技术白皮书铁穹高级持续性威胁预警系统.doc

文档编号-技术白皮书 密 级：【】目 录 版权声明 3 支持信息 4 一. 概述 5 1.1 APT攻击事件频繁 5 1.2 APT攻击中的未知木马 6 1.3 安全面临新的技术挑战 6 二. 铁穹高级持续性威胁预警系统 7 2.1 产品概述 7 2.2 产品架构 7 2.3 产品功能 8 2.3.1 木马识别和发现 8 2.3.2 安全预警 8 2.3.3 资产关联 8 2.3.4 木马追踪和地址定位 8 2.3.5 报表与策略管理 8 2.4 产品特色 9 2.4.1 网络级的木马安全检测 9 2.4.2 基于行为和特征的检测方法 9 2.4.3 强大的木马追踪和地址定位能力 9 2.4.4 强大的未知木马检测能力 9 2.5 关键技术 10 2.5.1 数据镜像和封包重组技术 10 2.5.2 广谱特征码木马监测技术 10 2.5.3 网络异常行为处理和分析技术 10 2.5.4 木马深度追踪和地址定位技术 10 2.6 典型部署 11 2.6.1 单一旁路部署 11 2.6.2 分布式部署 11 三. 应用领域 13 3.1 政府、军工和必威体育官网网址部门 13 3.2 企事业单位和研究院所 13 3.3 金融、证券和其他机构 13 四. 产品规格型号 14 五. 结束语 15  版权声明 权利归属 本文档中的东巽信息—铁穹高级持续性威胁预警系统产品的所有权和运作权等版权法及有关法律规定的权利和一切商业权益均归南京东巽信息技术有限公司（下称DongxunTech），DongxunTech提供的服务将完全按照其发布的本声明以及相关的操作规则严格执行。因DongxunTech铁穹高级持续性威胁预警系统所产生的一切知识产权归南京东巽信息技术有限公司，并受版权、商标、标签和其他财产所有权法律的保护。 其它产品说明 本文档中所提及的所有其他名称是各自所有者的品牌、产品、商标或注册商标。 授权声明 任何组织和个人对DongxunTech产品的拥有、使用以及复制、修改等涉及版权法等有关法律所规定的权利都必须经过DongxunTech书面同意和有效授权。 管理 用户对信息和服务的使用是根据所有适用于DongxunTech的国家法律、地方法律和国际公约或协定。 目的 本声明仅为文档信息的使用，非为广告或产品背书目的。  支持信息 南京东巽信息技术有限公司 电话：025如果您希望得到更多关于东巽产品的报价、产品信息以及技术支持等信息，请您查阅我公司网站：。  概述 随着黑客技术和攻击手段的不断深入，近年来出现了一种新型网络攻击思想—APT攻击，它改写了网络安全游戏规则的攻击行为，组织严密、目标明确、手段高超、危害巨大，其受害者中不乏大型企业，国家机构。我国的政府、军工、必威体育官网网址机关、企事业单位和研究院所，也正遭受着频繁的APT攻击。 APT攻击事件频繁 从针对Google等公司的极光攻击（2009年）、Stuxnet病毒攻击事件（2010年）到McAfee公司公布的针对西方能源公司的夜龙行动（2011年）、RSA SecureID遭窃取事件（2011年），以及近期的针对韩国金融和政府机构的遭受的网络攻击（2013年），APT攻击已经为人们所熟知。 APT（Advanced Persistent Threat）高级持续性威胁针对特定组织所作的复杂且多方位的高级渗透攻击APT事件中，社交攻击、0day漏洞利用、物理摆渡等方式层出不穷，防不胜防。 针对性强 APT攻击的目标一般是经过精心选取，具有很强针对性。一旦选定，一般不会改变，攻击者会尝试不同攻击技术、攻击手段不达目的决不罢休。 攻击持续时间长 APT攻击分为多个步骤，从信息搜集到信息窃取往往要经历几个月甚至更长时间。 正是APT攻击所体现出的上述特点，使得传统的防御方式难以有效发挥作用，造成攻击事件频发。 APT攻击中的未知木马 从众多的APT攻击事件中可以发现，攻击的远程控制多采用未知木马，而未知木马均具有超强的免杀、穿透、隐藏能力，传统的网络级安全产品，如防火墙、入侵检测、UTM、防毒墙、反垃圾邮件、WAF等产品，无法检测出未知木马。随着未知木马技术的成熟，已经形成下载、控守、驻留等多种不同用途的未知木马。正是这种未知木马程序的长期潜伏和驻守在对方的目标网络和主机中，不被检测和发现，威胁着整个网络安全。 因此，如果能够及时识别发现未知木马行为，就能够有效防御APT攻击。 安全面临新的技术挑战 东巽科技作为国内网络安全技术领导者，长期对网络攻防技术进行研究，已经形成了成熟的网络攻防理论方法，建立了立体的防御网络攻击技术体系，有责任承担保卫国家信息安全的重任。经过深入剖析APT攻击过程，了解APT攻击特点，探索出一套针对APT攻击的防范方法，通过在网络层加强对未知木马