本發(fā)明涉及入侵檢測系統(tǒng)領域,具體涉及一種信息安全風險強力識別系統(tǒng)。
背景技術:
入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤、恢復、斷開網絡連接等。早期的IDS僅僅是一個監(jiān)聽系統(tǒng)?;谀壳熬志W的工作方式,IDS可以將用戶對位于與IDS同一交換機/HuB的服務器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows操作系統(tǒng)的事件查看器類似。再后來,由于IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很像;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加。
就如理論與實際的區(qū)別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是采用pass-by方式來偵聽網絡上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發(fā)阻斷數據包來阻斷當前行為,并且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的,無法動態(tài)設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網絡的安全。
針對現有的入侵檢測系統(tǒng),本發(fā)明信息安全風險強力識別系統(tǒng)主要創(chuàng)新點為通過集成多IDS抓包引擎,能夠準確地識別來自網絡外部或內部的多種攻擊行為,實時報警和記錄入侵信息,具有靈活多樣化的響應方式,產生適合不同身份的綜合入侵分析報告。通過對入侵信息進行分類,它可以與安全管理中心規(guī)則緊密聯動,安全管理中心提供針對不同風險的安全機制以及措施,由安全管理中心設備針對業(yè)務系統(tǒng)形成防御體系,確保業(yè)務系統(tǒng)的安全。同時本發(fā)明信息安全風險強力識別系統(tǒng)通過模擬現實世界的真實攻擊來識別系統(tǒng)防護能力的弱點,支持第三方開發(fā)Metasploit,幫助進行滲透測試。
現有的入侵檢測系統(tǒng)雖然能夠追蹤到攻擊者的攻擊路線,抓住肇事者,但其也存在明顯的缺陷,系統(tǒng)不能在沒有用戶參與的情況下對攻擊行為展開調查,傳統(tǒng)的檢測技術不能克服網絡協議方面的缺陷,還有就是很多的安全威脅經常是事后才能知道,其適應性很不好。
本發(fā)明中的信息安全風險強力識別系統(tǒng)在惡意行為分析上拓展了網絡協議的匹配,而且風險行為能及時更新到數據庫,增加的等保四級安全風險識別模塊主要是對網絡中的設備進行實時的監(jiān)控,克服傳統(tǒng)IDS沒有用戶參與的情況下,能夠對攻擊行為展開調查,準確找到風險設備。而且還提供用戶對系統(tǒng)進行風險監(jiān)測,對系統(tǒng)進行深入的滲透攻擊測試。本發(fā)明信息安全風險強力識別系統(tǒng)-惡意行為分析模塊采用了新一代的入侵檢測技術與專利保護的YDSP安全協議棧,包括基于狀態(tài)的協議分析技術、規(guī)范的入侵特征描述語言、準確的特征分析和提取、標準的安全信息知識庫,以先進的體系結構配合高性能的專用硬件設備,能夠準確地識別來自網絡外部或內部的多種攻擊行為,實時報警和記錄入侵信息,具有靈活多樣化的響應方式,產生適合不同身份的綜合入侵分析報告,可以最大程度地為網絡系統(tǒng)提供安全保障。此外,它可以與安全管理中心規(guī)則緊密聯動,形成以主動檢測為核心的動態(tài)防御體系,可支持大數據平臺進行大數據分析、存儲及備份。該系統(tǒng)能通過修改配置進行IPS模式的切換,更有效地阻斷所發(fā)生的攻擊事件,從而使網絡隱患降至較低限度。本信息安全風險強力識別系統(tǒng)提供等保四級殘余風險監(jiān)控是一個企業(yè)級的分布式監(jiān)控解決方案,該模塊是一款用于監(jiān)控眾多服務器的健康完整狀態(tài)的軟件,采用了靈活的預警通知機制,比如它允許用戶設定通過email示警任何網絡活動,從而使得服務器的問題能夠被迅速反映出來;具備出色的報告和數據可視化功能所有的數據存儲的在數據庫中,這使得信息安全風險強力識別系統(tǒng)具備很好的規(guī)劃的能力,該系統(tǒng)支持主動輪詢和陷阱方式。通過參數配置,所有綜合監(jiān)控模塊報告和統(tǒng)計資料都可以通過基于Web的前端訪問到,通過正確的配置,您可以從任何地點評估您的服務器狀態(tài),這一點無論對于小企業(yè)還是大企業(yè)都是非常重要的。
此外,IT安全部門幾乎花費他們所有時間用來建設和維護防護系統(tǒng)來保護他們的數據。往往只有企業(yè)被攻擊了他們才會發(fā)現哪里是他們的真正弱點。本發(fā)明信息安全風險強力識別系統(tǒng)通過模擬現實世界的真實攻擊來識別您防護能力的弱點,幫助您進行滲透測試,例如使用滲透模塊、密碼審計、攻擊Web應用、發(fā)送釣魚郵件等。滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對系統(tǒng)網絡進行測試,以期發(fā)現和挖掘系統(tǒng)中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統(tǒng)中存在的安全隱患和問題。
技術實現要素:
本發(fā)明的目的在于提供一種信息安全風險強力識別系統(tǒng),以便更好地改善使用效果,方便根據需要使用。
為了實現上述目的,本發(fā)明的技術方案如下。
一種信息安全風險強力識別系統(tǒng),采用進行惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計,其中,惡意行為分析模塊設計是用于對惡意行為進行分析,傳感器分布在網絡中,以監(jiān)控多個VLAN和子網,利用Snort、Suricata、Bro IDS和OSSEC等服務來執(zhí)行該服務的惡意行為分析功能,snort引擎能夠對網絡上的數據包進行抓包分析,但區(qū)別于平常嗅探器的是,它能根據所定義的規(guī)則進行響應及處理。通過對獲取的數據包,進行各規(guī)則的分析后,根據規(guī)則鏈,可采取Activation(報警并啟動另外一個動態(tài)規(guī)則鏈)、Dynamic(由其它的規(guī)則包調用)、Alert(報警),Pass(忽略),Log(不報警但記錄網絡流量)五種響應的機制。改系統(tǒng)有數據包嗅探,數據包分析,數據包檢測,響應處理等多種功能,每個模塊實現不同的功能,各模塊都是用插件的方式和IDS引擎相結合,功能擴展方便。例如,預處理插件的功能就是在規(guī)則匹配誤用檢測之前運行,完成TIP碎片重組,http解碼,telnet解碼等功能,處理插件完成檢查協議各字段,關閉連接,攻擊響應等功能,輸出插件將得理后的各種情況以日志或警告的方式輸出。
該系統(tǒng)集成了多進程IDS引擎suricata,suricata由多個關聯模塊組成,其中這些模塊以及與它們關聯的線程隊列等排列方式取決于suricata的運行模式。該運行模式的選擇基于suricata設置的程序優(yōu)先級,默認運行模式是優(yōu)化檢測;在另一種運行模式中,使用pfring優(yōu)化數據包捕獲以及對高吞吐量連接的解碼。
無論應用哪種運行模式,suricata的前置環(huán)節(jié)都是利用數據包捕獲模塊獲取數據包。該模塊從網絡接口獲取數據并將其傳遞給數據包解碼器,供其確定連接類型,并未后續(xù)其它模塊的處理過程提供數據格式化。這一過程結束后,數據會被傳遞給數據流處理模塊。數據流處理模塊主要作用于追蹤回話傳輸層相關協議(例如TCP協議),并以一定的順序重組數據包。此外,數據流處理模塊也負責應用層(例如HTTP協議)的數據處理和重排序。這些數據經妥善處理后被交給檢測模塊,由檢測模塊分析包數據,匹配用戶創(chuàng)建的特征或者規(guī)則。若產生告警信息,該告警信息及其關聯數據將被送到輸出模塊,并由該模塊以多種格式輸出數據。
本發(fā)明信息安全風險強力識別系統(tǒng)集成的Bro不同于snort和suricata這類基于特征的IDS,Bro通常是處理更復雜任務的最佳選擇,比如需要更高水平協議知識的任務,貫穿多種網絡流的工作或需要使用自定義算法計算當前處理流量的某部分。Bro不僅支持所有常見網絡協議,甚至許多不太常見的協議也被支持。借助一種被稱為動態(tài)協議檢測的特性,即使網絡流量出現于非標準端口,依然可以被其識別。部分被Bro支持的應用層協議和隧道協議如下:DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG Teredo\GTPv1。
當Bro在網絡流量中檢測到已知應用程序協議時,會將本次事務的細節(jié)記錄在一個文件中。在Bro對當前流量進行協議解析和協議解碼的過程中,還提供一種創(chuàng)建自定義事務處理邏輯的機制。由協議產生的行為會被視為一系列的事件,用戶可以向Bro注冊事件處理程序,接管事件處理。在對于特定事件編寫和注冊了一個新的事件處理程序后,一旦網絡流量中出現了該事件,Bro將自動調用該事件處理程序,執(zhí)行用戶代碼。在事件處理程序中,用戶可以做任何想做的事,而事件處理程序的數量也沒有限制。甚至,對于同一個事件,也可以使用多個事件處理程序。
除此,本發(fā)明信息安全風險強力識別系統(tǒng)提供了多種報告網絡安全狀況的方式和功能強大的報表分析工具,以及數據庫記錄功能,通過Web應用程序提供的界面,用戶可以對系統(tǒng)中存在的風險事件一目了然。
本發(fā)明信息安全風險識別系統(tǒng)中等保四級安全風險識別主要分為四個模塊進行設計:風險監(jiān)控、主機監(jiān)控、網絡監(jiān)控、應用監(jiān)控。
(1)風險監(jiān)控主要是提供專用的監(jiān)控專家模板庫,進行高效的數據采集,分析,審計以及處理,通過監(jiān)控數據遷移,導出到本發(fā)明安全運維平臺,經綜合評估分析形成安全監(jiān)控報告,預警并針對性的給出解決方案。
(2)主機監(jiān)控主要監(jiān)控范圍為:小型機、PC服務器、臺式機、筆記本、字符終端、圖形終端、盤柜等,事件采集方式主機事件由SNMP及監(jiān)控代理采集,也可無代理采集。支持監(jiān)控CPU負載,內存空間、磁盤空間、交換分區(qū)、網卡流量、主機存活狀態(tài)、系統(tǒng)用戶變更服務器重啟。
(3)網絡監(jiān)控主要監(jiān)控范圍為:交換機、路由器、防火墻、VPN網關、安全網關、鏈路及其他網絡設備,網絡事件采集支持SNMP、OPENFOW協議,監(jiān)控網絡設備性能、網絡流量、網絡拓撲改變、用戶行為分析并能進行網絡安全檢測。
(4)應用程序監(jiān)控主要監(jiān)控范圍:自主開發(fā)應用軟件、外包應用軟件、商業(yè)應用軟件、中間件、數據庫等,主要監(jiān)控應用程序的存活狀態(tài)、訪問速度、返回碼及響應時間,支持監(jiān)控SSH、APACHE、數據庫、Ngnix等
該模塊能夠自動發(fā)現服務器和網絡設備,主要工作特性有:
分布式監(jiān)控網絡,集中式管理;
支持polling和trapping機制;
服務器端支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X系統(tǒng);
高性能本地代理(客戶端軟件支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X,Tru64/OSF1,Windows NT4.0,Windows 2000,Windows 2003,Windows XP,Windows Vista系統(tǒng));
無代理監(jiān)控;有安全的用戶認證功能;可靈活地分配用戶權限;基于web的接口;可靈活地預定網絡事件并使用郵件通知;高等級的資源監(jiān)控;日志審計功能。
監(jiān)控指標:CPU負荷、內存使用、磁盤使用、網絡狀況、端口監(jiān)視和日志監(jiān)視。
網絡安全強力檢測模塊設計:本發(fā)明信息安全風險強力識別系統(tǒng)通過模擬現實世界的真實攻擊來識別防護能力的弱點,幫助進行滲透測試,例如使用滲透模塊、密碼審計、攻擊Web應用、發(fā)送釣魚郵件等。支持第三方開發(fā)Metasploit。其工作特性如下:
靈活、開放平臺:支持API接口二次開發(fā)、支持第三方報告導入。例如:NeXpose,Metasploit,Acunetix,Amap,Appscan,Foundstone,Libpcap,Microsoft MBSA,
Nessus,NetSparker,Nmap,Qualys and Retina.
豐富的滲透測試:支持網絡設備,數據庫,操作系統(tǒng),web應用,移動終端,工控設備等滲透測試。
高效:在一次任務中可以滲透1萬臺主機的安全性。
友好授權:滲透測試不受Ip數量限制。
Web界面:Web界面、讓操作更加便捷高效。
支持:擁有豐富滲透測試經驗的產品開發(fā)團隊、協助你解決滲透測試過程中遇到的問題。
集成:可集成在企業(yè)的安全管理平臺(soc平臺)。
馬后門免殺:支持隨機免殺技術,免殺全球90%的殺毒軟件。
暴力破解:支持多種協議如:SMB,Postgres,DB2,MySQL,MSSQL,Oracle,HTTP,HTTPS,SSH,Telnet,FTP,POP3,BSD EXEC,BSD LOGIN,BSD SHELL,VMAuthd,VNC,SNMP,AFP.
針對以上三大模塊功能特點,以下技術為本發(fā)明信息安全風險強力識別系統(tǒng)特有:
1、系統(tǒng)總體框架設計為本次發(fā)明專有,包括IDS,等保四級信息安全殘余風險識別以及滲透測試模塊Metasploit的集成。
2、IDS進行惡意行為分析模塊,本發(fā)明提供自主的協議定制、規(guī)則庫匹配以及本系統(tǒng)專有的界面展示。
3、惡意行為分析模塊捕獲到的事件信息,系統(tǒng)會對風險事件進行分類,針對不同的風險,系統(tǒng)提供相應的安全機制進行防御,其中的風險監(jiān)控、主機監(jiān)控、網絡監(jiān)控、應用監(jiān)控為安全管理中心針對業(yè)務系統(tǒng)不同的資產進行的分類保護。
4、系統(tǒng)集成Metasploit,通過專有的網頁界面設計,進行滲透測試。
該發(fā)明的有益效果在于:
(1)安全風險的可見和可控:安全風險的可見是指:能夠看見和理解網絡運作與網絡上數據的本來面目。比如:在某一時刻,流經網絡的數據量有多大,某一臺重要的服務器有沒有遭受安全威脅,網上是否存在有攻擊嫌疑的主機等等。重要的是,這些問題的答案應當一目了然。另外,用戶如果需要查看一周之內的安全信息或最嚴重的幾種安全威脅的統(tǒng)計分析報表,系統(tǒng)也應當能夠立即提供。用戶只有在全面掌握安全風險的基礎上才能對這些風險進行有效控制,從而在安全管理過程中做出正確決策。本發(fā)明信息安全風險強力識別系統(tǒng)通過模擬現實世界的真實攻擊來識別系統(tǒng)中存在的弱點,幫助進行滲透測試,例如使用滲透模塊、密碼審計、攻擊Web應用、發(fā)送釣魚郵件等,可以清晰知曉系統(tǒng)中存在的安全隱患和問題,真正做到安全風險的可見。
(2)安全信息的直觀性:
安全信息的直觀性主要表現在網絡信息的人文化和安全信息的圖表化兩個方面。
1.網絡信息的人文化
傳統(tǒng)IDS所產生的信息往往帶有很強的技術特征。例如安全事件的地址信息為IP地址(如192.168.3.9),這種信息難于理解和記憶。網絡信息的人文化是指網絡信息與客戶的人文信息相結合。本發(fā)明信息安全風險強力識別系統(tǒng)則提供了主機名綁定功能,將具體主機名、用戶名或服務器名與IP地址綁定。通過綜合監(jiān)控模塊提供的設備監(jiān)控拓撲圖,能夠很清楚地監(jiān)控到具體位置設備的運行狀態(tài)。這樣一來,在控制臺的監(jiān)控窗口中顯示的不再是難以理解的IP地址,而是具體位置的主機名或服務器名。在安全事件窗口中,與安全事件相關連的是源主機名和目標主機名,使得員工的網絡行為、對服務器的訪問連接和安全事件的相關者(入侵者、受攻擊者)一目了然。
2.安全信息的圖表化
以圖表形式生成的報表或報告主要有以下幾種。
快照:提供當前網絡情況的分析,包括網絡流量、攻擊情況等。
統(tǒng)計報告:一段時間內各種網絡情況的統(tǒng)計,包括事件日志列表、危險(高風險)事件列表、攻擊統(tǒng)計、響應統(tǒng)計。
詳細報告:包括特定類型攻擊明細、對某種特定服務的攻擊情況、按攻擊次數從多到少對事件排序、特定服務器訪問情況。
客戶定制報告:提供按客戶要求定制報告功能。
本發(fā)明信息安全風險強力識別系統(tǒng)提供了多種報告網絡安全狀況的方式和功能強大的報表分析工具,能夠滿足用戶的各種需要。如:流量圖可以體現網絡當前的流量狀況,明細報表提供了按時間段或按嚴重程度對各類事件的報告,分析報表對報警數據庫中記錄的數據進行統(tǒng)計分析,還能以拄狀圖、餅圖等形式反映統(tǒng)計結果。
(3)安全的可管理性:
安全的可管理性表現了對安全易于管理的程度。通過各種管理手段可以方便用戶對安全信息的掌握和對安全的控制。
首先,本發(fā)明信息安全風險強力識別系統(tǒng)提供一個企業(yè)級的分布式監(jiān)控解決方案,用于監(jiān)控眾多服務器的健康完整狀態(tài)的軟件,采用了靈活的預警通知機制,比如它允許用戶設定通過email示警任何網絡活動,從而使得服務器的問題能夠被迅速反映出來,該系統(tǒng)還具備出色的報告和數據可視化功能所有的數據存儲的在數據庫中,這使得信息安全風險強力識別系統(tǒng)具備很好的規(guī)劃的能力;支持主動輪詢和陷阱方式。通過參數配置,所有綜合監(jiān)控模塊報告和統(tǒng)計資料都可以通過基于Web的前端訪問到。
其次,系統(tǒng)對安全風險管理的對象進行分類,如:員工對象、服務對象、服務器對象等。然后,對各種對象進行分類管理,如:內部員工管理、服務管理、服務器管理。對安全信息進行分類有助于用戶對信息的瀏覽,并迅速識別其關注的事件。
再次,系統(tǒng)還具有網絡流量的統(tǒng)計功能,可以隨時監(jiān)控網段的使用情況。一旦發(fā)現某一時刻網絡流量異常則網絡管理員可以通過其他指標分析目前網絡中是否存在資源濫用的現象并采取相應的措施。本發(fā)明信息安全風險強力識別系統(tǒng)的流量圖功能可以使網絡管理員隨時查看網絡的流量狀況。
除此之外,還需要對一組重要服務器(目標地址)或一組可疑的或特定的主機(源地址)進行專門管理:加入到重要服務器組中的對象可以是在網絡中起關鍵作用、需要重點保護的主機,加入到重點檢測組中的對象應當是有攻擊嫌疑的內部或外部主機。系統(tǒng)不但提供對特定源地址或目標地址的管理,還可以根據監(jiān)控情況生成相應的報表,實現了監(jiān)控和報表的一體化。
具體實施方式
下面結合實施例對本發(fā)明的具體實施方式進行描述,以便更好的理解本發(fā)明。
實施例
本發(fā)明實施例中的信息安全風險強力識別系統(tǒng),采用進行惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計,其中,惡意行為分析模塊設計是用于對惡意行為進行分析,傳感器分布在網絡中,以監(jiān)控多個VLAN和子網,利用Snort、Suricata、Bro IDS和OSSEC等服務來執(zhí)行該服務的惡意行為分析功能,snort引擎能夠對網絡上的數據包進行抓包分析,但區(qū)別于平常嗅探器的是,它能根據所定義的規(guī)則進行響應及處理。通過對獲取的數據包,進行各規(guī)則的分析后,根據規(guī)則鏈,可采取Activation(報警并啟動另外一個動態(tài)規(guī)則鏈)、Dynamic(由其它的規(guī)則包調用)、Alert(報警),Pass(忽略),Log(不報警但記錄網絡流量)五種響應的機制。改系統(tǒng)有數據包嗅探,數據包分析,數據包檢測,響應處理等多種功能,每個模塊實現不同的功能,各模塊都是用插件的方式和IDS引擎相結合,功能擴展方便。例如,預處理插件的功能就是在規(guī)則匹配誤用檢測之前運行,完成TIP碎片重組,http解碼,telnet解碼等功能,處理插件完成檢查協議各字段,關閉連接,攻擊響應等功能,輸出插件將得理后的各種情況以日志或警告的方式輸出。
該系統(tǒng)集成了多進程IDS引擎suricata,suricata由多個關聯模塊組成,其中這些模塊以及與它們關聯的線程隊列等排列方式取決于suricata的運行模式。該運行模式的選擇基于suricata設置的程序優(yōu)先級,默認運行模式是優(yōu)化檢測;在另一種運行模式中,使用pfring優(yōu)化數據包捕獲以及對高吞吐量連接的解碼。
無論應用哪種運行模式,suricata的前置環(huán)節(jié)都是利用數據包捕獲模塊獲取數據包。該模塊從網絡接口獲取數據并將其傳遞給數據包解碼器,供其確定連接類型,并未后續(xù)其它模塊的處理過程提供數據格式化。這一過程結束后,數據會被傳遞給數據流處理模塊。數據流處理模塊主要作用于追蹤回話傳輸層相關協議(例如TCP協議),并以一定的順序重組數據包。此外,數據流處理模塊也負責應用層(例如HTTP協議)的數據處理和重排序。這些數據經妥善處理后被交給檢測模塊,由檢測模塊分析包數據,匹配用戶創(chuàng)建的特征或者規(guī)則。若產生告警信息,該告警信息及其關聯數據將被送到輸出模塊,并由該模塊以多種格式輸出數據。
本發(fā)明信息安全風險強力識別系統(tǒng)集成的Bro不同于snort和suricata這類基于特征的IDS,Bro通常是處理更復雜任務的最佳選擇,比如需要更高水平協議知識的任務,貫穿多種網絡流的工作或需要使用自定義算法計算當前處理流量的某部分。Bro不僅支持所有常見網絡協議,甚至許多不太常見的協議也被支持。借助一種被稱為動態(tài)協議檢測的特性,即使網絡流量出現于非標準端口,依然可以被其識別。部分被Bro支持的應用層協議和隧道協議如下:DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG Teredo\GTPv1。
當Bro在網絡流量中檢測到已知應用程序協議時,會將本次事務的細節(jié)記錄在一個文件中。在Bro對當前流量進行協議解析和協議解碼的過程中,還提供一種創(chuàng)建自定義事務處理邏輯的機制。由協議產生的行為會被視為一系列的事件,用戶可以向Bro注冊事件處理程序,接管事件處理。在對于特定事件編寫和注冊了一個新的事件處理程序后,一旦網絡流量中出現了該事件,Bro將自動調用該事件處理程序,執(zhí)行用戶代碼。在事件處理程序中,用戶可以做任何想做的事,而事件處理程序的數量也沒有限制。甚至,對于同一個事件,也可以使用多個事件處理程序。
除此,本發(fā)明信息安全風險強力識別系統(tǒng)提供了多種報告網絡安全狀況的方式和功能強大的報表分析工具,以及數據庫記錄功能,通過Web應用程序提供的界面,用戶可以對系統(tǒng)中存在的風險事件一目了然。
本發(fā)明信息安全風險識別系統(tǒng)中等保四級安全風險識別主要分為四個模塊進行設計:風險監(jiān)控、主機監(jiān)控、網絡監(jiān)控、應用監(jiān)控。
(1)風險監(jiān)控主要是提供專用的監(jiān)控專家模板庫,進行高效的數據采集,分析,審計以及處理,通過監(jiān)控數據遷移,導出到本發(fā)明安全運維平臺,經綜合評估分析形成安全監(jiān)控報告,預警并針對性的給出解決方案。
(2)主機監(jiān)控主要監(jiān)控范圍為:小型機、PC服務器、臺式機、筆記本、字符終端、圖形終端、盤柜等,事件采集方式主機事件由SNMP及監(jiān)控代理采集,也可無代理采集。支持監(jiān)控CPU負載,內存空間、磁盤空間、交換分區(qū)、網卡流量、主機存活狀態(tài)、系統(tǒng)用戶變更服務器重啟。
(3)網絡監(jiān)控主要監(jiān)控范圍為:交換機、路由器、防火墻、VPN網關、安全網關、鏈路及其他網絡設備,網絡事件采集支持SNMP、OPENFOW協議,監(jiān)控網絡設備性能、網絡流量、網絡拓撲改變、用戶行為分析并能進行網絡安全檢測。
(4)應用程序監(jiān)控主要監(jiān)控范圍:自主開發(fā)應用軟件、外包應用軟件、商業(yè)應用軟件、中間件、數據庫等,主要監(jiān)控應用程序的存活狀態(tài)、訪問速度、返回碼及響應時間,支持監(jiān)控SSH、APACHE、數據庫、Ngnix等
該模塊能夠自動發(fā)現服務器和網絡設備,主要工作特性有:
分布式監(jiān)控網絡,集中式管理;
支持polling和trapping機制;
服務器端支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X系統(tǒng);
高性能本地代理(客戶端軟件支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X,Tru64/OSF1,Windows NT4.0,Windows 2000,Windows 2003,Windows XP,Windows Vista系統(tǒng));
無代理監(jiān)控;有安全的用戶認證功能;可靈活地分配用戶權限;基于web的接口;
可靈活地預定網絡事件并使用郵件通知;高等級的資源監(jiān)控;日志審計功能。
監(jiān)控指標:CPU負荷、內存使用、磁盤使用、網絡狀況、端口監(jiān)視和日志監(jiān)視。
網絡安全強力檢測模塊設計:本發(fā)明信息安全風險強力識別系統(tǒng)通過模擬現實世界的真實攻擊來識別防護能力的弱點,幫助進行滲透測試,例如使用滲透模塊、密碼審計、攻擊Web應用、發(fā)送釣魚郵件等。支持第三方開發(fā)Metasploit。其工作特性如下:
靈活、開放平臺:支持API接口二次開發(fā)、支持第三方報告導入。例如:NeXpose,Metasploit,Acunetix,Amap,Appscan,Foundstone,Libpcap,Microsoft MBSA,Nessus,NetSparker,Nmap,Qualys and Retina.
豐富的滲透測試:支持網絡設備,數據庫,操作系統(tǒng),web應用,移動終端,工控設備等滲透測試。
高效:在一次任務中可以滲透1萬臺主機的安全性。
友好授權:滲透測試不受Ip數量限制。
Web界面:Web界面、讓操作更加便捷高效。
支持:擁有豐富滲透測試經驗的產品開發(fā)團隊、協助你解決滲透測試過程中遇到的問題。
集成:可集成在企業(yè)的安全管理平臺(soc平臺)。
馬后門免殺:支持隨機免殺技術,免殺全球90%的殺毒軟件。
暴力破解:支持多種協議如:SMB,Postgres,DB2,MySQL,MSSQL,Oracle,HTTP,HTTPS,SSH,Telnet,FTP,POP3,BSD EXEC,BSD LOGIN,BSD SHELL,VMAuthd,VNC,SNMP,AFP。
針對以上三大模塊功能特點,以下技術為本發(fā)明信息安全風險強力識別系統(tǒng)特有:
1、系統(tǒng)總體框架設計為本次發(fā)明專有,包括IDS,等保四級信息安全殘余風險識別以及滲透測試模塊Metasploit的集成。
2、IDS進行惡意行為分析模塊,本發(fā)明提供自主的協議定制、規(guī)則庫匹配以及本系統(tǒng)專有的界面展示。
3、惡意行為分析模塊捕獲到的事件信息,系統(tǒng)會對風險事件進行分類,針對不同的風險,系統(tǒng)提供相應的安全機制進行防御,其中的風險監(jiān)控、主機監(jiān)控、網絡監(jiān)控、應用監(jiān)控為安全管理中心針對業(yè)務系統(tǒng)不同的資產進行的分類保護。
4、系統(tǒng)集成Metasploit,通過專有的網頁界面設計,進行滲透測試。
以上所述是本發(fā)明的優(yōu)選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也視為本發(fā)明的保護范圍。