵检测与管理系统作为国内首批通过EAL3认证的入侵检测产品，能够满足具有适当安全需求的政府、特定商业用户及军用的需求，比EAL2通过结构测试满足一般商用的级别实现了阶段性的增长。

　　无超级用户权限

　　在天阗入侵检测与管理系统中，不存在一个拥有全部权限的超级用户，避免了因为某一用户/口令的泄漏而导致系统被人控制。

　　多身份鉴别强认证

　　在某些环境中，除了使用用户名/口令的认证方式外，天阗入侵检测与管理系统还提供了硬件认证方式，用户可以使用IC卡、加密狗等硬件存储设备来实现强认证

　　带外管理部署方式

　　控制中心与所探测网段可以实现隔离部署，保证控制中心的自身安全管理；

　　加密的通讯方式

　　控制中心与探测引擎通信加密，探测器和控制中心互相认证，防止欺骗，防止日志、策略在传输过程中被篡改；

　　网络接口隐身技术

　　探测引擎检测网口无IP地址，入侵者无法对消失在网络中的目标进行扫描和攻击，这样在网络中实现自身隐藏及带外管理；管理网口不开放额外连接端口，提高自身的隐藏性；

　　优化的系统内核

　　探测引擎操作系统内核重新编译，并经过了特别的优化，不采用通用的TCP/IP堆栈，避免通用TCP/IP堆栈的缺陷导致的安全漏洞。

　　动态口令管理

　　使用SSL或超级终端登录探测器时，需要使用动态口令，以避免权限的泄露。

　　Watchdog监视

　　探测引擎具有Watchdog功能，确保系统的长期稳定运行。

　　2．完善的管理控制体系

　　多层分级管理

　　天阗可灵活设置成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制，使上级部门能够统一全网的安全防护策略；通过信息上传机制，使上级部门能够及时了解和监控全网的安全状态。

　　灵活的更新和版本升级

　　天阗支持手动和自动的特征更新和软件版本升级，也可以在分级管理体系下由主控统一来完成。天阗的探测引擎同时支持通过USB口进行升级。

　　独立的升级管理中心，对控制台软件、探测器软件的升级都仅需一次点击，极大的简化了网络管理员的工作。

　　全局预警

　　在天阗的多层分级管理体系下，可以实现把单点发生的的重要事件自动预警到其它管理区域，使得各级管理员对于可能发生的重要安全事件具有提前的预警提示。

　　利用全局预警通道，各级管理员也可以发送交互信息，交流对安全事件的处理经验。

　　严格的权限管理

　　天阗可以设定多种分类权限供不同的人员使用，支持更为严格的多鉴别身份认证方式。同时在产品部署上支持事件监测、事件分析以及管理配置分布部署，从物理角度保证管理安全。

　　时钟同步机制

　　天阗支持NTP服务进行时间同步，保证跨时区的部署条件下也能保持管理时间的一致性。

　　支持多报警显示台

　　天阗提供了良好的多点监测机制，允许挂接多个报警显示中心，方便多个管理人员进行有效的报警观测。

　　数据库维护管理

　　天阗支持多种数据库：MSSQL、ORACLE等，提供强大的数据库维护管理功能，支持快速入库，可以对历史数据进行自动、手动的备份、删除操作，还可以导入历史的备份数据。

　　可扩展到入侵管理

　　天阗可以实现多种安全产品：网络入侵检测、流量监测、漏洞扫描、主机入侵检测的统一管理和协同关联。

　　3．全面的入侵检测能力

　　多种技术结合防止漏报

　　◆天阗采用引擎高速捕包技术保证满负荷的报文捕获；

　　◆天阗采用的高速树型匹配技术实现了一次匹配多个规则的模式，检测效率得以成倍的量级提高；

　　◆天阗采用了IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式，应对躲避IDS检测的手法，如：WHISKER、FRAGROUTE等攻击方式；

　　◆天阗拥有了业界最为全面和更新速度最快特征库，能够对通用的攻击方法和最新的流行攻击手段进行报警；

　　◆采用预制漏洞机理分析方法定义特征，对未知攻击方式和变种攻击也能及时报警；

　　◆采用行为关联分析技术，可以发现基于组合行为的复杂攻击；

　　多种措施降低误报

　　◆基于状态的协议分析和协议规则树，保证特征匹配的准确性；

　　◆基于攻击过程的分析方法定义特征，可以识别攻击的状态，提供不同级别的事件报警信息；

　　◆通过采集和关联攻击发送方和被攻击目标的信息，可以成功或失败的攻击事件给出明确标识。

　　◆通过支持入侵管理，可以结合漏洞扫描结果来评估威胁的风险级别。

　　多种机制限制滥报

　　◆天阗内置了状态检测机制，可以识别和处理类似“STICK”等的反IDS攻击，有效地避免了事件风暴的产生；

　　◆天阗提供了多种可选的统计合并技术，可以对同一事件采用合并上报，减少报警量。

　　自定义入侵检测规则

　　天阗提供了规范化的VT++语言和向导定义模式，帮助用户自定义检测模式，扩充检测范围。

　　全面兼容CVE和CNCVE标准

　　天阗通过了CVE严格的兼容性标准评审，并获得最高级别的CVE兼容性认证（CVE Compatible），在入侵检测系统知识库上得到国际权威组织的认可。同时，天阗也具有标准的CNCVE 的对照。

　　4．自适应检测策略管理

　　天阗提供多种不同分类方式的系统策略集，可以针对不同环境、不同应用以及关注目标选取最合适的检测策略。

　　天阗提供向导方式、已有策略集之间逻辑操作和在系统策略集上衍生等多种方式，方便用户自定义最佳使用的检测策略集，并支持策略集的导入和导出。

　　天阗提供了灵活的策略编辑方式，确保用户在最短的时间内调整自己所需要的策略。

　　天阗提供了动态策略调整模式，可以根据预设的事件发生频率来动态调整策略中应用的响应方式、合并条件以及过滤条件，从而减少报警日志量或者自动对高级事件调高相应级别。

　　天阗支持虚拟引擎的划分，可以为不同网络对象制定适应性的检测策略，实现有效的入侵检测。

　　5．可扩展的响应和联动

　　天阗具有丰富的可扩展事件响应方式， 包括

　　◆屏幕显示

　　◆日志记录

　　◆TCP KILLER阻断

　　◆支持邮件方式远程报警、声音以及自定义程序报警

　　◆支持向网管发送SNMP TRAP 信息

　　天阗通过自有VIP 协议族，可以充分实现和第三方安全产品以及网络设备的策略响应联动。

　　◆防火墙联动:通过对天阗的联动通讯标准的支持，防火墙业界主流的20家以上的产品可以实现和天阗的联动，对外部发起的攻击行为进行阻断。

　　◆交换机联动：天阗可以和港湾公司的智能安全系列交换机联动，根据策略制定动态关闭相应的交换机端口，可以防止蠕虫类事件的攻击扩散，进行内网安全防护。

　　6．多样化日志分析报告

　　天阗分别为管理人员和入侵检测分析员提供了不同类型的日志分析手段和报告输出。

　　天阗为管理人员提供了常用的周期性统计模版，提供多类型TOP10的排名，管理人员可以直接利用，得出管理性的安全结论。

　　天阗为入侵检测分析员提供了多种缺省分析模版，根据这些模版可以获得多种分类的事件日志信息和交叉统计排名，既可以对事件详细追踪处理，也可以发现主要安全事件的焦点所在。

　　天阗提供了多样化的日志过滤查询条件，用户可以进行自主定义习惯的查询模式，进行有效的日志分析查询，报表的题头、内容、字段可供用户自主调整。

　　通过对于缺省模版的选择和自定义过滤查询条件，用户可以进行自主制定多样化的分析报告模版并进行保存使用。

　　天阗的报表可以手动、自动导出为多种常用格式（如：WORD\EXCEL），并设置邮件定时发送报告功能。

　　7．人性化界面功能操作

　　天阗在界面设计和功能充分考虑的整体美观性布局和用户操作习惯方便性，主要表现在：

　　采用图形化拓扑结构显示产品组件之间的管理控制关系；

　　采用可定制的分窗口和事件树，分类显示报警信息；

　　提供向导操作模式，供用户按照规范的步骤进行准确操作；

　　提供可定位的联机手册和具有详细的攻击、漏洞解释的安全信息手册，帮助用户参阅功能使用和事件查询。

　　8．线速级的高性能处理

　　攻击特征流采用统一的100种标准的不同攻击样本，目标机器配置多种网络服务。网络背景流量采用专用发包设备来制造，以０背景流量为基准，测试入侵检测系统在不同的流量环境（包长）和不同连接背景下的检测能力。

　　百兆引擎的性能指标如下：

图1

图2

图3

　　千兆引擎的性能指标如下：

图5

　　9．稳定的成熟产品应用

　　天阗产品从2002年以来，销售数量始终占据国内IDS市场第一名。已投入用户使用的产品超过10000套，并且在国内唯一拥有单用户部署数量超过百套的成功案例。

　　天阗的用户类型覆盖了国内最广泛的行业用户群体，销售领域遍及政府、金融、电信、交通、能源、教育、企业等部门和行业，共3000多家；天阗的用户地域分布包含了全国各省、直辖市以及各省的中小型城市。

　　天阗的应用给用户的网络安全提供了可靠的保障。根据针对天阗的用户调查结果，80%的用户及时发现了各类入侵行为（黑客入侵、拒绝服务、蠕虫泛滥、内部的可疑行为等），50%的用户发现了系统的脆弱性问题（如系统漏洞、弱口令等），还有一部分用户使用天阗大大加强了内部网络运行状况的管理（对通信内容管理、流量监测、访问控制监测等）。

　　天阗的用户调查结果表明，天阗产品的客户满意度达到90%以上，客户对于天阗产品安全服务（安装调试、排错、升级、应急响应等）的满意率达到99%以上。

　　通过广泛的用户群体，在天阗的应用部署方面积累大量的实际经验，推动着天阗向着成熟化、客户化、国际化的全面发展。

　　三、入侵管理产品架构

　　天阗入侵检测与管理系统是一个可组合的安全产品套件，包含如下五类可单独销售的部分：

　　◆网络入侵检测系统，型号：NS200/NS500/NS2200/NS2800以及相应可选模块。

　　◆网络异常流量监测系统，型号：FS1900（千兆）

　　◆网络入侵事件定位系统，型号：IMS-EP

　　◆网络入侵风险评估系统，型号：IMS-RA

　　◆主机入侵检测系统，型号：HS120/HS220/HS320/HS420/HS520

　　同时，天阗入侵检测与管理系统还可以和天镜脆弱性扫描与管理系统进行同台管理，减少部署管理成本，加强安全产品之间的配合。