網(wǎng)絡(luò)安全威脅感知系統(tǒng)
1,、產(chǎn)品概述
近年來,,互聯(lián)網(wǎng)在我國發(fā)展迅猛,已經(jīng)成為我國政治、經(jīng)濟(jì),、文化,、軍事等諸多領(lǐng)域重要的信息基礎(chǔ)設(shè)施,。同時,,網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,網(wǎng)絡(luò)安全威脅越來越多樣化和高級化,。2005~2007年網(wǎng)絡(luò)安全威脅主要為病毒和蠕蟲,,以破壞為主,更多的是黑客炫耀自身技術(shù)的個體攻擊,;2007~2009年新增的主要網(wǎng)絡(luò)安全威脅是間諜軟件和僵尸,,為有組織的黑客團(tuán)體以竊密,、拒絕服務(wù)攻擊為主的網(wǎng)絡(luò)犯罪,體現(xiàn)出趨利性,。而2011年以來主要威脅是APT和零日漏洞攻擊,、隱形僵尸網(wǎng)絡(luò)、特種變形木馬等等,,為國家之間的高級可持續(xù)性攻擊(APT)和網(wǎng)絡(luò)戰(zhàn)爭,,更多體現(xiàn)出政治性,網(wǎng)絡(luò)安全已經(jīng)上升為國家核心戰(zhàn)略,。
網(wǎng)絡(luò)安全關(guān)口監(jiān)測系統(tǒng)部署在重要部門關(guān)口,是具備報文監(jiān)測,、流監(jiān)測,、網(wǎng)絡(luò)異常通信行為分析、惡意代碼監(jiān)測等多種安全監(jiān)測能力和多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析能力的一體化網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),,可與CNCERT安全云之間協(xié)同工作,,實(shí)現(xiàn)高、低位聯(lián)動監(jiān)控,;通過對關(guān)口流量進(jìn)行監(jiān)測,、分析、告警,、日志留存,、網(wǎng)絡(luò)審計(jì),可及時發(fā)現(xiàn)木馬與僵尸網(wǎng)絡(luò)惡意活動事件,、惡意代碼感染與傳播事件,、網(wǎng)絡(luò)失泄密事件,并可以通過分析異常通信行為預(yù)警未知安全威脅,,支持對歷史事件和明細(xì)數(shù)據(jù)的快速查詢,,從而保障重要用戶關(guān)口的安全。
2,、產(chǎn)品特點(diǎn)
2.1 更全面的檢測模型
CNCERT產(chǎn)品的檢測模型是誤用和異常檢測相結(jié)合的混合模型,,重點(diǎn)對木馬、僵尸網(wǎng)絡(luò)感染后的網(wǎng)絡(luò)通信行為進(jìn)行分析,,采用的是通信行為特征簽名和無簽名技術(shù),;不僅提供實(shí)時檢測技術(shù)手段,而且針對特種木馬的間歇性心跳行為等還提供離線檢測手段,??梢园l(fā)現(xiàn)未知威脅,漏報率低,;且工作模式是協(xié)同檢測模式,,安全事件會上傳到CNCERT安全云進(jìn)行分析判定,,誤報率低。
2.2 具備全方位,、多維度的檢測能力
關(guān)口監(jiān)測系統(tǒng)具備全方位,、多維度的檢測能力,主要體現(xiàn)為已知攻擊的監(jiān)測能力,、未知威脅的預(yù)警能力和APT的取證分析能力,,與現(xiàn)有安全監(jiān)測產(chǎn)品僅能發(fā)現(xiàn)已知攻擊相比,實(shí)現(xiàn)了檢測能力的階梯跨越式提升,。
2.3 具備多元異構(gòu)數(shù)據(jù)的融合分析能力
在全階段檢測的基礎(chǔ)上,,依靠CNCERT安全云的大數(shù)據(jù)存儲、挖掘與分析能力,,對特征事件,、惡意代碼、異常事件和URL記錄,、域名記錄,、NetFlow的元數(shù)據(jù)進(jìn)行深度關(guān)聯(lián)分析和回溯分析,可以還原攻擊的全過程,。
2.4 實(shí)時獲取國家級的知識庫
關(guān)口監(jiān)測系統(tǒng)可實(shí)時從安全云獲取最新,、最權(quán)威的國家級知識庫,包括:攻擊特征規(guī)則庫,、通信異常行為特征庫,、惡意代碼特征簽名庫、僵尸網(wǎng)絡(luò)CC庫,、黑名單庫,、漏洞庫、全局白名單庫等,。
2.5 建立端云協(xié)同的閉環(huán)式安全監(jiān)測響應(yīng)體系
關(guān)口監(jiān)測系統(tǒng)與國家安全云實(shí)現(xiàn)高低位協(xié)同聯(lián)動,,構(gòu)建網(wǎng)絡(luò)安全監(jiān)測、分析,、溯源,、響應(yīng)、展示和處置一整套安全監(jiān)測響應(yīng)體系,。
3,、功能價值
4、典型方案
典型部署方式如上圖所示,,關(guān)口監(jiān)測系統(tǒng)部署在通過交換機(jī)鏡像(或者分光)的方式將內(nèi)網(wǎng)核心交換機(jī)的流量和DMZ區(qū)的流量接入關(guān)口監(jiān)測系統(tǒng)的捕包網(wǎng)卡,。關(guān)口監(jiān)測系統(tǒng)通訊網(wǎng)卡需要接到外網(wǎng)匯聚交換機(jī)上,并可以通過防火墻設(shè)置訪問外網(wǎng)的權(quán)限,。
