網絡安全威脅感知系統
1、產品概述
近年來,互聯網在我國發展迅猛,已經成為我國政治、經濟、文化、軍事等諸多領域重要的信息基礎設施。同時,網絡安全形勢日益嚴峻,網絡安全威脅越來越多樣化和高級化。2005~2007年網絡安全威脅主要為病毒和蠕蟲,以破壞為主,更多的是黑客炫耀自身技術的個體攻擊;2007~2009年新增的主要網絡安全威脅是間諜軟件和僵尸,為有組織的黑客團體以竊密、拒絕服務攻擊為主的網絡犯罪,體現出趨利性。而2011年以來主要威脅是APT和零日漏洞攻擊、隱形僵尸網絡、特種變形木馬等等,為國家之間的高級可持續性攻擊(APT)和網絡戰爭,更多體現出政治性,網絡安全已經上升為國家核心戰略。
網絡安全關口監測系統部署在重要部門關口,是具備報文監測、流監測、網絡異常通信行為分析、惡意代碼監測等多種安全監測能力和多源異構數據關聯分析能力的一體化網絡安全監測系統,可與CNCERT安全云之間協同工作,實現高、低位聯動監控;通過對關口流量進行監測、分析、告警、日志留存、網絡審計,可及時發現木馬與僵尸網絡惡意活動事件、惡意代碼感染與傳播事件、網絡失泄密事件,并可以通過分析異常通信行為預警未知安全威脅,支持對歷史事件和明細數據的快速查詢,從而保障重要用戶關口的安全。
2、產品特點
2.1 更全面的檢測模型
CNCERT產品的檢測模型是誤用和異常檢測相結合的混合模型,重點對木馬、僵尸網絡感染后的網絡通信行為進行分析,采用的是通信行為特征簽名和無簽名技術;不僅提供實時檢測技術手段,而且針對特種木馬的間歇性心跳行為等還提供離線檢測手段??梢园l現未知威脅,漏報率低;且工作模式是協同檢測模式,安全事件會上傳到CNCERT安全云進行分析判定,誤報率低。
2.2 具備全方位、多維度的檢測能力
關口監測系統具備全方位、多維度的檢測能力,主要體現為已知攻擊的監測能力、未知威脅的預警能力和APT的取證分析能力,與現有安全監測產品僅能發現已知攻擊相比,實現了檢測能力的階梯跨越式提升。
2.3 具備多元異構數據的融合分析能力
在全階段檢測的基礎上,依靠CNCERT安全云的大數據存儲、挖掘與分析能力,對特征事件、惡意代碼、異常事件和URL記錄、域名記錄、NetFlow的元數據進行深度關聯分析和回溯分析,可以還原攻擊的全過程。
2.4 實時獲取國家級的知識庫
關口監測系統可實時從安全云獲取最新、最權威的國家級知識庫,包括:攻擊特征規則庫、通信異常行為特征庫、惡意代碼特征簽名庫、僵尸網絡CC庫、黑名單庫、漏洞庫、全局白名單庫等。
2.5 建立端云協同的閉環式安全監測響應體系
關口監測系統與國家安全云實現高低位協同聯動,構建網絡安全監測、分析、溯源、響應、展示和處置一整套安全監測響應體系。
3、功能價值
4、典型方案
典型部署方式如上圖所示,關口監測系統部署在通過交換機鏡像(或者分光)的方式將內網核心交換機的流量和DMZ區的流量接入關口監測系統的捕包網卡。關口監測系統通訊網卡需要接到外網匯聚交換機上,并可以通過防火墻設置訪問外網的權限。