20090904_天阗主打胶片

1•深入认识IDS价值•发挥IDS价值的客观要求•天阗全面检测与有效呈现•天阗IDS产品介绍•天阗典型应用3回顾中国IDS历史•IDS在中国–起源：抓“黑客”;发展：入侵检测到威胁检测4IDS面临新需求IDS-实现管理攻击效率越来越高，检测思路面临挑战自动化攻击：出售攻击工具、黑色产业链攻击受众范围越来越广，响应思路面临挑战僵尸网络:“重灾区”360万台,占全球58%木马病毒:盗取普通网民的个人信息换取经济利益•从异常中分析威胁•系统化的操作指导5总局主控制中心各地直属机构子控中心直管分属子控中心数据汇总流天阗IDS引擎天阗IDS引擎天阗IDS引擎IDS实际应用中的价值发挥•国家某部委实时威胁监控方案–IDS部署情况：•部委：总控，集中管理•省、市：子控，分级部署总控下级子控下级子控日常：周事件统计报告高级0；中级245；低级1027；异常：某周事件统计报告高级0；中级266；低级51843；•通过详细日志定位问题大量低级事件为特殊端口连接事件且主要来自三台主机现场对三台主机进行排查，发现主机中出现熊猫烧香图标–威胁监控•通过事件报告发现异常：类似蠕虫病毒6IDS实际应用中的价值发挥主机：王二升级包清除步骤==========1.结束病毒进程%System%\FuckJacks.exe……所有事件均有下降高级0；中级82；低级615•解决问题，有效控制病毒传播–措施1：禁止威胁扩散–措施2：寻求启明星辰安全专家帮助–措施3：升级IDS产品，根据处理方法杀毒–结果：问题主机恢复上网，病毒未扩散•加强网络安全建设–事后改进：网络划分Vlan；严格防火墙策略（端口策略）；行政管理手段（U盘使用）；–改进效果：周事件统计报告7量化威胁定位威胁科学指导事件处理度量安全建设效果IDS不再是简单的入侵检测发现→定位→解决→管理通过入侵事件的统计数字和对比直观展现威胁VPNBigHammer内置防火墙交换机安全策略服务器AVIPS人员数据库IDSRadius&AAASmartHammer防火墙路由器VPN路由器InternetVPN清除步骤==========1.结束病毒进程%System%\FuckJacks.exe……产品升级包80端口8从风险管理看IDS威胁管理ISO13335：风险管理模型威胁威胁管理量化威胁定位威胁科学指导度量安全建设效果三分技术七分管理9深入认识IDS价值•科学使用IDS–不再是抓“黑客”的简单IDS–从威胁检测上升到威胁管理层面实时告警，多种格式用户报表，日志记录，历史备份等；科学的安全建议，保证网络具备相应的威胁抵御能力为风险管理提供基础数据，并为安全建设决策提供参考入侵行为检测入侵行为呈现安全运营威胁管理IDS识别各种协议，对各种攻击、病毒等入侵行为的检测；IDS为风险管理和安全决策提供支持10IDS如何发挥应有价值蠕虫病毒木马后门黑客攻击入侵检测间谍软件……实时报警事件统计处理办法安全措施……威胁管理全面的检测覆盖有效的威胁呈现做好全面和有效才能体现IDS的价值•深入认识IDS价值•发挥IDS价值的客观要求•天阗全面检测与有效呈现•天阗IDS产品介绍•天阗典型应用12全面检测威胁面临的挑战之一多种协议变量上千种应用协议分析公开协议未公开协议动态协商端口非标准端口新型协议：SIP、P2P等数据库：TNS（oracle）、TDS（SQL）等即时通讯：TCQ、MSNP等用户自行定义协议端口•协议分析要求全面13新型攻击变形攻击已知攻击基于漏洞攻击SQL注入攻击全面检测威胁面临的挑战之二•攻击识别要求全面跨站脚本（XSS）攻击……14•监测异常网络数据量要求全面–黑客扫描：固定源，目标无序–拒绝服务攻击：固定目标，源无序全面检测威胁面临的挑战之三15•优势–能识别同原理的未知攻击–不受变形攻击的影响–检测面广，每个原理应对攻击数多–能精确识别特征不唯一的攻击•劣势–由于技术门槛高、扩充复杂、应对新攻击速度有限•特点–特征变，检测方法不用变•优势–简单、扩充迅捷，对各类新攻击的应变速度更快•劣势–仅能识别已知的攻击–检测面窄，每个特征应对的攻击数少–动攻击特征不唯一，不易精确识别–抗变种能力弱•特点–特征变，检测方法就要变基于特征的检测机制基于原理的检测机制动态的检测以变应变检测不全面威胁/攻击静态的检测以不变应万变检测扩充复杂全面检测威胁面临的挑战之四•检测机制要求全面16Internet单位总部分支机构远程办公合作单位全面检测威胁面临的挑战之五•检测对象覆盖要求全面–面向多级网络–面向复杂网络17数据检测完整性保证•计算机数量和网络的发展–摩尔定律•全世界因特网流量每6个月翻一番•一年内因特网上网用户翻两番网络规模的发展要求IDS满足高性能检测时间单个PC单个局域网单个PC多个局域网单个局域网单个PCInternet、区域网络多个局域网、单个局域网、单个PC网络发展1980S1990S2000S18小结-全面的威胁检测要求网络协议检测算法部署位置检测内容检测机制检测对象全面检测异常流量攻击行为网络性能检测机制物理覆盖检测性能19有效呈现威胁的诸多要求多种报警方式结合网络拓扑界面直接管理多种用户自定义不同部署位置功能自动执行事件详细解释定位事件源头清晰传播途径科学处理步骤及时报警显示管理模板更新规则库升级软件升级有效呈现20全面和有效体现IDS核心价值•深入认识IDS价值•发挥IDS价值的客观要求•天阗全面检测与有效呈现•天阗IDS产品介绍•天阗典型应用22全面检测之一：协议分析RFC标准符合标准不符合标准持续更新协议分析因子一因子二判断协议协议指纹库判断协议协议研究•单、多因子相结合的识别方式（专利技术）–不仅依赖于RFC标准参数–深入了解协议本质，提取协议特征23全面检测之一：协议分析•非标准协议伺服器–协议“柜子”•可灵活增加协议而不影响架构•针对不同协议采用相应的分析模块协议伺服器协议A分析协议F分析新增协议C提出需求回应需求数据内容协议包头协议分析24全面检测之二：流量检测时间流量•异常流量检测乱序算法–传统使用hash算法•性能较差•维护hash表将消耗极大内存–采用熵值计算的微缩算法•熵值是混乱和无序的度量•计算方法简单“S＝KlnΩ”•无需维护随会话量而增长的表25•抗躲避能力–超过12种常用躲避方法检测–支持攻击还原、编码拟态识别•攻击识别能力–支持会话内/间关联识别复杂攻击–基于漏洞机理的攻击识别复杂–支持多达20个的逻辑操作–支持正则表达式–……全面检测之三：攻击识别26全面检测之三：攻击类型识别全面•攻击类型包括：–缓冲区溢出攻击–网络数据库攻击–网络设备攻击–安全扫描–木马后门–间谍软件–拒绝服务与分布式拒绝服务–蠕虫病毒–CGI访问/攻击–网络娱乐–安全漏洞–穷举探测–脆弱口令–……27全面检测之四：检测机制全面•融合基于特征和基于原理的两种检测方法：–提升变形攻击识别能力–提升对新攻击应变能力–提升精确检测覆盖面–提升抗躲避能力–提升扩充能力变形或未知攻击识别能力扩充能力精确检测覆盖面对新攻击的应变能力抗躲避能力基于原理检测基于特征检测综合优势基于原理检测基于特征检测综合优势28全面检测之五：组网能力全面多个接口灵活组网模式：•面对不同网络下发不同策略•在同一界面上统一管理TCO方面：•免除重复投资•节略管理投入OA办公区生产网络营业厅调度专网•面向复杂网络29•多级管理–统一策略下发–统一报警上传–统一规则升级–统一报表生成–全局事件预警–……全面检测之五：大规模部署•面向多级网络30全面检测之六：检测性能•高速环境下的线速检测-保证无丢包31疑问：这么多信息都需要一条条分析么？能不能有一种方法降低IDS的报警数量？为什么会有这么多报警信息？有效呈现之一：精确报警•“IDS的报警信息太多了，根本看不过来”•——安全管理员UNIXSolarisAIXInternetANI蠕虫受病毒感染机器结合环境，精确报警信息，降低“误”报率“环境指纹”技术32有效呈现之二：详尽描述•“看到报警应该怎么处理？”防护检测响应检测+“响应”这里的响应是指被动响应——报警攻击名称：ZOTBOT事件说明：zotbot病毒是一种。。。。。。。影响系统：windows操作系统处理建议：。。。。。。。。。。。。。。补丁下载：参考文档:相关编号：cve-xxxxx危害描述：33有效呈现之三：关联定位大规模部署报警信息：172.16.235.21slammer病毒31次34有效呈现之四：详细事件处理指导–事件呈现•拓扑报警–详细处理方法事件名称：TCP_蠕虫_W32.zotob.a/b变种_IRCBOT事件描述W32.zotob蠕虫是Mytob蠕虫的最新变种。目前该蠕虫产生了两个变种，名称分别为W32.zotob.a和W32.zotob.b。该事件表明源IP主机已经中毒且正在连接目的IP的IRC服务器，并被攻击者远程控制。该蠕虫利用了微软2005年8月10日公布的最新系统严重漏洞－－MicrosoftWindowsPlugandPlay远程缓冲区溢出漏洞(MS05-039)进行主动攻击。Zotob蠕虫攻击TCP端口445，和冲击波、振荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。该病毒传播的广度非常大。病毒攻击目标系统时影响WINDOWS系统建议措施V-A.D.Lab建议您：下载微软公布的MS05-039漏洞的最新补丁，避免病毒利用该漏洞攻击存在该漏洞的主机；升级最新的杀毒工具，或者下载针对该蠕虫的专杀工具进行杀毒。，可能造成系统不断重启，类似于震荡波、冲击波发作时候的情形，但是Zotob蠕虫影响的进程变了，为系统关键进程“Service.exe”。中毒的主机还可能会主动通过IRC连接某些IRC服务器上的机器人，并通过该机器人被病毒散播者控制，病毒散播者可以远程控制连接到这些IRC服务器上的中毒主机进行一些非法的操作。。Zotob蠕虫除了利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些邮件病毒所具有的危害。35有效呈现之五：多种呈现方式•多种报表-有效归纳总结–展现形式–展现内容柱状图饼状图表格交叉报表自定义报表36启明星辰网站事件更新下载有效呈现之五：自动及时升级VF专家团TM攻击分析，漏洞发掘特征更新及时防御更新最新威胁防御强大组织保障及时更新在线自动升级各种新型攻击威胁37天阗IDS的“第一”•连续六年国内IDS市场份额第一–多年市场成功销售，保证产品持续发展–客户遍布全行业，树立良好的用户口碑–销售全过程体系成熟：销售、售前、售后以及商务经验传承•多次权威测评产品排名第一–最全面的资质认证，国际CVE产品兼容证书–各种专利技术保证产品检测能力和性能领先•IDS领域的技术先驱–出版中国最早普及入侵检测知识的书籍–中国第一个硬件IDS产品–第一个千兆IDS产品–第一个IDS多级分布式部署–第一个基于拓扑的管理–第一个入侵定位系统–第一个与漏洞扫描相结合的风险评估系统•强大的技术支撑体系–最早的博士后工作站–攻防研究团队AD－Lab–可查看微软源代码，CNCVE的首席合作伙伴–和CNCERT的合作，最新的安全事件收集38天阗是国内最好的IDS天阗中国最好的IDS技术保障市场第一份额保障业内最大研发投入•深入认识IDS价值•发挥IDS价值的客观要求•天阗全面检测与有效呈现•天阗IDS产品介绍•天阗典型应用40天阗入侵检测与管理系统性能100M1G天阗NS200适应百兆网络环境≥100Mbps天阗NS500适应满负荷百兆环境≥200Mbps天阗NS2200适合千兆网络环境≥1000Mbps天阗NS2800适应满负荷千兆环境≥2000Mbps•产品型号：天阗NS100适应低负荷百兆网络环境≤80Mbps天阗NS1500适合低负荷千兆网络环