1 / 15
文档名称:

IT安全态势感知解决方案.docx

格式:docx   大小:197KB   页数:15页
下载后只包含 1 个 DOCX 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

分享

预览

IT安全态势感知解决方案.docx

上传人:书犹药也 12/6/2022 文件大小:197 KB

下载得到文件列表

IT安全态势感知解决方案.docx

相关文档

文档介绍

文档介绍:该【IT安全态势感知解决方案 】是由【书犹药也】上传分享,文档一共【15】页,该文档可以免费在线阅读,需要了解更多关于【IT安全态势感知解决方案 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。IT安全态势感知解决方案
通信世界网消息(CWW) 信息安全目前越来越受到注重,“棱镜门”事件爆发后,信息安全不仅引起了公司领导的注重,更引起了国家领导人的广泛关注。在这种背景下,公司无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。
这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还涉及目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最新袭击的特性的,如抗回绝服务系统,高档持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了公司的防护屏障,从多种不同的角度满足了公司的安全防护需求。
但是,袭击者与安全运维人员的对抗是永无止境的,有了一种防护技术,就会浮现针对性的袭击技术。越来越多的袭击者会在发起袭击前,会测试与否可以绕过目的网络的安全检测,因此会使用新型的袭击手段,零日威胁、变形及多态等高档逃避技术、多阶段袭击、APT袭击,这些新的袭击方式,即是所谓的新一代威胁。由于它们是老式安全机制无法有效检测和防御的,因此往往会导致更大的破坏,成为目前各方关注的焦点。
然而,无论是老式的安全袭击,如DDoS、溢出袭击、僵木蠕等,亦或是先进的APT袭击,所有的袭击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中,形成一种个的信息孤岛,每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中,公司中的安全管理人员难以发现。安全事件都是在发生后,数据在网络上广为流传后公司才会发现曾经有过安全事件,但具体的时间、形式都难以察觉。
绿盟安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据,可精确、高效地感知整个网络的安全状态以及发展趋势,从而对网络的资源作出合理的安全加固,对外部的袭击与危害行为可以及时的发现并进行应急响应,从而有效的实现防外及安内,保障信息系统安全。
建设目的
绿盟科技安全态势感知平台的建设,目的是达到如下目的:
,并溯源;
;
;
,并溯源;
;

建设原则
(一) 体系化设计原则
基于信息网络的层次关系,遵循先进的安全理念,科学的安全体系和安全框架,各个构成部分推荐均符合现代信息技术发展形势,满足将来多种应用分析APP对安全态势感知平台的规定,提供针对多种已有数据源的接口支持。
(二) 扩展性原则
系统具有良好的扩展以及与其他应用系统的接口能力。产品具有良好的扩展性,可以迅速响应需求的扩展,满足顾客的进一步需要。
(三) 开放性,兼容性原则
多种设计规范、技术指标及产品均符合国际和工业原则,并可提供多厂家产品的支持能力。系统中所采用的所有产品都满足有关的国际原则和国标,是开放的可兼容系统,能与不同厂商的产品兼容,可以有效保护投资。
(四) 安全性原则
系统开发、建设及维护的全过程中,在代码安全、数据保密、系统安全防护措施上采用较严格的措施,进行缜密的权限、身份、帐号与信息加密管理,接受其她安全系统如统一身份认证系统、安全监控管理系统的管理,以保证系统和数据的安全。
(五) 管理、操作、易维护性原则
随着信息系统建设规模的不断扩大,系统的可管理性已成为系统能否实行的核心,系统为顾客提供可解决问题并易于管理的系统。贯彻面向最后顾客的原则,安装简便快捷,具有了和谐的顾客界面,操作简朴、直观、灵活,易于学****和掌握,支持在线功能协助。
绿盟安全态势感知平台分为数据采集层、数据解决层、应用分析层和呈现层。
数据采集层:获取与安全紧密关联的海量异构数据,涉及网络flow流数据、安全设备的监测日记数据、资产的漏洞信息、配备信息等;此外还可采集歹意样本及威胁情报等有关数据。通过绿盟A接口或flume-ng将数据源的接入、收集及转发。
大数据解决层:涉及数据的传播、解决、存储及服务,数据经数据采集传感器进入大数据解决层,在数据存储之前会通过1~2次的数据清洗,用来进行数据增强、格式化、解析,数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供应APP用来搜索和分析使用。
应用分析层:运用大数据解决层提供的数据即时访问接口,建立相应的安全分析模型、并运用有关机器学****算法,逻辑实既有关应用分析APP。
呈现层:提取应用分析层输出的有关数据,实现APP统一的可视化呈现。
采用大数据的底层架构,实现异构数据采集、存储、计算。对于HBase、Hive等大数据组件的深度整合,满足网络安全中对于数据有效性、数据完整性、数据及时性的约束规定。采用自主开发的数据路由功能,实现对于不同数据源的区别解决。以底层为基本,实现自主可控的系统架构。
各类设备的日记信息和分析成果通过A接口导入安全态势感知平台。导入安全态势感知平台的数据通过ETL(Extract-Transform-Load,数据抽取、清洗、转换、装载)存入
数据存储单元。元数据是数据转换ETL的方略和根据,同步元数据还会给通用数据访问接口提供访问控制约束。
Kafka队列作为数据传播的一种存储通道,数据获取层和数据应用层之间的缓冲带,同步可作为某些业务逻辑解决的存储通道,如实时告警。
数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库,分别提供应WEB应用用来搜索和分析使用。
前端的多种WEB应用通过多维分析服务、查询报表服务、数据挖掘服务等形式的服务使用通用数据访问接口访问存储的数据,最后实现基于异构多维数据的安全分析。
多种WEB应用的分析成果可通过统一呈现门门户做二次统一汇总分析并做呈现。
组网部署设计
绿盟安全态势感知平台部署在公司内网,在内网的各核心路由器上部署网络入侵态势感知传感器,镜像所有网络流量,网络入侵态势感知传感器将获取的网络流量转化成Netflow,通过管理口发送给DDOS态势感知传感器做流量检测;通过FTP、POP3、SMTP合同还原,将过滤出的文献发送给APT袭击态势感知传感器做歹意文献检测。各传感器最后将检测得到的数据汇总到态势感知平台进行分析,并通过相应APP进行可视化呈现。
其总体部署架构如图3所示。
方案能力
网络入侵态势感知
网络入侵态势感知是国际上公认的难点,核心是海量日记的挖掘和决策支持系统的开发,发达国家这方面的研究比较领先。通过近年的研究,提出“基于对抗的智能态势感知预警模型”,解决海量日记挖掘的工作。吸取国外出名的kill chain击杀链和attack tree袭击树的有关研究,形成推理决策系统,借助大数据分析系统的分布式数据库,可以实现决策预警,真正的为公司服务。
众所周知,IPS/IDS重要是基于袭击特性规则进行检测(绿盟科技IPS/IDS规则库拥有6400条规则),即IPS/IDS每次匹配到具有袭击特性数据包便产生一次袭击告警,1G流量下可产生120万条袭击告警。而老式的日记分析系统只会归并同规则事件的告警(部
分IPS/IDS自身也支持),1G流量下可归并至12万条告警日记,意味着归并后运维人员还需要面对12万条告警日记!如图4所示。
而绿盟科技的入侵威胁感知系统在老式的日记归并基本上,还构建了近100种袭击场景的行为模型,可自动化辨认黑客目前处在哪种袭击行为。据记录,入侵威胁感知系统可将12万条告警日记自动化分析成500条左右的袭击行为告警。
再基于袭击树的威胁计分,预警威胁较大的袭击源,增进防外决策,以及预警面临威胁较大的被袭击目的,增进安内决策。再袭击树的反向推理措施,发现入侵成功事件,增进事后响应。
DDOS态势感知
DDOS威胁一般称为网络氢弹,是目前国与国之间,竞争对手之间的重要袭击方式,成本低,见效大。DDOS袭击越来越频繁,特别针对发达地区和重点业务,某省电信每天发生的DDOS袭击次数在100次左右。另一方面,DDOS袭击流量越来越大,从检测成果来看20%以上袭击在不小于20G。4月,监测到的某电信的单一IP袭击流量达到300G。因此,如何检测预警大型的DDOS袭击。是我们研究重点。在这个方面,网络异常流量检测,可以全目的检测(老式DFI设备为了提高性能,需要设定检测目的)。并且拥有自学****功能,可以减少80%以上误报,通过解决后,1500G出口的骨干网,形成告警完全是可以处置的。如图5。
通过一段时间的机器学****得到其正常状态的流量上限。自学****过程中系统自动记录网络的流量变化特性,进行基本数据建模,按照可信范畴的数据设立置信区间,通过对置信区间内的历史数据进行分析计算,得到流量的变化趋势和模型特性。为了保证学****的流量特性符合正态分布,系统支持启动日历模式的数据建模,如设立工作日、双休日等日历时间点,针对不同的时间点进行自学****建模。同步系统支持对生成的动态基线进行手动调节,和日历自学****模式相结合,共同保证动态基线的精确性。
僵木蠕态势感知
在办公网等内网环境中,僵尸网络、木马、蠕虫病毒(统称僵木蠕)的威胁是首要威胁,僵木蠕引起的arp,DDOS断网等问题成为重要问题,更不用说由僵木蠕导致的APT泄密等事件了。在这个场景下,我们采用业界领先的防病毒引擎,通过对网络流量监控,发现僵木蠕的传播,并通过僵木蠕态势监控,实现僵尸网络发现、打击及效果评估。
APT袭击态势感知
已知袭击检测,我们可以用入侵检测设备,防病毒,但是针对目前越来越严重的APT袭击,我们需要更先进的技术手段和措施。威胁分析系统,可有效检测通过网页、电子邮件或其她的在线文献共享方式进入网络的已知和未知的歹意软件,发现运用0day漏洞的APT袭击行为,保护客户网络免遭0day等袭击导致的多种风险,如敏感信息泄露、基本设施破坏等。因此,在整个防护体系中,未知的0day袭击,APT袭击态势感知,我们依托未知威胁态势感知传感器通过对web、邮件、客户端软件等方式进入内网的多种歹意软件进行检测,运用多种应用层及文献层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。如图6。
脆弱性态势