技术白皮书_铁穹高级持续性威胁预警系统
文档编号:DongXunTech-技术白皮书
密 级:【对外】
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
目 录
版权声明 . ........................................................................................................................................................................ 3
支持信息 . ........................................................................................................................................................................ 4
一. 概述 . ......................................................................................................................................................................... 5
1.1 APT攻击事件频繁 . ........................................................................................................................................... 5
1.2 APT攻击中的未知木马 . ................................................................................................................................... 6
1.3 安全面临新的技术挑战 .................................................................................................................................. 6
二. 铁穹高级持续性威胁预警系统 .............................................................................................................................. 7
2.1 产品概述 . ......................................................................................................................................................... 7
2.2 产品架构 . 2.3 产品功能 . 2.3.1 木马识别和发现 . 2.3.2 安全预警 . 2.3.3 资产关联 . 2.3.4 木马追踪和地址定位 2.3.5 报表与策略管理 . 2.4 产品特色 . 2.4.1 网络级的木马安全检测 2.4.2 基于行为和特征的检测方法2.4.3 2.4.4 2.5 关键技术 . 2.5.1 2.5.2 2.5.3 2.5.4 2.6 典型部署 . 2.6.1 . 2.6.2 . 三. 应用领域 . 3.1 3.2 3.3 ................................................................................................................................ 13
四. 产品规格型号 . ....................................................................................................................................................... 14
五. 结束语 . ................................................................................................................................................................... 15
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
版权声明
1. 权利归属
本文档中的东巽信息—铁穹高级持续性威胁预警系统产品的所有权和运作权
(下称DongxunTech ),DongxunTech 相关的操作规则严格执行。因所产生
产所有权法律的保护。
2.
3.
DongxunTech 书面同意和有效授权。
4. 管理
DongxunTech 的国家法律、地方法律
和国际公约或协定。
目的
本声明仅为文档信息的使用,非为广告或产品背书目的。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
支持信息
南京东巽信息技术有限公司
电话:025-57927524
查阅我公司网站:。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
一. 概述
随着黑客技术和攻击手段的不断深入,近年来出现了一种新型网络攻击思想—APT 攻击,它改写了网络安全游戏规则的攻击行为,组织严密、目标明确、手段高超、危害巨大,其受害者中不乏大型企业,国家机构。我国的政府、军工、保密机关、企事业单位和研究院所,也正遭受着频繁的APT 攻击。
1.1 APT攻击事件频繁
从针对Google 等公司的极光攻击(2009年)、Stuxnet McAfee 公司公布的针对西方能源公司的夜龙行动(2011年)、RSA SecureID府机构的遭受的网络攻击(2013年),APT
APT (Advanced Persistent Threat)方位的高级渗透攻击。在攻击流程上,APT APT
● APT 攻击中普遍采用0Day
●
APT 带来很大困难。
● 攻击手段丰富
目前曝光的知名APT 事件中,社交攻击、0day 漏洞利用、物理摆渡等方式层出不穷,防不胜防。
● 针对性强
APT 攻击的目标一般是经过精心选取,具有很强针对性。一旦选定,一般不会改变,攻击者会尝试不同攻击技术、攻击手段不达目的决不罢休。
● 攻击持续时间长
APT 攻击分为多个步骤,从信息搜集到信息窃取往往要经历几个月甚至更长时间。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
正是APT 攻击所体现出的上述特点,使得传统的防御方式难以有效发挥作用,造成攻击事件频发。
1.2 APT攻击中的未知木马
从众多的APT 攻击事件中可以发现,攻击的远程控制多采用未知木马,而未知木马均具有超强的免杀、穿透、隐藏能力,传统的网络级安全产品,如防火墙、入侵检测、UTM 、防毒墙、反垃圾邮件、WAF 等产品,无法检测出未知木马。随着未知木马技术的成熟,已经形成下载、控守、驻留等多种不同用途的未知木马。全。
1.3 安全面临新的技术挑战
APT 攻击过程,了解APT 防范,有效切断APT
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
二. 铁穹高级持续性威胁预警系统
2.1 产品概述
铁穹高级持续性威胁预警系统(以下简称:铁穹)是一款在网关处采用旁路工作模式的硬件产品,通过
2.2
网络通信流量数据存储模块
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
2.3 产品功能
2.3.1 木马识别和发现
铁穹系统不仅能够准确识别网络通信中的已知木马行为,还能够有效判断出未知木马通信行为的存在。其中对已知木马的识别,是基于已知木马特征(木马特征库包括:木马特征码、黑域名、黑IP 、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS 服知木马的网络通信行为。
2.3.2 安全预警
员可根据预警信息制定解决方案。
2.3.3 资产关联
2.3.4
IP 地址定位技术,能准确定位内网主机和外网目标主机的IP 地址,判断目标主机所在的国家和地区。
2.3.5 报表与策略管理
铁穹系统提供木马报告、安全评估报告、统计分析报表、趋势分析报表、排名分析报表多种统计图表,帮助用户全面、直观掌握安全状况。
铁穹系统为木马特征库、行为库、专家库升级策略、木马日志上传策略、数据采集策略、协议分析策略、
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
木马检测策略等提供维护管理功能。
2.4 产品特色
2.4.1 网络级的木马安全检测
铁穹系统通过旁路方式部署在网络出口和核心交换设备上,对全网范围内的木马通信行为进行监控、分
2.4.2 基于行为和特征的检测方法
IP
2.4.3
议等。
2.4.4
已知木马特征(木马特征库包括:木马特征码、黑域名、黑IP 、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS 服务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
2.5 关键技术
2.5.1 数据镜像和封包重组技术
铁穹系统通过旁路接入网络方式在底层捕获各种网络通信数据报文,分离出关键性数据,取出数据报文中的有效数据,为后续协议分析和木马监测提供基础服务。
2.5.2 广谱特征码木马监测技术
入铁穹系统的木马特征库中。
种而形成的未知木马的监测。
2.5.3
律域名解析、异常心跳信号、异常提供重要技术支撑。
2.5.4
出来,为下一步决策提供支撑。铁穹系统通过IP 地址定位技术,确定内网主机和外网目标主机的IP 地址,判断目标主机所在的国家和地区,为下一步木马处理提供基础支持。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
2.6 典型部署
2.6.1 单一旁路部署
铁穹系统可以旁路部署在用于单位核心交换设备上,对各种木马网络通信行为进行实时监控、分析、识别预警,让管理人员可以随时了解到内部遭受攻击的情况,避免内部办公网络主机被网络渗透,导致重要敏感信息被窃。部署如下图所示:
2.6.2 分布式部署
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
三. 应用领域
铁穹系统适合应用到信息化程度较高,对计算机保密程度较严和存在敏感信息数据的单位和部门,在网络出口和核心网关处对木马通信行为进行实时检测、分析、识别预警,填补传统防火墙、入侵检测、防毒墙等安全软件在网络层无法对木马程序进行有效检测的技术空白,保障目标客户网络免遭木马攻击。
3.1 政府、军工和保密部门
3.2
3.3 对木马通信行为进行全网监控和防范,发现木马行为,分析威胁来源,以防止情报泄露和植入木马进行恶意破坏,危及国家和机构安全。
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
四. 产品规格型号
铁穹系列共分为3种不同型号,具体规格如下表所示:
铁穹高级持续性威胁预警系统 技术白皮书
V2.1
五. 结束语
APT 攻击以其针对性、隐蔽性、持续性等特点,严重危害了国家部门、政府机构、各种大型事企业单位的安全。现有的安全防御体系在APT 攻击面前显得心有余而力不足,铁穹高级持续性威胁预警系统针对APT 攻击提供了专业且切实有效的检测预警解决方案,为您的内部网络一路保驾护航。