一種信息安全風險強力識別系統技術方案

本發明專利技術涉及一種信息安全風險強力識別系統，采用進行惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計，其中，惡意行為分析模塊設計是用于對惡意行為進行分析，傳感器分布在網絡中，以監控多個VLAN和子網，利用Snort、Suricata、Bro?IDS和OSSEC等服務來執行該服務的惡意行為分析功能，snort引擎能夠對網絡上的數據包進行抓包分析。本發明專利技術系統安全風險的可見和可控，安全信息的直觀性，主要表現在網絡信息的人文化和安全信息的圖表化兩個方面。安全的可管理性表現了對安全易于管理的程度。通過各種管理手段可以方便用戶對安全信息的掌握和對安全的控制。

【技術實現步驟摘要】

本專利技術涉及入侵檢測系統領域，具體涉及一種信息安全風險強力識別系統。
技術介紹
入侵檢測系統(IDS)可以彌補防火墻的不足，為網絡安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤、恢復、斷開網絡連接等。早期的IDS僅僅是一個監聽系統?；谀壳熬志W的工作方式，IDS可以將用戶對位于與IDS同一交換機/HuB的服務器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統的事件查看器類似。再后來，由于IDS的記錄太多了，所以新一代的IDS提供了將記錄的數據進行分析，僅僅列出有危險的一部分記錄，這一點上跟目前windows所用的策略審核上很像；目前新一代的IDS，更是增加了分析應用層數據的功能，使得其能力大大增加。就如理論與實際的區別一樣，IDS雖然具有上面所說的眾多特性，但在實際的使用中，目前大多數的入侵檢測的接入方式都是采用pass-by方式來偵聽網絡上的數據流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發阻斷數據包來阻斷當前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的，無法動態設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網絡的安全。針對現有的入侵檢測系統，本專利技術信息安全風險強力識別系統主要創新點為通過集成多IDS抓包引擎，能夠準確地識別來自網絡外部或內部的多種攻擊行為，實時報警和記錄入侵信息，具有靈活多樣化的響應方式，產生適合不同身份的綜合入侵分析報告。通過對入侵信息進行分類，它可以與安全管理中心規則緊密聯動，安全管理中心提供針對不同風險的安全機制以及措施，由安全管理中心設備針對業務系統形成防御體系，確保業務系統的安全。同時本專利技術信息安全風險強力識別系統通過模擬現實世界的真實攻擊來識別系統防護能力的弱點，支持第三方開發Metasploit，幫助進行滲透測試。現有的入侵檢測系統雖然能夠追蹤到攻擊者的攻擊路線，抓住肇事者，但其也存在明顯的缺陷，系統不能在沒有用戶參與的情況下對攻擊行為展開調查，傳統的檢測技術不能克服網絡協議方面的缺陷，還有就是很多的安全威脅經常是事后才能知道，其適應性很不好。本專利技術中的信息安全風險強力識別系統在惡意行為分析上拓展了網絡協議的匹配，而且風險行為能及時更新到數據庫，增加的等保四級安全風險識別模塊主要是對網絡中的設備進行實時的監控，克服傳統IDS沒有用戶參與的情況下，能夠對攻擊行為展開調查，準確找到風險設備。而且還提供用戶對系統進行風險監測，對系統進行深入的滲透攻擊測試。本專利技術信息安全風險強力識別系統-惡意行為分析模塊采用了新一代的入侵檢測技術與專利保護的YDSP安全協議棧，包括基于狀態的協議分析技術、規范的入侵特征描述語言、準確的特征分析和提取、標準的安全信息知識庫，以先進的體系結構配合高性能的專用硬件設備，能夠準確地識別來自網絡外部或內部的多種攻擊行為，實時報警和記錄入侵信息，具有靈活多樣化的響應方式，產生適合不同身份的綜合入侵分析報告，可以最大程度地為網絡系統提供安全保障。此外，它可以與安全管理中心規則緊密聯動，形成以主動檢測為核心的動態防御體系，可支持大數據平臺進行大數據分析、存儲及備份。該系統能通過修改配置進行IPS模式的切換，更有效地阻斷所發生的攻擊事件，從而使網絡隱患降至較低限度。本信息安全風險強力識別系統提供等保四級殘余風險監控是一個企業級的分布式監控解決方案，該模塊是一款用于監控眾多服務器的健康完整狀態的軟件，采用了靈活的預警通知機制，比如它允許用戶設定通過email示警任何網絡活動，從而使得服務器的問題能夠被迅速反映出來；具備出色的報告和數據可視化功能所有的數據存儲的在數據庫中，這使得信息安全風險強力識別系統具備很好的規劃的能力，該系統支持主動輪詢和陷阱方式。通過參數配置，所有綜合監控模塊報告和統計資料都可以通過基于Web的前端訪問到，通過正確的配置，您可以從任何地點評估您的服務器狀態，這一點無論對于小企業還是大企業都是非常重要的。此外，IT安全部門幾乎花費他們所有時間用來建設和維護防護系統來保護他們的數據。往往只有企業被攻擊了他們才會發現哪里是他們的真正弱點。本專利技術信息安全風險強力識別系統通過模擬現實世界的真實攻擊來識別您防護能力的弱點，幫助您進行滲透測試，例如使用滲透模塊、密碼審計、攻擊Web應用、發送釣魚郵件等。滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對系統網絡進行測試，以期發現和挖掘系統中存在的漏洞，然后輸出滲透測試報告，并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題。
技術實現思路
本專利技術的目的在于提供一種信息安全風險強力識別系統，以便更好地改善使用效果，方便根據需要使用。為了實現上述目的，本專利技術的技術方案如下。一種信息安全風險強力識別系統，采用進行惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計，其中，惡意行為分析模塊設計是用于對惡意行為進行分析，傳感器分布在網絡中，以監控多個VLAN和子網，利用Snort、Suricata、Bro IDS和OSSEC等服務來執行該服務的惡意行為分析功能，snort引擎能夠對網絡上的數據包進行抓包分析，但區別于平常嗅探器的是，它能根據所定義的規則進行響應及處理。通過對獲取的數據包，進行各規則的分析后，根據規則鏈，可采取Activation(報警并啟動另外一個動態規則鏈)、Dynamic(由其它的規則包調用)、Alert(報警)，Pass(忽略)，Log(不報警但記錄網絡流量)五種響應的機制。改系統有數據包嗅探，數據包分析，數據包檢測，響應處理等多種功能，每個模塊實現不同的功能，各模塊都是用插件的方式和IDS引擎相結合，功能擴展方便。例如，預處理插件的功能就是在規則匹配誤用檢測之前運行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協議各字段，關閉連接，攻擊響應等功能，輸出插件將得理后的各種情況以日志或警告的方式輸出。該系統集成了多進程IDS引擎suricata,suricata由多個關聯模塊組成，其中這些模塊以及與它們關聯的線程隊列等排列方式取決于suricata的運行模式。該運行模式的選擇基于suricata設置的程序優先級，默認運行模式是優化檢測；在另一種運行模式中，使用pfring優化數據包捕獲以及對高吞吐量連接的解碼。無論應用哪種運行模式，suricata的前置環節都是利用數據包捕獲模塊獲取數據包。該模塊從網絡接口獲取數據并將其傳遞給數據包解碼器，供其確定連接類型，并未后續其它模塊的處理過程提供數據格式化。這一過程結束后，數據會被傳遞給數據流處理模塊。數據流處理模塊主要作用于追蹤回話傳輸層相關協議(例如TCP協議)，并以一定的順序重組數據包。此外，數據流處理模塊也負責應用層(例如HTTP協議)的數據處理和重排序。這些數據經妥善處理后被交給檢測模塊，由檢測模塊分析包數據，匹配用戶創建的特征或者規則。若產生告警信息，該告警信息及其關聯數據將被送到輸出模塊，并由該模塊以多種格式輸出數據。本專利技術信息本文檔來自技高網...

【技術保護點】
一種信息安全風險強力識別系統，其特征在于：采用惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計，其中，惡意行為分析模塊設計是用于對惡意行為進行分析，傳感器分布在網絡中，以監控多個VLAN和子網，利用Snort、Suricata、Bro?IDS和OSSEC服務來執行該服務的惡意行為分析功能，snort引擎能夠對網絡上的數據包進行抓包分析；通過對獲取的數據包，進行各規則的分析后，根據規則鏈，可采取Activation、Dynamic、Alert，Pass，Log五種響應的機制；該系統有數據包嗅探，數據包分析，數據包檢測，響應處理多種功能；該系統集成了多進程IDS引擎suricata,suricata由多個關聯模塊組成，其中這些模塊以及與它們關聯的線程隊列等排列方式取決于suricata的運行模式；該運行模式的選擇基于suricata設置的程序優先級，默認運行模式是優化檢測；在另一種運行模式中，使用pfring優化數據包捕獲以及對高吞吐量連接的解碼；本專利技術信息安全風險強力識別系統集成的Bro不同于snort和suricata這類基于特征的IDS，Bro通常是處理更復雜任務的最佳選擇，比如需要更高水平協議知識的任務，貫穿多種網絡流的工作或需要使用自定義算法計算當前處理流量的某部分；Bro不僅支持所有常見網絡協議，甚至許多不太常見的協議也被支持；借助一種被稱為動態協議檢測的特性，即使網絡流量出現于非標準端口，依然可以被其識別；部分被Bro支持的應用層協議和隧道協議如下：DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG?Teredo\GTPv1；當Bro在網絡流量中檢測到已知應用程序協議時，會將本次事務的細節記錄在一個文件中；在Bro對當前流量進行協議解析和協議解碼的過程中，還提供一種創建自定義事務處理邏輯的機制；由協議產生的行為會被視為一系列的事件，用戶可以向Bro注冊事件處理程序，接管事件處理；在對于特定事件編寫和注冊了一個新的事件處理程序后，一旦網絡流量中出現了該事件，Bro將自動調用該事件處理程序，執行用戶代碼；在事件處理程序中，用戶可以做任何想做的事，而事件處理程序的數量也沒有限制；甚至，對于同一個事件，也可以使用多個事件處理程序；本專利技術信息安全風險識別系統中等保四級安全風險識別主要分為四個模塊進行設計：風險監控、主機監控、網絡監控、應用監控；(1)風險監控主要是提供專用的監控專家模板庫，進行高效的數據采集，分析，審計以及處理，通過監控數據遷移，導出到本專利技術安全運維平臺，經綜合評估分析形成安全監控報告，預警并針對性的給出解決方案；(2)主機監控主要監控范圍為：小型機、PC服務器、臺式機、筆記本、字符終端、圖形終端、盤柜等，事件采集方式主機事件由SNMP及監控代理采集，也可無代理采集；支持監控CPU負載，內存空間、磁盤空間、交換分區、網卡流量、主機存活狀態、系統用戶變更服務器重啟；(3)網絡監控主要監控范圍為：交換機、路由器、防火墻、VPN網關、安全網關、鏈路及其他網絡設備，網絡事件采集支持SNMP、OPENFOW協議，監控網絡設備性能、網絡流量、網絡拓撲改變、用戶行為分析并能進行網絡安全檢測；(4)應用程序監控主要監控范圍：自主開發應用軟件、外包應用軟件、商業應用軟件、中間件、數據庫等，主要監控應用程序的存活狀態、訪問速度、返回碼及響應時間，支持監控SSH、APACHE、數據庫、Ngnix；針對以上三大模塊功能特點，以下技術為本專利技術信息安全風險強力識別系統特有：系統總體框架設計為本次專利技術專有，包括IDS，等保四級信息安全殘余風險識別以及滲透測試模塊Metasploit的集成；IDS進行惡意行為分析模塊，本專利技術提供自主的協議定制、規則庫匹配以及本系統專有的界面展示；惡意行為分析模塊捕獲到的事件信息，系統會對風險事件進行分類，針對不同的風險，系統提供相應的安全機制進行防御，其中的風險監控、主機監控、網絡監控、應用監控為安全管理中心針對業務系統不同的資產進行的分類保護；系統集成Metasploit，通過專有的網頁界面設計，進行滲透測試。...

【技術特征摘要】
1.一種信息安全風險強力識別系統，其特征在于：采用惡意行為分析、安全風險識別以及網絡安全強力檢測分析三大模塊進行集成設計，其中，惡意行為分析模塊設計是用于對惡意行為進行分析，傳感器分布在網絡中，以監控多個VLAN和子網，利用Snort、Suricata、Bro IDS和OSSEC服務來執行該服務的惡意行為分析功能，snort引擎能夠對網絡上的數據包進行抓包分析；通過對獲取的數據包，進行各規則的分析后，根據規則鏈，可采取Activation、Dynamic、Alert，Pass，Log五種響應的機制；該系統有數據包嗅探，數據包分析，數據包檢測，響應處理多種功能；該系統集成了多進程IDS引擎suricata,suricata由多個關聯模塊組成，其中這些模塊以及與它們關聯的線程隊列等排列方式取決于suricata的運行模式；該運行模式的選擇基于suricata設置的程序優先級，默認運行模式是優化檢測；在另一種運行模式中，使用pfring優化數據包捕獲以及對高吞吐量連接的解碼；本發明信息安全風險強力識別系統集成的Bro不同于snort和suricata這類基于特征的IDS，Bro通常是處理更復雜任務的最佳選擇，比如需要更高水平協議知識的任務，貫穿多種網絡流的工作或需要使用自定義算法計算當前處理流量的某部分；Bro不僅支持所有常見網絡協議，甚至許多不太常見的協議也被支持；借助一種被稱為動態協議檢測的特性，即使網絡流量出現于非標準端口，依然可以被其識別；部分被Bro支持的應用層協議和隧道協議如下：DHCP\\DNS\\FTP\\HTTP\\IRC\\POP3\\SMTP\\SOCKS\\SSH\\SSL\\SYSLOG Teredo\\GTPv1；當Bro在網絡流量中檢測到已知應用程序協議時，會將本次事務的細節記錄在一個文件中；在Bro對當前流量進行協議解析和協議解碼的過程中，還提供一種創建自定義事務處理邏輯的機制；由協議產生的行為會被視為一系列的事件，用戶可以向Bro注冊事件處理程序，接管事件處理；在對于特定事件編寫和注冊了一...

【專利技術屬性】
技術研發人員：戚建淮，李土裕，
申請(專利權)人：深圳市永達電子信息股份有限公司，
類型：發明
國別省市：廣東;44