本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測防御領(lǐng)域,尤其是一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng)。
背景技術(shù):
隨著國民經(jīng)濟和社會各領(lǐng)域信息化深入發(fā)展的同時,相應(yīng)的安全保障問題也更為凸顯。目前,網(wǎng)絡(luò)攻擊已被作為世界面臨的主要安全威脅之一。網(wǎng)絡(luò)竊密、個人隱私被濫用、敵對勢力利用網(wǎng)絡(luò)進行意識形態(tài)滲透等問題日益突出,信息系統(tǒng)受到破壞后,對國家安全、社會秩序和公眾利益造成的損害也越嚴重。
近幾年來,apt(advancedpersistentthreat)攻擊已經(jīng)成為業(yè)界關(guān)注和討論的熱點。apt攻擊一般是指針對政府機關(guān)、研究機構(gòu)或特定企業(yè)的連續(xù)不間斷入侵滲透,利用軟硬件缺陷和社會工程學(xué)原理進行的持續(xù)攻擊。它以其獨特的攻擊方式和手段,使得傳統(tǒng)的安全防御工具已無法進行有效的防御。apt攻擊與普通木馬病毒的攻擊完全不同,它不是一個整體,而是將眾多入侵滲透技術(shù)進行整合而實現(xiàn)的隱秘性的攻擊手法,其體現(xiàn)出兩個方面的特點,持續(xù)時間長和“高級”。apt是通過使用一系列復(fù)雜的攻擊手法,在相當(dāng)一段時間內(nèi)逐步完成突破、滲透、竊聽、偷取數(shù)據(jù)等幾步的一個過程。
apt攻擊已經(jīng)成為近年來為禍甚烈、行之有效、難以依靠傳統(tǒng)安全防御手段進行防御反制的網(wǎng)絡(luò)攻擊手段。一旦成為apt攻擊的目標(biāo),則意味著受攻擊者本身具備較高的價值和戰(zhàn)略意義。尤其對于處于高速發(fā)展期的我國而言,一旦敵對勢力或組織花費高昂代價進行有的放矢的apt攻擊針對我國重要信息系統(tǒng)并且獲得成功,那么造成的危害將難以估量。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng),可用于財政、工商、稅務(wù)、黨政等信息網(wǎng)絡(luò)安全防御,保證正常業(yè)務(wù)應(yīng)用系統(tǒng)的合法通訊,抵御網(wǎng)絡(luò)apt攻擊。
本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的:一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng),包括:數(shù)據(jù)采集層、信息預(yù)處理層、綜合分析與數(shù)據(jù)存儲層和表現(xiàn)層;所述的數(shù)據(jù)采集層與信息預(yù)處理層相連,信息預(yù)處理層與綜合分析與數(shù)據(jù)存儲層相連,綜合分析與數(shù)據(jù)存儲層與表現(xiàn)層相連。
一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng),還包括安全信息傳輸層、布控規(guī)則與信源管理層和報警管理信息數(shù)據(jù)庫。
優(yōu)選的,所述的安全信息傳輸層由安全機制和傳輸模塊組成。
優(yōu)選的,所述的安全信息傳輸層是基于主動防御的取證系統(tǒng)與互聯(lián)網(wǎng)的廣域網(wǎng)絡(luò)連接。
優(yōu)選的,所述的布控規(guī)則與信源管理層由信息接收模塊、布控規(guī)則模塊與信源管理模塊組成。
優(yōu)選的,所述的布控規(guī)則與信源管理層,接收各類原始報警信息,對各類采集設(shè)備統(tǒng)一發(fā)布、下達布控規(guī)則;集中監(jiān)控管理各前端信源設(shè)備的運行狀態(tài)。
優(yōu)選的,所述的信息預(yù)處理層包括數(shù)據(jù)的甄別、篩選、過濾模塊和自動分類模塊。
優(yōu)選的,所述的綜合分析與安全服務(wù)層對數(shù)據(jù)進行深度分析和知識發(fā)現(xiàn),同時向使用人員提供各種信息內(nèi)容安全服務(wù)。
優(yōu)選的,表現(xiàn)層提供調(diào)用接口或查詢界面,使網(wǎng)絡(luò)管理人員易于對整個系統(tǒng)的操作
本發(fā)明的有益效果是:本發(fā)明可用于財政、工商、稅務(wù)、黨政等信息網(wǎng)絡(luò)安全防御之用,保證正常業(yè)務(wù)應(yīng)用系統(tǒng)的合法通訊,抵御網(wǎng)絡(luò)apt攻擊,為我國信息安全基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)保駕護航。本發(fā)明具有信息流檢測與報警、操作過程監(jiān)察與審計、數(shù)據(jù)還原與恢復(fù)支持等多項功能。本項目采用的上述關(guān)鍵技術(shù),對提高國內(nèi)取證產(chǎn)品技術(shù)的整體提升,有著明顯的推動作用。
附圖說明
圖1為本發(fā)明系統(tǒng)框架圖;
圖2為本發(fā)明系統(tǒng)組成圖;
圖3為本發(fā)明平臺示意圖;
圖4為本發(fā)明采集器處理邏輯流程示意圖。
具體實施方式
下面結(jié)合附圖進一步詳細描述本發(fā)明的技術(shù)方案,但本發(fā)明的保護范圍不局限于以下所述。
如圖1所示和圖2所示,一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng),包括數(shù)據(jù)采集層、安全信息傳輸層、布控規(guī)則與信源管理層、信息預(yù)處理層、綜合分析與數(shù)據(jù)存儲層、表現(xiàn)層和報警數(shù)據(jù)庫。
數(shù)據(jù)采集層:數(shù)據(jù)采集層實現(xiàn)對網(wǎng)絡(luò)信息基于主動防御的取證系統(tǒng)需要的各種數(shù)據(jù)的采集。數(shù)據(jù)采集層由各類技術(shù)探測器和主機代理軟件實現(xiàn)。數(shù)據(jù)采集層采集的數(shù)據(jù)經(jīng)過信息安全傳輸傳遞到第三層的信息接收模塊,然后經(jīng)過第四層的數(shù)據(jù)預(yù)處理,傳遞到綜合分析層和ammib中。
安全信息傳輸層:是基于主動防御的取證系統(tǒng)內(nèi)部通信基礎(chǔ)設(shè)施和安全傳輸通道,它是基于主動防御的取證系統(tǒng)與外界信息交流的基礎(chǔ),實現(xiàn)基于主動防御的取證系統(tǒng)與互聯(lián)網(wǎng)的廣域網(wǎng)絡(luò)連接。
安全信息傳輸層由各種安全機制和傳輸模塊組成。安全機制是實現(xiàn)系統(tǒng)安全的各種功能的工具,如入侵檢測、防火墻、身份認證等,這些工具主要是確保網(wǎng)絡(luò)信息基于主動防御的取證系統(tǒng)的數(shù)據(jù)安全,防止被盜竊、篡改和泄密。
傳輸模塊實現(xiàn)基于主動防御的取證系統(tǒng)各模塊的可靠、方便地通信,主要是數(shù)據(jù)采集層與系統(tǒng)其它部分的通信。
布控規(guī)則與信源管理層:針對各個不同的采集設(shè)備統(tǒng)一接收各類原始報警信息,統(tǒng)一入庫;二是針對各類采集設(shè)備統(tǒng)一或有選擇的發(fā)布、下達布控規(guī)則;三是集中監(jiān)控管理各前端信源設(shè)備的運行狀態(tài)等。
該層由信息接收模塊、布控規(guī)則模塊與信源管理模塊組成。
信息接收模塊接收采集設(shè)備的各種報警或預(yù)警信息,根據(jù)這些信息的來源、種類和信息的屬性,對信息進行粗分類,生成“格式化的信息”,送到信息預(yù)處理層。
布控規(guī)則模塊根據(jù)綜合分析模塊提出的任務(wù)要求和規(guī)則,將這些規(guī)則發(fā)送到各類采集設(shè)備中去。在發(fā)送時,需要根據(jù)不同采集設(shè)備定制不同的數(shù)據(jù)格式。例如,對于自治類探測系統(tǒng)需要將規(guī)則轉(zhuǎn)換為自治探測系統(tǒng)的數(shù)據(jù)庫格式,并存放到這些自治探測系統(tǒng)的數(shù)據(jù)庫中;對于垃圾郵件類探針,需要將規(guī)則分別轉(zhuǎn)換為郵件標(biāo)題、郵件正文、郵件附件的規(guī)則等。
信源管理模塊對采集設(shè)備進行管理,包括設(shè)備狀態(tài)檢測、任務(wù)規(guī)劃、負載均衡等。信源管理模塊可以管理不同區(qū)域的探測器,比如探測器的合法性和安全接入等,同時使系統(tǒng)拓撲結(jié)構(gòu)具有分布式的優(yōu)點,布置靈活,管理方便。信源管理模塊還可以具有負載均衡的功能,例如,在檢測到數(shù)據(jù)中心的計算壓力很大時,可以將一部分功能轉(zhuǎn)移到采集設(shè)備的節(jié)點管理器上,從而減輕數(shù)據(jù)中心的壓力,提高了系統(tǒng)的總體效率;在檢測到某臺探測器的運行壓力過大時,可以通知節(jié)點管理器,將該臺探測器的部分分析還原過濾工作轉(zhuǎn)移到其它探測器上,從而實現(xiàn)了負載均衡。
信息預(yù)處理層:對采集的各類信息根據(jù)預(yù)先設(shè)定的規(guī)則自動進行預(yù)處理,包括數(shù)據(jù)的甄別、篩選、過濾模塊和自動分類模塊。
信息甄別、篩選與過濾模塊對原始數(shù)據(jù)的分類標(biāo)志、編號、源地址、目標(biāo)地址等進行檢查,如果不符合要求,則予以丟棄。例如,如果原始數(shù)據(jù)的分類標(biāo)志不是預(yù)定的分類,則判斷該數(shù)據(jù)是非法數(shù)據(jù),丟棄;如果原始數(shù)據(jù)的編號有重復(fù),則判斷該數(shù)據(jù)是非法數(shù)據(jù),也予以丟棄;如果原始數(shù)據(jù)的源地址、目標(biāo)地址錯誤或不在規(guī)定的范圍內(nèi),則判斷該數(shù)據(jù)也是非法數(shù)據(jù),丟棄。
信息經(jīng)過預(yù)處理后,形成有效報警數(shù)據(jù),該數(shù)據(jù)一方面發(fā)送到綜合分析層進行進一步分析,同時存入ammid永久保存。
綜合分析與數(shù)據(jù)存儲層:綜合分析與安全服務(wù)對數(shù)據(jù)進行深度分析和知識發(fā)現(xiàn),同時向使用人員提供各種信息內(nèi)容安全服務(wù)。
深度分析和知識發(fā)現(xiàn)實現(xiàn)對報警信息的深度分析工作,以發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)?;谥鲃臃烙娜∽C系統(tǒng)通過該層提供各種數(shù)據(jù)挖掘和知識發(fā)現(xiàn)算法,實現(xiàn)在各種海量、異構(gòu)的數(shù)據(jù)環(huán)境中發(fā)現(xiàn)有價值的情報。
表現(xiàn)層:信息內(nèi)容安全服務(wù)提供調(diào)用接口或查詢界面,使網(wǎng)絡(luò)管理人員易于對整個系統(tǒng)的操作。例如,查詢?nèi)罩荆O(shè)置布控規(guī)則,信息查詢及深度分析調(diào)用接口和操作界面等。
如圖3所示,一種基于大數(shù)據(jù)分析的apt監(jiān)測防御系統(tǒng),由前端數(shù)據(jù)采集、大數(shù)據(jù)挖掘分析平臺、結(jié)果呈現(xiàn)三部分組成。
整個系統(tǒng)采用intranet技術(shù)連接,前端數(shù)據(jù)采集平臺收集各收集區(qū)域的數(shù)據(jù)。收集區(qū)域可以是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)管中心,例如,電子政務(wù)系統(tǒng)以及醫(yī)療、銀行、電力、物業(yè)等服務(wù)行業(yè)的信息系統(tǒng)的網(wǎng)絡(luò)中心,也可以是這些系統(tǒng)的下屬節(jié)點網(wǎng)絡(luò)。
收集區(qū)域可以有多個,收集區(qū)域使用主機探針和網(wǎng)絡(luò)探針。主機探針完成本區(qū)域內(nèi)的主機日志采集任務(wù);網(wǎng)絡(luò)探針完成本區(qū)域內(nèi)的郵件、社交平臺、傳輸層數(shù)據(jù)數(shù)、數(shù)據(jù)庫操作數(shù)據(jù)、遠程控制數(shù)據(jù)、其他網(wǎng)絡(luò)用戶行為數(shù)據(jù)收集。
收集器負責(zé)本探測區(qū)域的設(shè)備維護,并實現(xiàn)與前端數(shù)據(jù)采集平臺的通信;前端數(shù)據(jù)采集平臺將收集的各收集區(qū)域保存在證據(jù)保全數(shù)據(jù)庫中。
證據(jù)收集區(qū)域的設(shè)備可以組成一個內(nèi)部網(wǎng)。數(shù)據(jù)挖掘分析平臺對前端數(shù)據(jù)采集平臺中的數(shù)據(jù)進行關(guān)聯(lián)分析,并根據(jù)數(shù)據(jù)的內(nèi)容,對證據(jù)數(shù)據(jù)分類,生成網(wǎng)絡(luò)攻擊和破壞事件數(shù)據(jù)記錄。
結(jié)果表示平臺主要是各類查詢/管理終端。結(jié)果表示平臺根據(jù)使用主體的需要,生成各類報表和分析報告。結(jié)果表示平臺用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容,并實現(xiàn)會話重放,對各平臺管理維護,如備份、刪除等。
系統(tǒng)運行時,三部分設(shè)備保持動態(tài)、高速的連接。一方面,證據(jù)區(qū)域的設(shè)備通過收集器從平臺的規(guī)則庫獲取規(guī)則,并將采集數(shù)據(jù)動態(tài)保存到平臺中,并實現(xiàn)報警;另一方面,用戶認證機制接收用戶分析平臺各設(shè)備的查詢/管理請求,提供數(shù)據(jù)分析或修改規(guī)則服務(wù)。
系統(tǒng)部署可以采用分布式方式,可以根據(jù)網(wǎng)絡(luò)和系統(tǒng)規(guī)模建立總?cè)∽C中心和分取證中心。每個中心都可以包括前端數(shù)據(jù)采集平臺、大數(shù)據(jù)挖掘分析平臺、結(jié)果表示平臺三部分。每個組成部分都可以分擔(dān)整個系統(tǒng)的計算和傳輸任務(wù)。
如圖4所示,數(shù)據(jù)采集器基于32g專用包處理交換芯片,可同時并行進行包分類、包過濾、負載均衡、流量統(tǒng)計、流量控制、流量復(fù)制鏡像、layer3/layer4/mpls線速轉(zhuǎn)發(fā)功能。本數(shù)據(jù)采集器依靠核心處理芯片的強大能力,所有包處理流程都由硬件處理,可在任何情況下保證32g線速穩(wěn)定處理能力。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對其他實施例的排除,而可用于各種其他組合、修改和環(huán)境,并能夠在本文所述構(gòu)想范圍內(nèi),通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進行改動。而本領(lǐng)域人員所進行的改動和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護范圍內(nèi)。