2006年7月刊

刊　首　语

东软安全：精彩仍将继续
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：路娜　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　随着用户对安全管理产品与服务日益增长的需求，东软安全的技术创新能力正在接受巨大的考验。7月东软安全中最忙碌的要数安全服务团队了。面对中国电子行业知名品牌TCL以及天津烟草等用户的需求，东软安全的创新和服务能力正在不断的放大。7月东软安全携刚刚荣获的2006年中国国际软件博览会NetEye防火墙金奖和4月发布的三款高端安全管理产品积极参加国家信息安全发展规划的论坛；国家等级保护发展论坛；全国中小企业信息安全论坛；东北物流信息化发展等信息安全研讨会议。

　　当7月快要结束的时候，东软安全迎来了2006年第二季度CCID中国网络安全产品市场分析报告，东软NetEye在中国网络安全市场品牌以7.7%继续排名第一，东软NetEye防火墙继续以14.8％的市场占有率高居榜首，而入侵检测系统持续保持中国品牌三甲地位，东软NetEye继续成为在防火墙和入侵检测两个领域的领跑中国网络安全市场的厂商。

　　我们相信东软安全人拥有会当凌绝顶，一览众山小的胸怀，我们也相信东软安全接下的故事将更加精彩。

返回目录

　 异常流量分析&响应系统与类似产品技术的比较

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：姚伟栋

　　异常流量分析与响应系统主要用于骨干网络的监控检测和分析，通过对骨干网络流量信息和系统信息的收集，采用多种方法进行分析、检测，实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件，提取异常特征，并启动报警和响应系统进行过滤、阻断和防御。那么异常流量分析与响应系统的与类似产品相比又有哪些技术亮点，以下将予以简要阐述。

　　一、什么是异常流量分析

　　1.1 异常流量分析技术概念

　　异常流量分析(Traffic Analyzer & Response System)技术是一种流量检测及分析技术，并有机结合了传统网络管理部分功能，主要面向运营商承载网络或大型行业用户骨干链路中的TCP/IP流量进行定性分析并报告当前流量分布中的异常情况。异常流量分析技术采用旁路式流量摘要提取技术，通过对帧数、帧长、协议、端口、标志位、IP路由、物理路径、CPU/RAM消耗、带宽占用等直接特征的监测，基于时间、拓扑、节点等统计分析手段，建立现行流量分布数学模型(Current Traffic Pattern)，并结合已知模型(Unified Traffic Pattern)进行实时比对分析，以期发现统计意义上的流量分布异常情况亦即流量图式偏离(Pattern Deviation)。

　　针对每种比对结果，异常流量分析系统都力争将其落在已知的异常流量模型(Abnormity Model)范围中，并以此给出告警解释或进一步提供智能化的策略响应。

　　以上所提及的各类流量模型是异常流量分析系统的运算工具，而系统的工作对象是目标系统的流量特征数据。

　　同时，异常流量分析技术体现出更多的网络管理职能色彩，例如网络接入控制、IP路由导出及策略路由注入、CAM信息检索、网络拓扑发现、网元性能监控等，使之功能不再局限在针对特定信息资产的被动防护安全范畴，而逐渐形成着眼于全网带宽资源、网络访问行为统计分布、网元状态及性能等网络基础特征的监测分析并最终提供有效的服务质量保证支撑手段。

　　1.2 异常流量分析系统架构

　　1.2.1 功能模块

　　作为一种流量分析系统，异常流量分析技术在架构上通常分为流量收集、特征提取/建模、模式分析、策略响应多个功能模块，而在工程实现中主要以收集器+控制器两部分物理实体的组成结构。

　　　　>　收集器(Collector)：主要完成流量收集及特征提取/建模两部分职能。该部分属于系统的低层模块，
　　　　　是系统面向网元设备的接口单元并进行数据上收和格式转换、特征提取等预处理操作，处理逻辑较为
　　　　　简单。该部分对系统整体的影响主要反映在协议支持数量和处理性能两方面；
　　　　>　控制器(Controller)：主要完成模式分析、策略响应并最终提供人机交互GUI界面。控制器
　　　　　 Controller是异常流量分析系统中逻辑运算高度集中的单元部分，在收集器上报数据的基础上进行行
　　　　　为判别及智能响应职能。该部分对系统整体的影响主要存在于行为判别准确性、策略响应AI机制和人
　　　　　机交互友好程度几个方面。

　　1.2.2 产品实现

　　由于异常流量分析系统庞大的复杂逻辑运算特点以及频繁的实时升级更新需求，系统通常采用经充分优化、加固的高端通用工作站硬件平台，并依赖软件系统实现其全部逻辑。

　　无论Arbor PeakFlow、东软NTars或者GenieATM，异常流量分析技术的产品实现均采用了Collector与Controller合并在一套硬件系统中的整机灌装形式，系统将通过许可证管理和管理员配置而按需切换至Collector、Controller或者Collector + Controller的工作状态。

　　依赖于Collector与Controller的组合优势，异常流量分析系统能够平滑实现从行业客户网络到大型运营商承载网络的升级扩容。Controller将作为统一的管理分析单元同时实现对多个Collector流量模型的分析和告警，并提供集中、一致的报警处理界面。

　　1.2.3 部署方式

　　异常流量分析系统可以采用两种部署方式：

　　　　1) Collector + Controller合二为一的单机部署方式。该方式可满足大部分行业用户和运营商网络的流
　　　　　量检测需求，异常流量分析系统将在一套硬件体系中合并实现Collector和Controller两种职能；
　　　　2) Controller + N*Collector的分布式部署方式。在该方式中，异常流量分析系统将按照“一拖多”的
　　　　　方式，由1台Controller管理多个Collector系统，多个Collector相互独立，可广泛分布在网络中各关
　　　　　键节点周围进行数据采集/抽样和建模，并向Controller提交流量统计信息。Controller将作为统一控
　　　　　制系统对所有Collector的流量信息进行集中分析和处理。对于超大型运营商承载网，该方式可通过多
　　　　　层次、分布式的结构满足对多个路由设备、总流量高达数百G bps的骨干链路提供实时流量分析和异常
　　　　　检测，并且抽样率不低于1/100；

　　　　3) Collector可以就近部署在检测目标设备周边，采用标准的NetFlow、SNMP、Cflowd、Sflow等协议完
　　　　　成数据采集。Controller一般可选择部署在网管网段机房位置，从而便于分析操作和数据库维护等。

　　异常流量分析系统在网络中采用何种部署方式通常取决于以下几个因素：

　　　　a) 网络规模所决定的检测目标链路总Session数量；
　　　　b) Flow抽样率；
　　　　c) 异常流量分析系统的处理性能；
　　　　d) 检测目标设备的物理/拓扑位置；
　　　　e) 异常流量分析系统与目标设备之间的带宽状况。

　　1.3 相关技术依赖条件

　　异常流量分析系统面向超大型网络骨干链路提供实时监控分析的目标定位，决定了其不可能采用传统检测系统(如IDS)常用的数据收集方式(SPAN)，而且系统所覆盖的网络管理部分功能也决定了其必须引入网元状态监控机制。因此，异常流量分析系统需要检测目标网元提供更多的协议支持，如：

　　>>>查看全文

返回目录

　 NetEye IPS邮件安全防护技术及应用

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：阎锋

　　一、邮件安全所面临的挑战

　　邮件安全可以划分成两个层次：邮件服务器自身的安全性（防止服务器本身被入侵、破坏或DDOS攻击）和邮件的安全性（阻止垃圾邮件、过滤敏感信息、过滤病毒等）。由于电子邮件己成为当今世界上使用最频繁的通信工具，因此邮件系统和服务日益成为黑客关注的目标，他们不断寻找新的攻击方法，以期入侵、破坏和利用邮件系统和服务，达到各种非法目的，如窃取机密、发送垃圾邮件、散播反动言论等等。

　　在不断公布的漏洞通报中，邮件系统的漏洞是最普遍的一项。黑客常常利用电子邮件系统的漏洞，结合简单的工具就能达到攻击目的。那么东软NetEye IPS是如何防御针对邮件服务和系统的攻击的？又有哪些独特的技术优势呢？下面为您做一个简要介绍。

　　二、 NetEye IPS邮件安全防护引擎功能介绍

　　NetEye IPS的邮件安全防护引擎既可以在保证邮件服务器自身的安全性方面发挥作用，也可以对邮件进行过滤和检查，过滤敏感信息。

　　　　1. 保护系统漏洞。针对很多邮件服务器自身存在的安全漏洞，NetEye IPS提供了针对漏洞的NEL防护攻
　　　　　击规则，可以防止黑客利用邮件服务器的安全漏洞入侵并控制邮件系统，有效保护邮件服务器安全。
　　　　2. 实时监视电子邮件流量，防止恶意邮件攻击。NetEye IPS邮件安全防护引擎能够实时不间断的监视电
　　　　　子邮件流量，这对于防止黑客利用电子邮件访问内部系统是至关重要的。通过邮件安全防护引擎与
　　　　　 NEL规则库的协同工作，可以智能识别用户名单探测攻击、口令探测攻击、空邮件攻击、大邮件攻
　　　　　击、字典攻击、多线程攻击、DoS攻击等各种恶意攻击行为，包括一些不符合协议规范标准的未知攻
　　　　　击，并可以自动阻断攻击源IP。
　　　　3. 敏感内容过滤。NetEye IPS邮件安全防护引擎允许用户设置内容过滤规则，对进出网关的邮件信息以
　　　　　及附件进行智能过滤和监控，包括正文内容、标题、附件类型和大小、附件内容、收信人和发信人
　　　　　等，可以确保公司机密信息不被泄漏，并有效防止对邮件系统的滥用行为。此外，NetEye IPS邮件安
　　　　　全防护引擎支持功能强大的“正则表达式”，除了NetEye提供的用于敏感内容过滤的NEL规则库外，
　　　　　用户还可以自定义NEL规则库，真正满足不同用户的定制化需求。

　　三、基于NEL的NetEye IPS邮件安全防护引擎

　　NEL（NetEye Event Language）是东软自主研发成功的一种通用攻击描述语言，包括NEL语言规范及相应的开发环境。NEL为不同类型的入侵检测防御产品（如网络IDS/IPS、主机IDS/IPS、应用防火墙、应用安全增强模块等）的开发提供了一个具有强大描述能力、高度的可扩展性和很高代码执行效率的语言平台。基于NEL可以定义针对SMTP协议及SMTP服务器防护的NEL规则，我们将简单介绍一下相关规则的函数声明，事件定义和规则内容示例，以便您对NetEye IPS检测和阻断攻击的过程有一个比较详细深入地了解。

　　>>>查看全文

返回目录

　 7月重要安全公告汇编

　　发布日期： 2006年7月攻防小组

　　摘要

　　2006年07，微软、Oracle、Linux等相继发布安全公告，这些公告描述并修复了多个安全漏洞。这些安全漏洞中大部分属于紧急级别，攻防小组对重要的安全公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

　　紧急 (9)

公告标题	Server 服务中的漏洞可能允许远程执行代码 (917159)
摘要	CVE-2006-1314：邮件槽堆溢出漏洞。Server 驱动程序中存在一个远程执行代码漏洞，成功利用此漏洞的攻击者可以完全控制受影响的系统。 CVE-2006-1315：SMB 信息泄露漏洞。Server 服务中存在一个信息泄露漏洞，该漏洞可能允许攻击者查看在传输期间用于存储 SMB 通信的内存片段。
严重等级	紧急
漏洞的影响	成功利用此漏洞的攻击者可以完全控制受影响的系统。
受影响的软件	Windows 2000 Windows XP Service Pack 1 Windows XP Service Pack 2 Windows Server 2003 Windows Server 2003 Service Pack 1
安全建议	微软已发布安全补丁，请及时更新补丁。
临时解决方法	在防火墙阻断TCP 445端口使用个人防火墙，如Windows XP和Windows Server 2003捆绑的Internet连接防火墙。在支持的系统上启用高级TCP/IP过滤功能。在受影响的系统上使用IPSec阻断受影响的端口。

公告标题	DHCP Client 服务中的漏洞可能允许远程执行代码 (914388)
摘要	CVE-2006-2372：DHCP Client 服务中的缓冲区溢出漏洞。
严重等级	紧急
漏洞的影响	成功利用此漏洞的攻击者可以完全控制受影响的系统。
受影响的软件	Windows 2000 Windows XP Windows Server 2003
安全建议	微软已发布安全补丁，请及时更新补丁。
临时解决方法	使用静态 IP 地址要将系统配置为使用静态 IP 地址，请按照下列步骤执行操作： 1.从网络管理员处获得静态 IP 地址 2.依次单击“开始”、“控制面板”，然后单击“网络和 Internet 连接”。 3.右键单击要指定使用静态 IP 地址的连接，然后单击“属性”。 4.选择“Internet 协议 (TCP/IP)”，然后单击“属性”。 5.在“常规”选项卡上，单击“使用下面的 IP 地址”和“使用下面的 DNS 服务器地址”单选按钮。 6.输入您的静态 IP 地址、子网掩码、默认网关和 DNS 服务器。 7.单击“确定”两次。 8.为每个网络适配器重复步骤 3 至 7。 • 禁用 DHCP Client 服务禁用 DHCP Client 服务将帮助防止受影响的系统遭受尝试利用此漏洞进行的攻击。要禁用 DHCP Client 服务，请按照以下步骤执行操作： 1.单击“开始”，然后单击“控制面板 ”。或者，指向“设置”，然后单击“控制面板”。 2.双击“管理工具”。 3.双击“服务”。 4.双击“DHCP Client”。 5.在“启动类型”列表中，单击“禁用”。 6.单击“停止”，然后单击“确定”。您还可以通过在命令提示符处使用以下命令来停止和禁用 DHCP 服务： sc stop DHCP & sc config DHCP start= disabled 临时解决办法会产生的影响：如果禁用 DHCP 服务，则无法自动检索用于与网络进行连接的 IP 地址。

　　>>>查看全文

返回目录

　 东软网络安全应邀出席“十一五”国家信息安全发展规划高峰论坛

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：闫洁

　　近日，由中国信息协会信息安全专业委员会、国家信息中心网络安全部举办的“十一五”国家信息安全发展规划高峰论坛在北京新大都饭店隆重举行。本次大会邀请了业界近300余名的政府主管部门领导、专家学者、行业用户、企业精英共聚一堂、进行研讨。

　　中国信息协会信息安全专业委员会杜链主任、公安部公共信息网络安全监察局张俊兵处长、国家863计划信息安全专家组冯登国组长、信息产业部信息化推进司王宏处长以及网络安全方面的几位老专家分别在论坛上做了报告，从不同角度诠释了“十一五”国家信息安全产业发展战略介绍、国家信息安全法规标准规划及现状、国家涉密系统的分级保护以及国家电子政务外网系统安全保障体系建设方面的各项问题进行了议题演讲和论述。

　　东软网络安全解决方案事业部部长曹鹏演讲

　　东软软件股份有限公司作为网络安全企业的优秀代表首先在大会上发表东软在信息安全领域所做的成绩以及对未来这一市场的展望。东软网络安全解决方案事业部部长曹鹏以《面向未来的安全之道》为题在论坛上重点阐述了东软公司在信息安全领域的经验及面向未来安全保障时代东软网络安全的解决方案。人、技术、管理三大要素自东软公司提出以来已成为网络安全领域重点关注的焦点，在此次论坛上再次强调了这三大要素的关键性，并结合东软网络安全产品为与会者简明扼要地进行了阐述。东软的演讲内容提起了与会者的极大关注和浓厚的兴趣，为信息安全发展规划高峰论坛掀起一轮高潮。东软网络安全的演讲内容不仅在会议上得到了肯定，会后一些政府领导、专家、行业用户纷纷与东软工程师交流、探讨。

返回目录

　 东软成为中国信息产业商会信息安全产业分会副理事长单位

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：李军

　　7月8日，中国信息产业商会信息安全产业分会在北京金马大厦隆重召开2005年年会暨第四届我国信息安全产业政策与发展环境座谈会。来自国务院信息办、商务部等政府有关主管部门，中国信息安全产品测评认证中心、会员单位、行业用户的近百名代表参加了会议。

　　本届会议主要讨论四个方面内容。第一，中国信息安全的商会企业是维护信息化安全与自主创新的主力军；第二、信息安全服务资质管理研究报告；第三、如何扶持和发展我国的信息安全企业和如何贯彻信息安全服务资质管理；第四、针对信息安全企业单位所关心的其它问题进行座谈讨论和专题发言。东软网络安全事业部总经理曹斌博士代表东软公司出席会议，并在会上就产业发展的热点问题与国家有关管理部门的领导及参会来宾广泛沟通与交流。

　　曹斌博士表示： 2005年5月东软正式加入商会，作为商会的重要成员单位在一年多的时间里，东软积极参与商会组织的各项工作，包括信息安全企业标准化联盟的筹建、企业创新项目的立项及发展规划等内容。工作中东软的技术创新、技术研发实力和强大的本地化服务能力均得到商会的重视与认可。本届年会经商会推荐选举东软由成员单位晋升成为商会副理事长单位，这对东软来说是机遇也是挑战，我们深知理事长单位企业将承担更多推进信息安全产业发展的责任与义务。面对挑战，东软愿意在商会的指引下，与业界同仁一道为创造良好和谐的信息安全发展环境，促进产业发展而不懈努力。

返回目录

十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com
沈阳东软软件股份有限公司　网络安全事业部客户服务热线：400-655-6789