文档介绍:: .
安全解决方案的使命就是在传染、控制途
径,特定的网络流量时间走势和流量分布会发生明显的变化,这是作为网络流量异常的
典型特征。
在 IP 骨干网进行流量异常检测,相当是在一个高位上建立宏观监测的机制,其监测
分析结果就具有典型代表性。
启明星辰最新推出天阗流量异常监测系统可以对 1G-16G 的高速网络进行全面的流
量监测。
天阗流量异常监测系统是三层分布式结构,由管理控制中心、流量监测中心、流量
监测引擎(流量异常监测阵列引擎)组成。
通过流量检测,描绘出连续的流量曲线,可以发现异常安全事件的突然爆发。通过对定义关注的恶意流量特征,描绘出连续的事件流量分布曲线,可以发现由于
安全事件(特别是蠕虫)发生带来的附加流量等在网络中分布变化趋势。
基于滑动时间窗置信区间的自学习异常发现功能能够通过对一个时间窗(包括系统
默认时间窗口,如:24 小时自动滑动窗口模型,和用户自定义滑动时间窗口)内历史
数据的自动学、流量波动、流量跳变等在内的多种网络
流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础,在实际运行中
不断自我调整、逼近,最后自动剔除历史时间窗内的异常历史数据,实现历史时间窗数
据与网络实际正常流量行为特征的高度吻合,从而可以提高对异常流量报警的准确性。
因此,通过在骨干网络层面对各种异常进行分析,就有可能在各种安全事件爆发前,
从事后到事前、从被动到主动、从预警到保障地建立安全事件反应机制。
帮助用户建立的正常流量模型,在第一时间迅速发现网络流量的异常,并研究其原因,
做出及时而准确的流量异常报警和安全响应;
帮助用户研究和发现网络攻击和蠕虫病毒的发生发展的规律,估计可能造成的影响、
发生的范围,从而研究相应的防范对策。
2、建立全面的入侵检测和漏洞扫描体系,及时发现安全问题和建立预警、应急措施
在整体的宏观网络安全中,依靠安全策略的指导行必要的系统防护有积极的意义。
但是,随着技术的发展,网络中新的安全事件和安全漏洞会不断出现,带来新的安全风
险。在攻击与防御的较量中,监测(Detection)是处在一个核心的地位。在实时监测中,
入侵检测和漏洞扫描系统是目前最为主要的一个广泛应用的技术和管理手段,用来对网
络中的入侵事件的监测采集和安全漏洞的分布统计,以及时调整安全策略和修补防护。
对于电信运营商来说,入侵检测和漏洞扫描系统属于跨地区的广泛部署。因此在管
理上需要采取集中监测、分级部署的方式。各个点的入侵检测系统和漏洞扫描通过自带
的管理软件进行配置和本地区的事件监测,同时将各地产生的事件上报,形成集中的安
全报告。
启明星辰天阗入侵检测与管理系统可以统一管理入侵检测和漏洞扫描系统,结合地
理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵
威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响
应。
因此,通过建立全面的入侵检测和漏洞扫描体系实施,将实现以下目标:
(1)建立全网统一策略的大规模入侵检测体系
(2)建立全网网络和应用系统漏洞扫描机制和漏洞扫描监测体系
(3)建立全网对于重大潜在攻击和破坏源的预警体系
(4)逐步建立网络应急响应体系
3、安全管理需要技术支撑管理平台---安全监测平台
安全管理从三个层面考虑:信息资产、安全相关设备和系统、安全监测平台系统。信息资产指电信运营商的的 IP 骨干网络及各承载业务平台,包括服务器和工作站、
网络设备、数据库系统、各种应用业务系统等。
安全相关设备和系统包括为保证电信运营商各信息资产的安全,部署到各个网络、
系统的防火墙、入侵检测设备、防病毒系统、访问控制系统等。
安全监测平台采取集中管理的方式,在更高的层面上接收来自安全相关设备或者系
统报送来的各种安全事件,同时也支持从信息资产直接采集其自身产生的各种和安全有
关的日志。在集中收集到各种安