种,特征检查模块还会加上额外的扫描程序。
在特征检查之后,如果启发式检测被启用,文件流就会通过启发式检测模块。这一模块对包头和可移植可执行文件的引入段进一步扫描。对每一次测试,启发式检测引擎会基于文件类型的规则对威胁进行可能性评估。在每次测试完成后,引擎会检查评估得出的威胁级别结果,如果得出的结果级别比相应文件类型所允许的级别高,该文件流就会被贴上可疑的标签,并得到相应的处理。
通过调整动态威胁防御系统所有的扫描和检测功能,客户对已知和未知威胁的攻击可确保最高的检测率。
入侵检测/防御的异常检测
天清汉马先进的入侵检测/防御技术包括: ? 状态检测 ? 内容重组 ? 通信协议检测 ? 应用协议检测 ? 内容检测
图9:天清汉马先进的入侵检测/防御技术
天清汉马的异常检测技术是通过分析整个数据包进行的,它远比基于特征的IDS 更强,包括包头、协议信息、应用信息、包内容和会话行为等。通过分别运用6 个完全内容重组和关联的检测过程和动态威胁防御系统,详细地会话信息被跟踪和分析,以检测出最先进的威胁和未知的“零小时”(zero-hour)攻击。这些攻击包括:
? 基于网络的蠕虫和木马 ? 野蛮攻击 ? 碎片 ? 不良数据包 ? Cross-site 脚本 ? Directory Traversal ? 拒绝服务 ? 信息查询 ? 会话劫持 ? 欺骗 ? 缓冲区溢出 ? 无端注入 ? 其他
状态检测引擎是设计为跟踪每一个经过天清汉马设备的会话的所有通信层——包括基于连接和非基于连接的协议。它保存积累的状态和会话信息,以确保每一个会话后续的包能被正确的发送和接收。
内容重组模块重组所有的数据包,以保证包能以正确的顺序排列。这样就可以去掉那些重叠的分段、重复的分段、大小无效的包、偏移量无效的包——过滤许多基于碎片、不合法偏移量、fragroute 逃避等的攻击。
通信协议检测引擎保证协议确实是有效的,包括TCP、UDP、ICMP 等。所有的协议头都需要对语法和语义的合法性及进行检验,带有不良协议信息的包将被识别出来并阻挡。
应用协议检测引擎确保协议头符合合法的语法和语义。协议头数值的有效性被验证,溢出被阻止。合法的应用如Telnet、FTP、HTTP、SMTP、POP3等的一致性被检查,而有害应用如BackOrifice、SubSeven、TFN2K 等被识别出来,并在它们可能对网络造成危害之前被阻挡。
内容检测模块分析应用负载,寻找已知和未知的恶意内容。内容检测模块使用复杂的评估系统和会话行为模板来进行深度包分析,并在应用内容类型之间加以区别,以确保对每一个会话流量的最大检测能力。
行为检测模块将异常检测带到一个新的水平。通过将双向会话信息的关联、数据信息、通道信息、控制信息、活动会话和僵尸会话信息汇集到一起进行分析。随着流量信息的积累,系统开发出正常流量模板知识,当有不良和异常流量流经天清汉马设备,它们会很快被识别并阻挡。
动态威胁防御系统将各种检测过程关联在一起,可以很好的检测各种已知和未知的攻击。通过检查每一个异常检测引擎的输出结果,并与已知和学到的会话活动相比较,误报率便会大大降低。
天清汉马---可扩展的灵活的安全
天清汉马能够基于状态检测、防病毒、间谍软件、IDS、IPS、反垃圾邮件、Web 内容过滤、带宽管理等技术来过滤网络流量,提供了对抗最新社会工程陷阱和混合型威胁的更高的安全层次。
快速和主动的在网络边界和其他关键网络节点上检测和阻挡已知和未知威胁对任何网络的安全都是非常重要的。天清汉马先进的威胁防御系统使用先进的检测技术来进行行为检查、完全内容重组、深层包检查和基于特征、启发式扫描、异常检测进行检测网络中的每一个包。
完整的安全解决方案
天清汉马创造了完善的统一方法,以帮助客户确保其处于任何位置上的关键网络的安全。天清汉马的全系列安全设备、日志和报告系统、实时Web 内容过滤和反垃圾邮件模块提供了一个完整的深层次的安全解决方案,能保障各种规模的有线和无线网络的安全。
为了确保所有天清汉马产品能够使用最新的病毒特征库和攻击特征库,及时对启发式扫描和异常检测引擎进行更新,客户可以将他们的天清汉马安全设备设置为从启明星辰的服务器上自动更新升级。一旦有新的特征出现并可以更新时,启明星辰的自动更新服务器会快速的进行主动和推送式的更新,通常在发布更新信息后5 分钟内便可进行。
为了提供综合日志和报表系统以向客户报告安全事务,启明星辰向客户提供可选的Log 和Reporter 产品。上百种预先定制好的报表能详细的反映行为信息和安全警报。客户可以通过安全报告来关联安全行为,更容易的阻挡恶意活动,并提供安全事件的详细日志。对于那些有多个天清汉马安全设备需要管理的客户,启明星辰的集中安全管理平台可以对上千台天清汉马设备进行统一集中管理。
6.2 响应恢复体系
在信息安全领域,随着计算机网络安全的理念和技术日益成熟而在整个行业形成了这样一种共识——简单的以防病毒+防火墙为主的静态保护已经远远不能抗衡新的威胁。任何静态的防护措施,都或多或少存在局限和漏洞,因此需要辅以动态的防护手段抵御动态的攻击。
xxxx市政府信息中心系统已经成为铜陵市对外展示的窗口,因此信息安全问
题一直为局领导所关注。以目前的技术水平,尚且难以预测信息系统中到底会发生什么安全事故,所以在本项目的安全策略中必须具备应急响应手段,保证发生安全事故后,能够及时作出有效的响应,采取合适的应急措施处理事故。
6.2.1 应急响应体系
安全事件预警与应急响应体系主要针对危及xxxx市政府信息中心信息系统安全的重大事件进行检测、预警、抑制、根除并从事件的影响中尽快恢复,以确保门户网站信息系统的业务连续性。
这里,“危及xxxx市政府信息中心信息系统安全的重大事件”包括 ? 影响网站提供对外业务和互联网访问的拒绝服务攻击行为
? 可能大规模爆发的网络蠕虫,如“SQL SLAMMER”蠕虫事件、“口令”
蠕虫事件、“冲击波”以及“冲击波清除者”蠕虫事件等。 ? 其他影响门户网站系统正常运转的安全事件
应急响应应遵循科学的流程和方法,才能达到真正的实效。应急响应体系应包括应急响应策略、应急响应团队、应急预案。 6.2.1.1. 制定应急响应策略
1)策略制定
策略是计算机信息安全工作中的一个重要部分,信息安全策略中包含以下几类比较重要的事件响应:
? 批准建立事件响应机制
? 事件响应的任务或者目的,以及范围 ? 给予事件响应的授权。 ? 对事件响应的限制 ? 与法律部门的关系 2)策略更新
对于与事件响应相关的策略,定期检查更新非常重要。新的事件类型不断出现,与之对应的事件响应相关策略就需要进行更新,以适应网络安全的发展变化。
3)事件的分类及处理优先级
不同的安全事件具有不同的优先级别,例如:一个小型病毒的发作只需要对几台PC机进行杀毒就可以了,这与能蔓延至整个公司电子邮件服务器的大型病