..文檔編號：DongXunTech-技術白皮書密級：[對外]

鐵穹高級持續(xù)性威脅預警系統(tǒng)技術白皮書V2.1

鐵穹高級持續(xù)性威脅預警系統(tǒng)技術白皮書V2.1版權聲明3支持信息4一.概述51.1APT攻擊事件頻繁51.2APT攻擊中的未知木馬61.3安全面臨新的技術挑戰(zhàn)6二.鐵穹高級持續(xù)性威脅預警系統(tǒng)72.1產品概述72.2產品架構72.3產品功能8木馬識別和發(fā)現(xiàn)8安全預警82.3.3資產關聯(lián)8木馬追蹤和地址定位8報表與策略管理82.4產品特色9網絡級的木馬安全檢測9基于行為和特征的檢測方法9強大的木馬追蹤和地址定位能力9強大的未知木馬檢測能力92.5關鍵技術10數(shù)據鏡像和封包重組技術10廣譜特征碼木馬監(jiān)測技術10網絡異常行為處理和分析技術10木馬深度追蹤和地址定位技術102.6典型部署11單一旁路部署11分布式部署11三.應用領域133.1政府、軍工和保密部門133.2企事業(yè)單位和研究院所133.3金融、證券和其他機構13四.產品規(guī)格型號14五.結束語15版權聲明權利歸屬本文檔中的東巽信息—鐵穹高級持續(xù)性威脅預警系統(tǒng)產品的所有權和運作權等版權法及有關法律規(guī)定的權利和一切商業(yè)權益均歸XX東巽信息技術〔下稱DongxunTech,DongxunTech提供的服務將完全按照其發(fā)布的本聲明以及相關的操作規(guī)則嚴格執(zhí)行。因DongxunTech鐵穹高級持續(xù)性威脅預警系統(tǒng)所產生的一切知識產權歸XX東巽信息技術,并受版權、商標、標簽和其他財產所有權法律的保護。其它產品說明本文檔中所提及的所有其他名稱是各自所有者的品牌、產品、商標或注冊商標。授權聲明任何組織和個人對DongxunTech產品的擁有、使用以及復制、修改等涉及版權法等有關法律所規(guī)定的權利都必須經過DongxunTech書面同意和有效授權。管理用戶對信息和服務的使用是根據所有適用于DongxunTech的國家法律、地方法律和國際公約或協(xié)定。目的本聲明僅為文檔信息的使用,非為廣告或產品背書目的。支持信息XX東巽信息技術果您希望得到更多關于東巽產品的報價、產品信息以及技術支持等信息,請您查閱我公司網站：://dongxuntech。概述隨著黑客技術和攻擊手段的不斷深入,近年來出現(xiàn)了一種新型網絡攻擊思想—APT攻擊,它改寫了網絡安全游戲規(guī)則的攻擊行為,組織嚴密、目標明確、手段高超、危害巨大,其受害者中不乏大型企業(yè),國家機構。我國的政府、軍工、保密機關、企事業(yè)單位和研究院所,也正遭受著頻繁的APT攻擊。APT攻擊事件頻繁從針對Google等公司的極光攻擊〔20XX、Stuxnet病毒攻擊事件〔20XX到McAfee公司公布的針對西方能源公司的夜龍行動〔20XX、RSASecureID遭竊取事件〔20XX,以及近期的針對韓國金融和政府機構的遭受的網絡攻擊〔20XX,APT攻擊已經為人們所熟知。APT〔AdvancedPersistentThreat是高級持續(xù)性威脅的英文縮寫,是指專門針對特定組織所作的復雜且多方位的高級滲透攻擊。在攻擊流程上,APT攻擊與普通攻擊行為并無明顯區(qū)別,但在具體攻擊步驟上,APT體現(xiàn)出以下特點,使其更加高級更加具有破壞力：攻擊行為特征難以捕獲APT攻擊中普遍采用0Day漏洞獲取權限、通過未知木馬進行遠程控制,而傳統(tǒng)基于特征匹配的檢測設備總是要先捕獲木馬樣本,才能提取特征并基于特征進行攻擊識別,這就存在先天的滯后性。單點隱蔽能力強為了躲避傳統(tǒng)檢測設備,APT更加注重動態(tài)行為和靜態(tài)文件的隱蔽性。例如通過隱蔽通道、加密通道避免網絡行為被檢測,或者通過偽造合法簽名方式避免惡意代碼文件本身被識別,這就給傳統(tǒng)基于簽名的檢測帶來很大困難。攻擊手段豐富目前曝光的知名APT事件中,社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮,防不勝防。針對性強APT攻擊的目標一般是經過精心選取,具有很強針對性。一旦選定,一般不會改變,攻擊者會嘗試不同攻擊技術、攻擊手段不達目的決不罷休。攻擊持續(xù)時間長APT攻擊分為多個步驟,從信息搜集到信息竊取往往要經歷幾個月甚至更長時間。正是APT攻擊所體現(xiàn)出的上述特點,使得傳統(tǒng)的防御方式難以有效發(fā)揮作用,造成攻擊事件頻發(fā)。APT攻擊中的未知木馬從眾多的APT攻擊事件中可以發(fā)現(xiàn),攻擊的遠程控制多采用未知木馬,而未知木馬均具有超強的免殺、穿透、隱藏能力,傳統(tǒng)的網絡級安全產品,如防火墻、入侵檢測、UTM、防毒墻、反垃圾郵件、WAF等產品,無法檢測出未知木馬。隨著未知木馬技術的成熟,已經形成下載、控守、駐留等多種不同用途的未知木馬。正是這種未知木馬程序的長期潛伏和駐守在對方的目標網絡和主機中,不被檢測和發(fā)現(xiàn),威脅著整個網絡安全。因此,如果能夠及時識別發(fā)現(xiàn)未知木馬行為,就能夠有效防御APT攻擊。安全面臨新的技術挑戰(zhàn)東巽科技作為國內網絡安全技術領導者,長期對網絡攻防技術進行研究,已經形成了成熟的網絡攻防理論方法,建立了立體的防御網絡攻擊技術體系,有責任承擔保衛(wèi)國家信息安全的重任。經過深入剖析APT攻擊過程,了解APT攻擊特點,探索出一套針對APT攻擊的防范方法,通過在網絡層加強對未知木馬的檢測和防范,有效切斷APT攻擊途徑,抵御APT攻擊威脅,保障業(yè)務健康穩(wěn)定持續(xù)安全運行。鐵穹高級持續(xù)性威脅預警系統(tǒng)是東巽科技為了應對APT攻擊中未知木馬威脅而開發(fā)的新一代網絡安全產品,它通過在網絡層實現(xiàn)對全網范圍內的木馬檢測、分析預警,從而保障國家重要部門網絡安全,確保各項業(yè)務能夠健康穩(wěn)定持續(xù)安全運行。鐵穹高級持續(xù)性威脅預警系統(tǒng)產品概述鐵穹高級持續(xù)性威脅預警系統(tǒng)〔以下簡稱：鐵穹是一款在網關處采用旁路工作模式的硬件產品,通過分析通信數(shù)據挖掘各種木馬通信痕跡、識別木馬特征和行為,在網絡層實現(xiàn)對全網范圍內木馬檢測和阻斷,應對高級持續(xù)性威脅〔APT使用的各種未知木馬攻擊,對木馬進行追蹤和定位,判斷木馬家族、來源國家、制作組織,彌補了防火墻、入侵檢測系統(tǒng)、防毒墻等在網絡層對木馬檢測的技術空白。產品架構下圖是鐵穹的架構圖：產品功能木馬識別和發(fā)現(xiàn)鐵穹系統(tǒng)不僅能夠準確識別網絡通信中的已知木馬行為,還能夠有效判斷出未知木馬通信行為的存在。其中對已知木馬的識別,是基于已知木馬特征〔木馬特征庫包括：木馬特征碼、黑域名、黑IP、黑網址檢測方法,發(fā)現(xiàn)已知木馬；而未知木馬的識別則是基于行為〔異常規(guī)律域名解析、異常心跳信號、異常DNS服務器、異常流量、異常動態(tài)域名、非常規(guī)域名等的木馬檢測方法,通過多種通信行為的復合權值,判斷未知木馬的網絡通信行為。安全預警鐵穹系統(tǒng)識別已知木馬和高危異常行為后,會通過木馬報告、異常行為報告等方式進行預警。系統(tǒng)管理員可根據預警信息制定解決方案。資產關聯(lián)鐵穹系統(tǒng)通過對關鍵資產、普通資產、業(yè)務系統(tǒng)進行統(tǒng)計管理,并將檢測出的安全威脅信息與資產信息進行關聯(lián)。資產關聯(lián)能夠讓用戶直觀了解到威脅感染的位置和速度,準確定位攻擊的目的性。木馬追蹤和地址定位經過研發(fā)團隊長期的分析研究,鐵穹系統(tǒng)建立了強大的木馬專家?guī)?將木馬的深度信息放入其中,主要包括木馬名稱、木馬編號、木馬類型、木馬家族、來源國家、制作組織、木馬特征和木馬危害等,一旦發(fā)現(xiàn)已知木馬,則將這些信息展現(xiàn)出來。同時鐵穹系統(tǒng)通過IP地址定位技術,能準確定位內網主機和外網目標主機的IP地址,判斷目標主機所在的國家和地區(qū)。報表與策略管理鐵穹系統(tǒng)提供木馬報告、安全評估報告、統(tǒng)計分析報表、趨勢分析報表、排名分析報表多種統(tǒng)計圖表,幫助用戶全面、直觀掌握安全狀況。鐵穹系統(tǒng)為木馬特征庫、行為庫、專家?guī)焐壊呗?、木馬日志上傳策略、數(shù)據采集策略、協(xié)議分析策略、木馬檢測策略等提供維護管理功能。產品特色網絡級的木馬安全檢測鐵穹系統(tǒng)通過旁路方式部署在網絡出口和核心交換設備上,對全網范圍內的木馬通信行為進行監(jiān)控、分析、識別和預警,彌補傳統(tǒng)安全軟件〔防火墻、入侵檢測系統(tǒng)、防毒墻等在網絡層對木馬檢測的技術空白?；谛袨楹吞卣鞯臋z測方法鐵穹系統(tǒng)通過強大的特征庫和行為庫,使用基于行為和特征的木馬檢測方法,在網絡層對各種已知和未知木馬的網絡通信行為進行實時監(jiān)控、分析、識別預警,如通過黑域名、黑IP和木馬特征碼對已知木馬進行檢測和發(fā)現(xiàn),通過心跳規(guī)律、可疑流出流量、動態(tài)域名等木馬行為對未知木馬進行檢測和發(fā)現(xiàn)。強大的木馬追蹤和地址定位能力鐵穹系統(tǒng)具有強大的木馬追蹤和地址定位能力,一旦發(fā)現(xiàn)網絡內部具有木馬行為,則可以對內網的主機和外網的目標地址進行準確定位,判斷目標主機所在的國家和地區(qū),并獲取與木馬相關的深度信息,包括木馬名稱、木馬編號、木馬類型、木馬家族、制作組織、來源國家、木馬特征、危害等級、風險描述和安全建議等。強大的未知木馬檢測能力鐵穹系統(tǒng)除了能夠準確識別已知木馬,還具有強大的未知木馬的識別能力。對已知木馬的識別,是基于已知木馬特征〔木馬特征庫包括：木馬特征碼、黑域名、黑IP、黑網址檢測方法,發(fā)現(xiàn)已知木馬；而未知木馬的識別則是基于行為〔異常規(guī)律域名解析、異常心跳信號、異常DNS服務器、異常流量、異常動態(tài)域名、非常規(guī)域名等的木馬檢測方法,通過多種通信行為的復合權值,判斷未知木馬的網絡通信行為。關鍵技術數(shù)據鏡像和封包重組技術鐵穹系統(tǒng)通過旁路接入網絡方式在底層捕獲各種網絡通信數(shù)據報文,分離出關鍵性數(shù)據,取出數(shù)據報文中的有效數(shù)據,為后續(xù)協(xié)議分析和木馬監(jiān)測提供基礎服務。廣譜特征碼木馬監(jiān)測技術鐵穹系統(tǒng)通過收集和分析已知木馬的網絡通信協(xié)議,抽取和提煉木馬網絡通信數(shù)據中的廣譜特征碼,納入鐵穹系統(tǒng)的木馬特征庫中。鐵穹系統(tǒng)通過在網絡出口和核心交換設備上對網絡通信數(shù)據進行實時截獲,通過特征匹配,發(fā)現(xiàn)數(shù)據包中具有木馬廣譜特征碼的通信數(shù)據,并根據此特征確定其木馬網絡通信行為,實現(xiàn)對已知木馬和由該木馬變種而形成的未知木馬的監(jiān)測。網絡異常行為處理和分析技術鐵穹系統(tǒng)通過建立木馬行為庫,對網絡中各種異常通信行為進行實時監(jiān)控和分析處理,主要包括異常規(guī)律域名解析、異常心跳信號、異常DNS服務器、異常流量、異常動態(tài)域名、非常規(guī)域名等,為發(fā)現(xiàn)未知木馬提供重要技術支撐。木馬深度追蹤和地址定位技術鐵穹系統(tǒng)通過建立強大的木馬專家?guī)?將木馬的深度信息放入其中,主要包括木馬名稱、木馬編號、木馬類型、木馬家族、來源國家、制作組織、木馬特征和木馬危害等,一旦發(fā)現(xiàn)已知木馬,則將這些信息展現(xiàn)出來,為下一步決策提供支撐。鐵穹系統(tǒng)通過IP地址定位技術,確定內網主機和外網目標主機的IP地址,判斷目標主機所在的國家和地區(qū),為下一步木馬處理提供基礎支持。典型部署單一旁路部署鐵穹系統(tǒng)可以旁路部署在用于單位核心交換設備上,對各種木馬網絡通信行為進行實時監(jiān)控、分析、識別預警,讓管理人員可以隨時了解到內部遭受攻擊的情況,避免內部辦公網絡主機被網絡滲透,導致重要敏感信息被竊。部署如下圖所示：分布式部署支持分布式部署,鐵穹設備作為網絡通訊數(shù)據的采集點,采用旁路接入網絡出口處,管理人員可以在總部了解全局的情況,快速定位具體哪個分支機構遭受到了未知木馬的攻擊,進而定位具體主機。實現(xiàn)對全網范圍內的已知木馬和未知木馬的監(jiān)控、分析、識別預警。部署如下圖所示：應用領域鐵穹系統(tǒng)適合應用到信息化程度較高,對計算機保密程度較嚴和存在敏感信息數(shù)據的單位和部門,在網絡出口和核心網關處對木馬通信行為進行實時檢測、分析、識別預警,填補傳統(tǒng)防火墻、入侵檢測、防毒墻等安全軟件在網絡層無法對木馬程序進行有效檢測的技術空白,保障目標客戶網絡免遭木馬攻擊。