安恒公司AHQZ网络应用数据分析系统介绍
2010-04-29    安恒公司 网络测试产品经理   
打印自: 安恒公司
地址: HTTP://b-428.anheng.com.cn/news/article.php?articleid=2046
安恒公司AHQZ网络应用数据分析系统介绍

一、 网络安全威胁概述


    随着网络的发展网络威胁的问题也与日俱增,并且目前还在呈现指数级别的增长:而且黑客仍在继续制造更为复杂的新威胁,不断地为网络互联的企业带来巨大的破坏;加之威胁的工具化、实施威胁更加容易,大大降低了攻击者的能力要求,进一步扩大了威胁。一般情况下,网络面临的威胁可以分为三类:

  •  对网络自身与应用系统进行破坏的威胁


    这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象,通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,对网络自身的资源进行了占用,导致正常业务无法正常使用。

  • 利用网络进行非法活动的威胁


    此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击,以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工具,不法分子可获得用户的个人账户信息,进而获得经济收益;又如垃圾邮件,一些不法分子通过发送宣传法轮功的邮件,毒害人民群众,以达到不可告人的政治目的。

  • 网络资源滥用的威胁


    此类威胁的特点是正常使用网络业务时,对网络资源、组织制度等造成影响的行为,包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为,但大量的P2P下载会对网络资源造成浪费,有可能影响正常业务的使用;又如,使用股票软件是正常行为,但在上班时间利用公司网络使用它,降低了工作效率,对公司或单位造成了间接损失。这些行为都属于网络资源滥用。


    目前应对这些威胁的手段虽然有很多,IDSIPS、漏洞扫描、防火墙、日志聚合系统、网络异常行为检测和签名匹配技术等等,但都存在不同程度的局限性。比如漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索的,无法应对复杂和定制攻击的出现;日志分析因数量巨大而变得非常困难并且单调乏味;而IDSIPS、防火墙和内容监视等手段则很容易为黑客所逃避。因此传统的安全和网络技术一直无法很好地解决一系列涉及商业和技术价值的问题。

 

二、AHQZ网络应用数据分析系统介绍


    AHQZ网络应用数据分析系统提供了一个全新的网络应用数据分析方案。它是一款可以记录网络上每件事情的安全监视系统,并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问题,如:内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、网络设置错误、资产滥用、网络异常、网络入侵分析、网络数据审计、法律法规要求达标和网络电子发现(network e-discovery)。


    AHQZ网络应用数据分析系统经历了超过10年的创新研究与开发,针对网络流量监视和分析提供系统和方法。与现有的安全和网络分析构架技术有着极大的不同,AHQZ是全新设计的产品,用于即时分析、建模并极为详细地发掘所有网络流量,而不仅是简单地监视。该产品还提供全面的分布式网络监测架构,可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护,避免意外或有意的泄漏。


  以全新的视角审视您的网络


    借助于突破性的用户界面和无比的分析能力,AHQZ网络应用数据分析系统可以使您以全新的方式监视和实时分析您的网络流量。传统的协议分析工具是以数据包的时序显示网络的流量,此时分析网络应用数据和恶意的网络行为通常是非常困难和容易混乱的,尤其是在分析网络数据的前后关系上,AHQZ在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。


    使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中,面对采集到的几十亿数据包,使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索,而不能从网络异常应用流量的角度来感知网络的潜在威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾,对网络管理者和安全分析人员来讲是根本“看不见的”。


    AHQZ网络应用数据分析系统可以让您看到以前看不见的东西。它会记录全部网络上的流量,将数十亿的数据包转换成上千个会话并形成高速的元数据索引,让您直接迅速地看到在应用层发生的事情:

  • 哪些黑客躲避了IDS、防火墙、NBAD系统和签名匹配技术的检测进入了公司网络?
  • 哪个邮箱发出的email附件中含有公司客户的名单,并发给了竞争对手?
  • 谁在使用聊天软件向媒体泄漏了哪些敏感信息?
  • 我们的网络是否符合Sarbanes-Oxley(塞班斯法案)的要求?
  • 我发现我们的网络中有多台PC好像被外网的一个IP地址控制了
  • ……


    AHQZ网络应用数据分析系统对网络应用或行为的分析,使您不会再因为“看不见”而不知道网络在遭受黑客的破坏攻击,也不会因为“看不见”而不知道有内部人员泄漏公司的机密。AHQZ更适于广泛的业务需求。这种转变更为全面、更易于管理,并且更好地关联了网络行为的前后关系。
与众不同产品设计。


    对于众多安全产品厂商而言,传统的安全和网络技术一直未能解决一些列涉及商业和技术价值的问题。安全问题、威胁分析、事件响应、风险分析和依从性问题都迫使用户远离传统的网络监视解决方案。因为更为复杂和定制攻击的出现意味着传统基于签名的安全工具不一定能够帮助发现并修复安全问题,日志分析也很困难并且单调乏味。而AHQZ正是设计用来应对上述挑战的。它也可以帮助各种技术水平的人员从捕捉的流量中识别问题并快速分析多种高级的网络威胁。


    整体的索引和体系化以及网络元数据的实时同步,深入至网络会话的前后关系和内容的分析等使我们的技术可以解决复杂的问题,而这些问题正是现有的网络性能监视、内容监视和过滤、基于签名的系统或日志聚合技术所无法解决的。AHQZ网络应用数据分析系统解决方案提供最大的灵活性来适应技术、要求和策略的变化。


  简单易用的界面


    AHQZ网络应用数据分析系统图形化的用户界面,直观而易于操作。所有网络行为都以报告(如地址、E-mail地址、文件等)的形式展现,并关联了相关的会话数量。分析人员可以直接选取所关注的网络行为,用鼠标点击相应链接即可了解相应的会话过程和内容。AHQZ采用深入(drill-down)分析方式逐步引导您发现网络安全问题。


    结合AHQZ网络应用数据分析系统所产生的丰富元数据,报告功能所提供的洞察行为的能力是其他众多网络监视技术所无法提供的。这种详细的网络原始信息第一次变成交互式的并且完全用于整个报告和实时图表。AHQZ强大的报告能力并非夸张,每一条元数据都可使用在任意组合中,可以报告、报警、随时间绘图并实时呈现。这包括威胁情报的反馈、特定HTTP下载或输入、明文认证、非标准端口使用、用户行为、应用或加密配置文件、或P2P应用,所有这些都可通过简单的点击直接访问全部内容。


    无论是初学者还是专家级用户都可以轻松使用AHQZ网络应用数据分析系统并配合解码器和集中器选件组合成分布是高速存储和分析系统,可实现几个T、甚至上百个T字节的网络数据分析并实时深入到网络会话的前后关系和内容,使曾经花费几天时间完成的网络威胁分析,现在只要几分钟。
丰富和详细的元数据。


    AHQZ网络应用数据分析系统的核心是“元数据流”引擎,这种技术可以从网络流量中萃取会话应用和内容描述符,并以一种共同语言来跨越每种应用,标准化所有网络实体行为。因此对协议知识的要求不再成为使用AHQZ产品的障碍。AHQZ的元数据是网络记录架构的技术基础,能提供每个可能的网络事件(内部、外部、恶意的和非恶意的)的洞察力和详细行为的情况。比如:网络流量类型的技术可提供网络层事件信息,如:IP地址、端口等。AHQZ不仅提供这类信息,而且提供应用层数据,如:email地址、用户名、文件名和密码,甚至全部重组的内容。


  开放的应用程序开发包


    AHQZ网络应用数据分析系统使用称为“剖析器”的分析程序搜索检查所有会话并产生元数据。例如针对一个标准的FTP会话,FTP剖析器将产生“login name、password”及文件操作的“get、put或delete”等元数据。AHQZ网络取证系统除了随机提供标准的45个剖析器外,还提供给用户若干个可自定义的专用剖析器。地址剖析器可捕获IP地址并转换成实际的地理位置并可通过Google Earth显示。搜索剖析器可以在重组会话的有效载荷中搜索定义的关键词或规则表达式并产生报警信息。


    自定义剖析器是AHQZ网络应用数据分析系统交给用户的最为强大的应用程序开发分析包,是“元数据流”引擎的关键部件。拥有了这个开发工具,任何用户都可以通过XML语言动态配置如何识别新的应用以及提取什么数据用于分析。这使AHQZ用户可以立即定制和扩展其分析能力。这种处理的灵活性对于承载繁重应用的网络、私有协议和无法被一般的入侵检测系统所探测的威胁至关重要。


  灵活的规则过滤和警报


    AHQZ网络应用数据分析系统提供了网络层和应用层规则,为获取特定数据而创建灵活多样的过滤器。通过保留、过滤或标记,AHQZ可以识别符合特定多个特征或与特定地点或文件名相关联的所有会话并产生必要的报警。您可以迅速发现网络中是否存在异常应用;是否有可疑的后门控制端在操控您网络中的设备;及时发现公司下载了多少种恶意软件;或核查员工的行为是否属于被禁止的范畴。


  支持威胁信息的导入


    利用外部的或第三方提供的、基于IP地址的实时情报,来实时更新AHQZ网络应用数据分析系统的规则或剖析器,随时应对不断变化的威胁,做到动态地防范安全风险。
可靠的并可升级的捕捉架构。


    针对分布式网络环境,AHQZ可灵活组合,实现跨越任何环境的统一架构。网络取证系统的核心是多个高速处理的服务器产品,即由“解码器”和“集中器”建立的“一次记录/多次重新使用”的分布式数据包捕捉结构。系统中的网络应用数据分析仪和报告通知器可以查询和请求网络数据,进行交互式地威胁分析并对实时事件、威胁、异常、配置混乱、违背法律法规和其他恶意或无意行为产生定制报告。这种分布式系统适合银行保险、政府机构、安全防范、军队、电信、跨国企业等这些高带宽、大数据通信量的行业的安全防范和攻击取证。

 

三、 AHQZ网络应用数据分析系统用途


    AHQZ网络应用数据分析系统是一种全新的网络应用数据分析系统,它完全不同于任何以往的网络分析手段,它以立体的、关联的角度分析网络异常行为,包括病毒、木马、后门程序、黑客入侵、数据泄漏等。不但可以极快地发现已知的网络威胁,而且还可以分析未知的安全威胁,是网络安全领域必备的新工具。

  使用网络取证系统捕捉到的一些违规行为的列表,如:

  • 合作伙伴间的Email往来没有使用TLS(Transport Layer Security )
  • 明文FTP不使用SSL/FTP或SSH/FTP
  • 能够检查可以明文传送但却使用PGP或S/MIME加密有效载荷的FTP或Email通信
  • 针对SMB、NetBIOS、SMTP、IMAP4、POP3、FTP、Telnet、HTTP的任何明文密码
  • 改变控制审计重组Telnet和TFTP会话
  • 没有加密的公司即时消息
  • 客户的个人识别或账号信息发生非授权传递。例如使用NetWitness NextGen Investigator的内容搜索功能可识别这些业务。

  检查数据库安全


   由于多数规模较大的企业依赖数据库实现电子商务的动态内容查询以及内部数据和客户数据的记录保存,因此为防止安全侵害/违规,主动和持续地监测与数据库有关的网络行为变得非常重要。


    AHQZ网络应用数据分析系统建立了一套详细的、独立于数据库程序命令和调用的记录,直接关联数据库的行为给用户。


  内容泄漏和内部调查


     数据泄漏保护(DLP)和内容管理(CMF)产品的厂商已经很多了,但他们真正为您所做的却非常有限。按照市场研究公司Forrester的统计,有85%使用内容过滤技术的单位,因所关心的问题比如误报无法解决,以及担心合法的业务流量被过度复杂或过于简化的过滤器所中断而没有实施成分过滤技术。这些产品中嵌入的内容回顾技术会因其系统严格限定的协议分析数量而受到阻碍,而产品如果有缺陷,内部或外部的敌人将使用标准的业务通信方法,比如Web、email和聊天软件等作为主要工具将数据泄漏出网络。绕过这些控制非常简单,甚至对用户而言仅是简单的技术培训。

    如果您关心保护公司数据和防止数据泄漏,唯一可信的方法是通过捕捉所有网络流量并在应用层重建网络会话来实现自动报警和监视、交互式分析和回顾,防止数据离开网络。

  事件响应&恶意软件探测


     虽然在事件响应中基于签名的方法扮演了重要的角色,但在漏洞检测中却有局限性,因为它们是依赖于已知模式的发现。尽管网络攻击在网络流量上很明显,但其中多数都可以躲避IDS和统计学上的异常行为检测(NBAD)系统所用的模式和签名匹配技术。一旦进入网络内部,恶意代码会自由转化成程序代码,非常近似于您单位中所用的正常应用,如DNS、SNMP、HTTP、或微软、Yahoo和Google的私有协议。最终结果是您的事件响应小组可能会视而不见非常严重的恶意行为并致信息泄漏。

  AHQZ网络应用数据分析系统在事件响应处理中扮演了重要的角色:

    AHQZ网络应用数据分析系统可以最终回答那些不确定的问题,告知网络真正发生了什么事情。当事件响应小组收到有关网络问题的报警时,他/她可以快速、容易地使用NetWitness Investigator可直接访问与所发生事件相关联的实际网络流量,调查网络和应用层事件的内容和前后关系,缩短解决问题的时间并给出确定的答案。是什么流量触发了签名?目标系统如何响应且是否危及安全?其他系统受到什么牵连?什么技术企图跨越签名而被触发报警并且已经探查了其他哪些系统的信息?

    超出您目前的安全投资所能提供的保障,NetWitness Informer(通知者)是一款可以自动产生报告和报警的应用程序,特别适合分析各种黑客和与恶意软件有关的网络流量,而对于这些问题IDS和目前其他基于网络的对策是不可见的,比如低流量且慢速的攻击、信标流量、缓冲器溢出攻击以及很多基于协议(如IRC、DNS、P2P隧道流量等)的应用层攻击。

四、AHQZ网络应用数据分析系统各部分功能简介

  • 解码器

    解码器是AHQZ网络应用数据分析系统统架构的基础,也是企业级网络数据记录解决方案的关键部分。解码器是一个实时的、可分布的、可配置的64位Linux网络流量捕捉硬件设备,使用户能以无限的规模采集、过滤和分析全部网络流量。

  • 集中器

    AHQZ网络应用数据分析系统的集中器是一个基于Linux的网络硬件设备,它可以跨越多个网络数据捕捉地点合并全面的网络和应用层细节。为使网络监视解决方案变得有效,需要跨越所有捕捉地点进行同步。另一方面,集中器还扮演着创建索引的角色,这是提供快速访问海量存储数据的基础。

  • 应用分析器

    AHQZ网络应用数据分析系统的应用分析器是基于Windows的应用软件,针对AHQZ架构捕捉和重组的原始数据,提供快速、高效的自由形态的前后关联分析。应用分析器可以让您以全新的方式审视您的网络。

  • 报告通知器

    AHQZ的报告通知器是一款革命性的网络报告和报警软件。它超越了市场上传统的网络报告和报警产品,因为它不仅仅简单地依赖日志文件、netflow(网络流)或其他有限的数据集产生报告。报告通知器使用AHQZ系统捕捉和重组的全面的网络流量,来提供针对网络上的事件、威胁、异常、混乱配置、违反法律法规要求以及其他恶意的或善意行为的实时浏览。报告通知器是一款全交互式的、直观的、基于web的报告引擎,其结构特点可以使任何水平的用户不借助专家程序或外部帮助即可创建想要的报告。

五、提供数据的方式


    根据用户提出的数据源数量较多,且极为分散的特点,如果采用在每个数据源处均放置一个解码器进行数据采集的方案,会因为硬件投资过大而变得不现实。因此我们建议采用方案示意图中给出的两种数据源的提供方式,将数据引入到解码器。


  方式一:交换机镜像

    在智能交换机上一般都具有端口镜像功能,可以将被监测的端口流量(发送、接收或双向)拷贝至镜像端口,供分析设备采集流量数据。因此如果用户的数据源虽然较多,但相对集中在某地(如服务商的数据机房)时,可以采用此种方式,在交换机上进行相应设置,将多个低带宽端口(如2M、4M、8M或10M)的流量合并镜像至一个100M或1000M镜像端口上,再引入给解码器。


  方式二:汇聚TAP方式


    在线汇聚TAP(分路器)是一种有源(适用于双绞线连接)或无源(适用于光纤连接)硬件设备,可以串接入两个连接设备之间,取得发送和接收线对的数据并汇聚成完整的全双工流量,提供给数据采集设备。由于数据输出端采用旁路设计,不会因为断电或自身原因中断被测链路的正常通信。如果用户数据源较多,可以使用多级汇聚的方式,将多个低带宽端口(如2M、4M、8M或10M)的流量汇聚至一个100M或1000M的TAP上输出给解码器。

 

六、方案配置


  方案一:千兆网络流量取证系统

  • 方案说明:包括1000M解码器、1000M集中器、应用分析器和报告通知器。
  • 型号:AHQZ-1000
  • 报价:3506000(元)


  方案二:百兆流量网络取证系统(完整版)

  • 方案说明:包括100M解码器、100M集中器、应用分析器和报告通知器。
  • 型号:AHQZ-1008
  • 报价:1760000


  方案三:百兆流量网络取证系统(简约版)

  • 方案说明:方案二配置集成式100M解码器和应用分析器,不配备报告分析器。集成式100M解码器将解码器和集中器的功能集于一身,优点是设备体积减小,价格相对单独的解码器加集中器便宜;缺点是整体处理性能会下降。方案三的整体价格要低于方案二,但是由于方案三没有配备报告分析器,不能自动的出具测试报告,所以需要更多的人工分析,分析速度和直观性上和方案二会有一些差距。
  • 型号:AHQZ-1008-J
  • 报价:1174000

  方案四:十兆流量网络取证系统

  • 方案说明:方案四只针对网  络总流量小于十兆的网络系统。它集成解码器、集中器以及分析器集,不配报告分析器。优点是更有针对性,设备体积小,价格便宜。
  • 型号:AHQZ-1025
  • 报价:380000

 

  详情请咨询安恒公司:010-88018877

责任编辑: admin