网络安全威胁感知系统
1、产品概述
近年来,互联网在我国发展迅猛,已经成为我国政治、经济、文化、军事等诸多领域重要的信息基础设施。同时,网络安全形势日益严峻,网络安全威胁越来越多样化和高级化。2005~2007年网络安全威胁主要为病毒和蠕虫,以破坏为主,更多的是黑客炫耀自身技术的个体攻击;2007~2009年新增的主要网络安全威胁是间谍软件和僵尸,为有组织的黑客团体以窃密、拒绝服务攻击为主的网络犯罪,体现出趋利性。而2011年以来主要威胁是APT和零日漏洞攻击、隐形僵尸网络、特种变形木马等等,为国家之间的高级可持续性攻击(APT)和网络战争,更多体现出政治性,网络安全已经上升为国家核心战略。
网络安全关口监测系统部署在重要部门关口,是具备报文监测、流监测、网络异常通信行为分析、恶意代码监测等多种安全监测能力和多源异构数据关联分析能力的一体化网络安全监测系统,可与CNCERT安全云之间协同工作,实现高、低位联动监控;通过对关口流量进行监测、分析、告警、日志留存、网络审计,可及时发现木马与僵尸网络恶意活动事件、恶意代码感染与传播事件、网络失泄密事件,并可以通过分析异常通信行为预警未知安全威胁,支持对历史事件和明细数据的快速查询,从而保障重要用户关口的安全。
2、产品特点
2.1 更全面的检测模型
CNCERT产品的检测模型是误用和异常检测相结合的混合模型,重点对木马、僵尸网络感染后的网络通信行为进行分析,采用的是通信行为特征签名和无签名技术;不仅提供实时检测技术手段,而且针对特种木马的间歇性心跳行为等还提供离线检测手段。可以发现未知威胁,漏报率低;且工作模式是协同检测模式,安全事件会上传到CNCERT安全云进行分析判定,误报率低。
2.2 具备全方位、多维度的检测能力
关口监测系统具备全方位、多维度的检测能力,主要体现为已知攻击的监测能力、未知威胁的预警能力和APT的取证分析能力,与现有安全监测产品仅能发现已知攻击相比,实现了检测能力的阶梯跨越式提升。
2.3 具备多元异构数据的融合分析能力
在全阶段检测的基础上,依靠CNCERT安全云的大数据存储、挖掘与分析能力,对特征事件、恶意代码、异常事件和URL记录、域名记录、NetFlow的元数据进行深度关联分析和回溯分析,可以还原攻击的全过程。
2.4 实时获取国家级的知识库
关口监测系统可实时从安全云获取最新、最权威的国家级知识库,包括:攻击特征规则库、通信异常行为特征库、恶意代码特征签名库、僵尸网络CC库、黑名单库、漏洞库、全局白名单库等。
2.5 建立端云协同的闭环式安全监测响应体系
关口监测系统与国家安全云实现高低位协同联动,构建网络安全监测、分析、溯源、响应、展示和处置一整套安全监测响应体系。
3、功能价值
4、典型方案
典型部署方式如上图所示,关口监测系统部署在通过交换机镜像(或者分光)的方式将内网核心交换机的流量和DMZ区的流量接入关口监测系统的捕包网卡。关口监测系统通讯网卡需要接到外网汇聚交换机上,并可以通过防火墙设置访问外网的权限。