随着互联网技术的飞速发展,网络逐步改变着人们的生活,也随之而来了各种各样的安全问题,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDoS攻击越来越常见,黑客攻击行为几乎每时每刻都在发生。如何及时的、准确的发现违反安全策略的事件,并及时处理,是广大企业用户迫切需要解决的问题。 东华入侵防御系统是自主研发的新一代入侵防御类安全产品,用来应对新的网络环境中,威胁手段越来越隐蔽、威胁范围覆盖云到端、威胁来源不分内外的新挑战。产品站在全新的用户视角,全面深入到2-7层进行分析和检测,防御传统的ARP攻击、DDOS攻击的同时,可以实时阻断网络流量中隐藏的病毒、蠕虫、木马、溢出攻击等恶意行为;站在应用的视角,将应用中的异常行为、异常流量也作为威胁的一种做有效的防护,对于未知的威胁以及日益盛行的高级持续威胁会送往云端进一步分析,形成对网络基础设施、网络应用、网络性能、云端安全的全面立体防护。
1、入侵防御体系
入侵防御系统对缓冲区溢出、SQL注入、暴力猜测、DoS攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警,并通过与防火墙联动、发送邮件、SNMP trap等方式进行威胁防御。
2、恶意代码查杀
系统拥有海量病毒特征库和专业的恶意URL库,配合最新的防病毒引擎,能够精准识别并清除流行木马和顽固病毒。查杀范围包括病毒、木马、蠕虫、后门、间谍软件、恶意程序以及HTTP\FTP\SMTP\POP3\IMAP等主流应用协议。
3、APT防御
对于未知威胁和APT事件,进行高级模拟分析,共享其检测结果和特征升级,为用户信息系统免遭互联网病毒侵扰打造全面立体的防护。
东华入侵防御系统具备硬件体系架构及虚拟化软件扩展。除硬件架构平台外,还支持虚拟化技术,安全操作系统可以运行在KVM、XEN、VMware等虚拟系统之上,CPU、内存、接口、存储等核心资源全部独立分开,实现真正的资源隔离和管理隔离,根据虚拟资源的分配可以灵活的实现性能提升和平台扩展,是虚拟化和云系统的最佳安全保障。
传统的基于特征的SQL注入检测,首先抽取SQL注入过程中都会出现的特殊字符(例如:– #等),抽取SQL注入过程经常会出现的SQL关键字(例如:SELECT、UNION等)作为检测SQL注入的依据。利用上述步骤中提取的特征构建SQL注入特征库,通过传统的模式匹配的方式进行检测。很显然这种方法有着极高的漏报和误报率,比如在USER字段提交Select,将会被认作攻击行为。并且做了编码转换或函数转换或者是关键字跨域之后,攻击者很容易躲避机械地匹配字符串方式的检测。
东华入侵防御系统会首先构造一个可以执行各种SQL语句的虚拟执行环境,可以通过对输入的内容进语义分析,无论攻击者为构造也多么复杂,特殊的攻击内容。只要用户输入的内容中含有攻击的内容。就可以发现攻击。
东华入侵防御系统采用基于策略的防御方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防御效果。用户即可以根据防御的类型不同而选择不同的事件集,即可以提高系统的性能,也可以减少误报的发生机率。比如用户需要防御的设备是Linux服务器,可以只选择Linux系统的策略集。同理,如果用户只要想防御Web攻击,可以只使用Web防御策略集。还可以根据安全类型、协议类型、系统、级别、事件来源等多个方面来灵活的选择安全策略。同时对于不同的安全策略,可以自定义不同的防御级别,适用于各种不同的场景。
东华入侵防御系统提供了用户身份识别功能,将下一代防火墙中的用户识别的理念引入到入侵防御系统当中,随着网络的不断发展以及BYOD的兴起,基于IP的管理越来越不能满足网络管理的要求,基于用户的身份识别将看不到的IP和真实的人联系起来。提供多种用户识别手段,方便管理员更好的发现威胁和攻击。
基于应用的识别技术,是各种应用层安全防御的基础,目前各类新的应用层出不穷,如QQ、MSN、文件共享、Web服务、P2P下载等,这些应用势必会带来新的、更复杂的安全风险。这些风险和应用本身密不可分,如果不结合应用来分析将无法抵御这些风险。
东华入侵防御系统采用流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。
