1.一種信息安全風(fēng)險(xiǎn)強(qiáng)力識別系統(tǒng),其特征在于:采用惡意行為分析、安全風(fēng)險(xiǎn)識別以及網(wǎng)絡(luò)安全強(qiáng)力檢測分析三大模塊進(jìn)行集成設(shè)計(jì),其中,惡意行為分析模塊設(shè)計(jì)是用于對惡意行為進(jìn)行分析,傳感器分布在網(wǎng)絡(luò)中,以監(jiān)控多個VLAN和子網(wǎng),利用Snort、Suricata、Bro IDS和OSSEC服務(wù)來執(zhí)行該服務(wù)的惡意行為分析功能,snort引擎能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析;通過對獲取的數(shù)據(jù)包,進(jìn)行各規(guī)則的分析后,根據(jù)規(guī)則鏈,可采取Activation、Dynamic、Alert,Pass,Log五種響應(yīng)的機(jī)制;該系統(tǒng)有數(shù)據(jù)包嗅探,數(shù)據(jù)包分析,數(shù)據(jù)包檢測,響應(yīng)處理多種功能;該系統(tǒng)集成了多進(jìn)程IDS引擎suricata,suricata由多個關(guān)聯(lián)模塊組成,其中這些模塊以及與它們關(guān)聯(lián)的線程隊(duì)列等排列方式取決于suricata的運(yùn)行模式;該運(yùn)行模式的選擇基于suricata設(shè)置的程序優(yōu)先級,默認(rèn)運(yùn)行模式是優(yōu)化檢測;在另一種運(yùn)行模式中,使用pfring優(yōu)化數(shù)據(jù)包捕獲以及對高吞吐量連接的解碼;本發(fā)明信息安全風(fēng)險(xiǎn)強(qiáng)力識別系統(tǒng)集成的Bro不同于snort和suricata這類基于特征的IDS,Bro通常是處理更復(fù)雜任務(wù)的最佳選擇,比如需要更高水平協(xié)議知識的任務(wù),貫穿多種網(wǎng)絡(luò)流的工作或需要使用自定義算法計(jì)算當(dāng)前處理流量的某部分;Bro不僅支持所有常見網(wǎng)絡(luò)協(xié)議,甚至許多不太常見的協(xié)議也被支持;借助一種被稱為動態(tài)協(xié)議檢測的特性,即使網(wǎng)絡(luò)流量出現(xiàn)于非標(biāo)準(zhǔn)端口,依然可以被其識別;部分被Bro支持的應(yīng)用層協(xié)議和隧道協(xié)議如下:DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG Teredo\GTPv1;
當(dāng)Bro在網(wǎng)絡(luò)流量中檢測到已知應(yīng)用程序協(xié)議時(shí),會將本次事務(wù)的細(xì)節(jié)記錄在一個文件中;在Bro對當(dāng)前流量進(jìn)行協(xié)議解析和協(xié)議解碼的過程中,還提供一種創(chuàng)建自定義事務(wù)處理邏輯的機(jī)制;由協(xié)議產(chǎn)生的行為會被視為一系列的事件,用戶可以向Bro注冊事件處理程序,接管事件處理;在對于特定事件編寫和注冊了一個新的事件處理程序后,一旦網(wǎng)絡(luò)流量中出現(xiàn)了該事件,Bro將自動調(diào)用該事件處理程序,執(zhí)行用戶代碼;在事件處理程序中,用戶可以做任何想做的事,而事件處理程序的數(shù)量也沒有限制;甚至,對于同一個事件,也可以使用多個事件處理程序;
本發(fā)明信息安全風(fēng)險(xiǎn)識別系統(tǒng)中等保四級安全風(fēng)險(xiǎn)識別主要分為四個模塊進(jìn)行設(shè)計(jì):風(fēng)險(xiǎn)監(jiān)控、主機(jī)監(jiān)控、網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控;
(1)風(fēng)險(xiǎn)監(jiān)控主要是提供專用的監(jiān)控專家模板庫,進(jìn)行高效的數(shù)據(jù)采集,分析,審計(jì)以及處理,通過監(jiān)控?cái)?shù)據(jù)遷移,導(dǎo)出到本發(fā)明安全運(yùn)維平臺,經(jīng)綜合評估分析形成安全監(jiān)控報(bào)告,預(yù)警并針對性的給出解決方案;
(2)主機(jī)監(jiān)控主要監(jiān)控范圍為:小型機(jī)、PC服務(wù)器、臺式機(jī)、筆記本、字符終端、圖形終端、盤柜等,事件采集方式主機(jī)事件由SNMP及監(jiān)控代理采集,也可無代理采集;支持監(jiān)控CPU負(fù)載,內(nèi)存空間、磁盤空間、交換分區(qū)、網(wǎng)卡流量、主機(jī)存活狀態(tài)、系統(tǒng)用戶變更服務(wù)器重啟;
(3)網(wǎng)絡(luò)監(jiān)控主要監(jiān)控范圍為:交換機(jī)、路由器、防火墻、VPN網(wǎng)關(guān)、安全網(wǎng)關(guān)、鏈路及其他網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)事件采集支持SNMP、OPENFOW協(xié)議,監(jiān)控網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)拓?fù)涓淖?、用戶行為分析并能進(jìn)行網(wǎng)絡(luò)安全檢測;
(4)應(yīng)用程序監(jiān)控主要監(jiān)控范圍:自主開發(fā)應(yīng)用軟件、外包應(yīng)用軟件、商業(yè)應(yīng)用軟件、中間件、數(shù)據(jù)庫等,主要監(jiān)控應(yīng)用程序的存活狀態(tài)、訪問速度、返回碼及響應(yīng)時(shí)間,支持監(jiān)控SSH、APACHE、數(shù)據(jù)庫、Ngnix;
針對以上三大模塊功能特點(diǎn),以下技術(shù)為本發(fā)明信息安全風(fēng)險(xiǎn)強(qiáng)力識別系統(tǒng)特有:
系統(tǒng)總體框架設(shè)計(jì)為本次發(fā)明專有,包括IDS,等保四級信息安全殘余風(fēng)險(xiǎn)識別以及滲透測試模塊Metasploit的集成;
IDS進(jìn)行惡意行為分析模塊,本發(fā)明提供自主的協(xié)議定制、規(guī)則庫匹配以及本系統(tǒng)專有的界面展示;
惡意行為分析模塊捕獲到的事件信息,系統(tǒng)會對風(fēng)險(xiǎn)事件進(jìn)行分類,針對不同的風(fēng)險(xiǎn),系統(tǒng)提供相應(yīng)的安全機(jī)制進(jìn)行防御,其中的風(fēng)險(xiǎn)監(jiān)控、主機(jī)監(jiān)控、網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控為安全管理中心針對業(yè)務(wù)系統(tǒng)不同的資產(chǎn)進(jìn)行的分類保護(hù);
系統(tǒng)集成Metasploit,通過專有的網(wǎng)頁界面設(shè)計(jì),進(jìn)行滲透測試。