CN116471093A - 一种用于不同信息域的安全风险高强度监测系统 - Google Patents
一种用于不同信息域的安全风险高强度监测系统 Download PDFInfo
- Publication number
- CN116471093A CN116471093A CN202310446690.2A CN202310446690A CN116471093A CN 116471093 A CN116471093 A CN 116471093A CN 202310446690 A CN202310446690 A CN 202310446690A CN 116471093 A CN116471093 A CN 116471093A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- module
- network
- security
- monitoring system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 121
- 238000001514 detection method Methods 0.000 claims abstract description 52
- 238000004458 analytical method Methods 0.000 claims abstract description 43
- 230000006399 behavior Effects 0.000 claims abstract description 32
- 230000035515 penetration Effects 0.000 claims abstract description 17
- 238000012360 testing method Methods 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 18
- 238000000034 method Methods 0.000 claims description 17
- 241001501944 Suricata Species 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 8
- 230000009471 action Effects 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 7
- 230000004083 survival effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 4
- 238000011161 development Methods 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000012946 outsourcing Methods 0.000 claims description 3
- 238000005192 partition Methods 0.000 claims description 3
- 238000013461 design Methods 0.000 abstract description 5
- 238000007405 data analysis Methods 0.000 abstract description 2
- 238000013500 data storage Methods 0.000 abstract description 2
- 230000007123 defense Effects 0.000 abstract description 2
- 230000009545 invasion Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 2
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 2
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 2
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 101150060088 ampp gene Proteins 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 108010077055 methylated bovine serum albumin Proteins 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及入侵检测系统技术领域,尤其为一种用于不同信息域的安全风险高强度监测系统,所述监测系统包括:恶意行为分析模块、安全风险识别模块和网络安全强力检测模块,且三大模块进行集成设计,所述恶意行为分析模块用于对恶意行为进行分析;本发明通过采用恶意行为分析、安全风险识别以及网络安全强力检测分析三大模块进行集成设计,具有较高安全检测能力,可以根据不同的风险事件进行分类,同时生成形成以主动检测为核心的动态防御体系,及早发现自己的安全隐患和外界的入侵途径,支持大数据平台进行大数据分析、存储及备份,同时系统允许用户对网络中的设备进行渗透测试攻击,以检测系统中存在的安全风险。
Description
技术领域
本发明涉及入侵检测系统技术领域,具体为一种用于不同信息域的安全风险高强度监测系统。
背景技术
入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。早期的IDS仅仅是一个监听系统。基于目前局域网的工作方式,IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。再后来,由于IDS的记录太多,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录。目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加。
IDS虽然具有上面所说的众多特性,但在实际的使用中,目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全。
针对现有的入侵检测系统,安全风险高强度监测系统主要创新点为通过集成多IDS抓包引擎,能够准确地识别来自网络外部或内部的多种攻击行为,实时报警和记录入侵信息,具有灵活多样化的响应方式,产生适合不同身份的综合入侵分析报告。
现有的入侵检测系统虽然能够追踪到攻击者的攻击路线,抓住肇事者,但其也存在明显的缺陷,系统不能在没有用户参与的情况下对攻击行为展开调查,传统的检测技术不能克服网络协议方面的缺陷,且很多的安全威胁经常在事后得知,使得入侵检测系统的适应性较差。
发明内容
本发明的目的在于提供一种用于不同信息域的安全风险高强度监测系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种用于不同信息域的安全风险高强度监测系统,所述监测系统包括:恶意行为分析模块、安全风险识别模块和网络安全强力检测模块,且三大模块进行集成设计,所述恶意行为分析模块用于对恶意行为进行分析,并利用Snort、Suricata、BroIDS和OSSEC服务来执行恶意行为分析功能,所述安全风险识别模块用于进行安全风险识别,所述安全风险识别模块设计符合国家等保要求,且安全风险识别分为风险监控、主机监控、网络监控和应用监控四个模块进行设计,所述网络安全强力检测模块用于网络安全强力检测分析,所述网络安全强力检测模块支持Metasploit安全漏洞检测工具。
优选的,所述恶意行为分析模块通过snort引擎用于对网络上的数据包进行抓包分析,并根据所定义的规则进行响应及处理。
优选的,所述监测系统根据规则链,采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警)、Pass(忽略)和Log(不报警但记录网络流量)五种响应机制。
优选的,所述监测系统集成多进程IDS引擎suricata,且suricata由多个关联模块组成,所述监测系统运行模式的选择基于suricata设置的程序优先级,默认运行模式为优化检测。
优选的,所述监测系统包括数据包捕获模块、数据流处理模块、检测模块和输出模块,所述数据包捕获模块用于从网络接口获取数据并将其传递给数据包解码器,并对后续其它模块的处理过程提供数据格式化,所述数据流处理模块用于追踪回话传输层相关协议,并以一定的顺序重组数据包,负责应用层的数据处理和重排序,所述检测模块分析数据包,并匹配用户创建的特征或规则,所述输出模块以多种格式输出数据。
优选的,所述风险监控模块用于提供专用的监控专家模板库,进行高效的数据采集、分析、审计以及处理,通过监控数据迁移,导出到安全运维平台,经综合评估分析形成安全监控报告,预警并针对性给出解决方案。
优选的,所述主机监控模块用于监控小型机、PC服务器、台式机、笔记本、字符终端、图形终端和盘柜,事件采集方式主机事件由SNMP及监控代理采集,所述主机监控模块支持监控CPU负载、内存空间、磁盘空间、交换分区、网卡流量、主机存活状态、系统用户变更和服务器重启。
优选的,所述网络监控模块用于监控交换机、路由器、防火墙、VPN网关、安全网关、链路以及其他网络设备,网络事件采集支持SNMP、OPENFOW协议,所述网络监控模块监控网络设备性能、网络流量、网络拓扑改变、用户行为分析并能进行网络安全检测。
优选的,所述应用程序监控模块用于监控自主开发应用软件、外包应用软件、商业应用软件、中间件和数据库,所述应用程序监控模块监控应用程序的存活状态、访问速度、返回码及响应时间,支持监控SSH、APACHE、数据库和Ngnix。
优选的,所述监测系统通过模拟现实世界的真实攻击识别防护能力的弱点,帮助进行渗透测试,现实世界的真实攻击包括使用渗透模块、密码审计、攻击Web应用和发送钓鱼邮件。
与现有技术相比,本发明的有益效果如下:
本发明通过采用恶意行为分析、安全风险识别以及网络安全强力检测分析三大模块进行集成设计,具有较高安全检测能力,可以根据不同的风险事件进行分类,同时生成形成以主动检测为核心的动态防御体系,及早发现自己的安全隐患和外界的入侵途径,支持大数据平台进行大数据分析、存储及备份,同时系统允许用户对网络中的设备进行渗透测试攻击,以检测系统中存在的安全风险,实现安全风险的可预见。
附图说明
图1为本发明系统设计架构图;
图2为本发明风险识别图;
图3为本发明默认抓包模式流程图;
图4为本发明pfring运行模式图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种用于不同信息域的安全风险高强度监测系统,所述监测系统包括:恶意行为分析模块、安全风险识别模块和网络安全强力检测模块,且三大模块进行集成设计,所述恶意行为分析模块用于对恶意行为进行分析,并利用Snort、Suricata、BroIDS和OSSEC服务来执行恶意行为分析功能,所述安全风险识别模块用于进行安全风险识别,所述安全风险识别模块设计符合国家等保要求,且安全风险识别分为风险监控、主机监控、网络监控和应用监控四个模块进行设计,所述网络安全强力检测模块用于网络安全强力检测分析,所述网络安全强力检测模块支持Metasploit安全漏洞检测工具。
所述安全风险识别模块能够自动发现服务器和网络设备,主要工作特性有:
1、分布式监控网络,集中式管理;
2、支持polling和trapping机制;
3、服务器端支持Linux,Solaris,HP-UX,AIX,FreeBSD,OpenBSD,OSX系统;
4、高性能本地代理(客户端软件支持Linux,Solaris,HP-UX,AIX,FreeBSD,OpenBSD,OSX,Tru64/OSF1,WindowsNT4.0,Windows2000,Windows2003,WindowsXP,WindowsVista系统);
5、无代理监控;
6、有安全的用户认证功能;
7、可灵活地分配用户权限;
8、基于web的接口;
9、可灵活地预定网络事件并使用邮件/短信/微信等告知方式;
10、高等级的资源监控;
11、日志审计功能;
12、监控指标:CPU负荷、内存使用、磁盘使用、网络状况、端口监视和日志监视。
Metasploit安全漏洞检测工具的工作特性如下:
灵活、开放平台:支持API接口二次开发、支持第三方报告导入。例如:NeXpose,Metasploit,Acunetix,Amap,Appscan,Foundstone,Libpcap,MicrosoftMBSA,Nessus,NetSparker,Nmap,QualysandRetina。
丰富的渗透测试:支持网络设备,数据库,操作系统,web应用,移动终端,工控设备等渗透测试。
高效:在一次任务中可以渗透1万台主机的安全性。
友好授权:渗透测试不受Ip数量限制。
Web界面:Web界面、让操作更加便捷高效。
支持:拥有丰富渗透测试经验的产品开发团队、协助你解决渗透测试过程中遇到的问题。
集成:可集成在企业的安全策略管理平台(soc平台)。
马后门免杀:支持随机免杀技术,免杀全球90%的杀毒软件。
暴力破解:支持多种协议如:SMB,Postgres,DB2,MySQL,MSSQL,Oracle,HTTP,HTTPS,SSH,Telnet,FTP,POP3,BSDEXEC,BSDLOGIN,BSDSHELL,VMAuthd,VNC,SNMP,AFP。
进一步的,所述恶意行为分析模块通过snort引擎用于对网络上的数据包进行抓包分析,并根据所定义的规则进行响应及处理。
进一步的,所述监测系统根据规则链,采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警)、Pass(忽略)和Log(不报警但记录网络流量)五种响应机制。
进一步的,所述监测系统集成多进程IDS引擎suricata,且suricata由多个关联模块组成,所述监测系统运行模式的选择基于suricata设置的程序优先级,默认运行模式为优化检测,可以控制监测系统的运行模式,对安全风险进行有效控制,从而在安全管理过程中做出正确决策。
进一步的,所述监测系统包括数据包捕获模块、数据流处理模块、检测模块和输出模块,所述数据包捕获模块用于从网络接口获取数据并将其传递给数据包解码器,并对后续其它模块的处理过程提供数据格式化,所述数据流处理模块用于追踪回话传输层相关协议,并以一定的顺序重组数据包,负责应用层的数据处理和重排序,所述检测模块分析数据包,并匹配用户创建的特征或规则,所述输出模块以多种格式输出数据。
进一步的,所述风险监控模块用于提供专用的监控专家模板库,进行高效的数据采集、分析、审计以及处理,通过监控数据迁移,导出到安全运维平台,经综合评估分析形成安全监控报告,预警并针对性给出解决方案,可以将具体主机名、用户名或服务器名与IP地址绑定。
进一步的,所述主机监控模块用于监控小型机、PC服务器、台式机、笔记本、字符终端、图形终端和盘柜,事件采集方式主机事件由SNMP及监控代理采集,所述主机监控模块支持监控CPU负载、内存空间、磁盘空间、交换分区、网卡流量、主机存活状态、系统用户变更和服务器重启,使得监控窗口中显示的不再是难以理解的IP地址,而是具体位置的主机名或服务器名。
进一步的,所述网络监控模块用于监控交换机、路由器、防火墙、VPN网关、安全网关、链路以及其他网络设备,网络事件采集支持SNMP、OPENFOW协议,所述网络监控模块监控网络设备性能、网络流量、网络拓扑改变、用户行为分析并能进行网络安全检测,可以精确监控到监测系统中具体位置设备的运行状态。
进一步的,所述应用程序监控模块用于监控自主开发应用软件、外包应用软件、商业应用软件、中间件和数据库,所述应用程序监控模块监控应用程序的存活状态、访问速度、返回码及响应时间,支持监控SSH、APACHE、数据库和Ngnix,可以监控与安全事件相关连的源主机名和目标主机名,使得员工的网络行为、对服务器的访问连接和安全事件的相关者一目了然。
进一步的,所述监测系统通过模拟现实世界的真实攻击识别防护能力的弱点,帮助进行渗透测试,现实世界的真实攻击包括使用渗透模块、密码审计、攻击Web应用和发送钓鱼邮件,可以通过专有的网页界面设计,进行渗透测试,从而能够提升渗透测试效率以及测试效果。
安全风险高强度监测系统是用于对恶意行为进行分析,传感器分布在网络中,以监控多个VLAN和子网。利用Snort、Suricata、BroIDS和OSSEC等服务来执行该服务的恶意行为分析功能。snort引擎能够对网络上的数据包进行抓包分析,但区别于平常嗅探器的是,它能根据所定义的规则进行响应及处理。通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。该系统有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和IDS引擎相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
该系统集成了多进程IDS引擎suricata,suricata由多个关联模块组成,其中这些模块以及与它们关联的线程队列等排列方式取决于suricata的运行模式。该运行模式的选择基于suricata设置的程序优先级,默认运行模式是优化检测,这是典型的资源密集型模块,该运行模式如图3所示。在另一种运行模式中,使用pfring优化数据包捕获以及对高吞吐量连接的解码,如图4所示。
无论应用哪种运行模式,suricata的前置环节都是利用数据包捕获模块获取数据包。该模块从网络接口获取数据并将其传递给数据包解码器,供其确定连接类型,并未后续其它模块的处理过程提供数据格式化。这一过程结束后,数据会被传递给数据流处理模块。数据流处理模块主要作用于追踪回话传输层相关协议(例如TCP协议),并以一定的顺序重组数据包。此外,数据流处理模块也负责应用层(例如HTTP协议)的数据处理和重排序。这些数据经妥善处理后被交给检测模块,由检测模块分析包数据,匹配用户创建的特征或者规则。若产生告警信息,该告警信息及其关联数据将被送到输出模块,并由该模块以多种格式输出数据。
安全风险高强度监测系统集成的Bro不同于snort和suricata这类基于特征的IDS,Bro通常是处理更复杂任务的最佳选择,比如需要更高水平协议知识的任务,贯穿多种网络流的工作或需要使用自定义算法计算当前处理流量的某部分。Bro不仅支持所有常见网络协议,甚至许多不太常见的协议也被支持。借助一种被称为动态协议检测的特性,即使网络流量出现于非标准端口,依然可以被其识别。部分被Bro支持的应用层协议和隧道协议如下:DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOGTeredo\GTPv1。
当Bro在网络流量中检测到已知应用程序协议时,会将本次事务的细节记录在一个文件中。在Bro对当前流量进行协议解析和协议解码的过程中,还提供一种创建自定义事务处理逻辑的机制。由协议产生的行为会被视为一系列的事件,用户可以向Bro注册事件处理程序,接管事件处理。在对于特定事件编写和注册了一个新的事件处理程序后,一旦网络流量中出现了该事件,Bro将自动调用该事件处理程序,执行用户代码。在事件处理程序中,用户可以做任何想做的事,而事件处理程序的数量也没有限制。甚至,对于同一个事件,也可以使用多个事件处理程序。
针对以上三大模块功能特点,以下技术为信息安全风险高强度监测系统特有:
系统总体框架设计为本发明专有,包括IDS,等保四级信息安全残余风险识别以及渗透测试模块Metasploit的集成。
IDS进行恶意行为分析模块,本发明提供自主的协议定制、规则库匹配以及本系统专有的界面展示。
恶意行为分析模块捕获到的事件信息,系统会对风险事件进行分类,针对不同的风险,系统提供相应的安全机制进行防御,其中的风险监控、主机监控、网络监控、应用监控为安全策略中心针对业务系统不同的资产进行的分类保护。
系统集成Metasploit,通过专有的网页界面设计,进行渗透测试。
该安全风险高强度监测系统提供了主机名绑定功能,将具体主机名、用户名或服务器名与IP地址绑定。通过综合监控模块提供的设备监控拓扑图,能够很清楚地监控到具体位置设备的运行状态。这样一来,在控制台的监控窗口中显示的不再是难以理解的IP地址,而是具体位置的主机名或服务器名。在安全事件窗口中,与安全事件相关连的是源主机名和目标主机名,使得员工的网络行为、对服务器的访问连接和安全事件的相关者一目了然。
该安全风险高强度监测系统提供了多种报告网络安全状况的方式和功能强大的报表分析工具,能够满足用户的各种需要。如:流量图可以体现网络当前的流量状况,明细报表提供了按时间段或按严重程度对各类事件的报告,分析报表对报警数据库中记录的数据进行统计分析,还能以柱状图、饼图等形式反映统计结果。
首先,安全风险高强度监测系统提供一个企业级的分布式监控解决方案,用于监控众多服务器的健康完整状态的软件,采用了灵活的预警通知机制,允许用户设定通过email示警任何网络活动,从而使得服务器的问题能够被迅速反映出来,该系统还具备出色的报告和数据可视化功能所有的数据存储的在数据库中,这使得信息安全风险高强度监测系统具备很好的规划的能力,支持主动轮询和陷阱方式。通过参数配置,所有综合监控模块报告和统计资料都可以通过基于Web的前端访问到。
其次,系统对安全风险管理的对象进行分类,如:员工对象、服务对象、服务器对象等。然后,对各种对象进行分类管理,如:内部员工管理、服务管理、服务器管理。对安全信息进行分类有助于用户对信息的浏览,并迅速识别其关注的事件。
再次,系统还具有网络流量的统计功能,可以随时监控网段的使用情况。一旦发现某一时刻网络流量异常则网络管理员可以通过其他指标分析目前网络中是否存在资源滥用的现象并采取相应的措施。安全风险高强度监测系统的流量图功能可以使网络管理员随时查看网络的流量状况。
除此之外,还需要对一组重要服务器(目标地址)或一组可疑的或特定的主机(源地址)进行专门管理:加入到重要服务器组中的对象可以是在网络中起关键作用、需要重点保护的主机,加入到重点检测组中的对象应当是有攻击嫌疑的内部或外部主机。系统不但提供对特定源地址或目标地址的管理,还可以根据监控情况生成相应的报表,实现了监控和报表的一体化。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述监测系统包括:恶意行为分析模块、安全风险识别模块和网络安全强力检测模块,且三大模块进行集成设计,所述恶意行为分析模块用于对恶意行为进行分析,并利用Snort、Suricata、BroIDS和OSSEC服务来执行恶意行为分析功能,所述安全风险识别模块用于进行安全风险识别,所述安全风险识别模块设计符合国家等保要求,且安全风险识别分为风险监控、主机监控、网络监控和应用监控四个模块进行设计,所述网络安全强力检测模块用于网络安全强力检测分析,所述网络安全强力检测模块支持Metasploit安全漏洞检测工具。
2.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述恶意行为分析模块通过snort引擎用于对网络上的数据包进行抓包分析,并根据所定义的规则进行响应及处理。
3.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述监测系统根据规则链,采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警)、Pass(忽略)和Log(不报警但记录网络流量)五种响应机制。
4.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述监测系统集成多进程IDS引擎suricata,且suricata由多个关联模块组成,所述监测系统运行模式的选择基于suricata设置的程序优先级,默认运行模式为优化检测。
5.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述监测系统包括数据包捕获模块、数据流处理模块、检测模块和输出模块,所述数据包捕获模块用于从网络接口获取数据并将其传递给数据包解码器,并对后续其它模块的处理过程提供数据格式化,所述数据流处理模块用于追踪回话传输层相关协议,并以一定的顺序重组数据包,负责应用层的数据处理和重排序,所述检测模块分析数据包,并匹配用户创建的特征或规则,所述输出模块以多种格式输出数据。
6.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述风险监控模块用于提供专用的监控专家模板库,进行高效的数据采集、分析、审计以及处理,通过监控数据迁移,导出到安全运维平台,经综合评估分析形成安全监控报告,预警并针对性给出解决方案。
7.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述主机监控模块用于监控小型机、PC服务器、台式机、笔记本、字符终端、图形终端和盘柜,事件采集方式主机事件由SNMP及监控代理采集,所述主机监控模块支持监控CPU负载、内存空间、磁盘空间、交换分区、网卡流量、主机存活状态、系统用户变更和服务器重启。
8.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述网络监控模块用于监控交换机、路由器、防火墙、VPN网关、安全网关、链路以及其他网络设备,网络事件采集支持SNMP、OPENFOW协议,所述网络监控模块监控网络设备性能、网络流量、网络拓扑改变、用户行为分析并能进行网络安全检测。
9.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述应用程序监控模块用于监控自主开发应用软件、外包应用软件、商业应用软件、中间件和数据库,所述应用程序监控模块监控应用程序的存活状态、访问速度、返回码及响应时间,支持监控SSH、APACHE、数据库和Ngnix。
10.根据权利要求1所述的一种用于不同信息域的安全风险高强度监测系统,其特征在于:所述监测系统通过模拟现实世界的真实攻击识别防护能力的弱点,帮助进行渗透测试,现实世界的真实攻击包括使用渗透模块、密码审计、攻击Web应用和发送钓鱼邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310446690.2A CN116471093A (zh) | 2023-04-24 | 2023-04-24 | 一种用于不同信息域的安全风险高强度监测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310446690.2A CN116471093A (zh) | 2023-04-24 | 2023-04-24 | 一种用于不同信息域的安全风险高强度监测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116471093A true CN116471093A (zh) | 2023-07-21 |
Family
ID=87175079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310446690.2A Pending CN116471093A (zh) | 2023-04-24 | 2023-04-24 | 一种用于不同信息域的安全风险高强度监测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116471093A (zh) |
-
2023
- 2023-04-24 CN CN202310446690.2A patent/CN116471093A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US7376969B1 (en) | Real time monitoring and analysis of events from multiple network security devices | |
| CN106131023A (zh) | 一种信息安全风险强力识别系统 | |
| US20120260306A1 (en) | Meta-event generation based on time attributes | |
| US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| Ramaki et al. | A survey of IT early warning systems: architectures, challenges, and solutions | |
| Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
| US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
| Qureshi et al. | Network Forensics: A Comprehensive Review of Tools and Techniques | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
| CN113194087A (zh) | 一种用于不同信息域的安全风险高强度监测系统 | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| Mahmoud et al. | Detecting cyber attacks through measurements: learnings from a cyber range | |
| Kecskés et al. | Monitoring 5g networks in security operation center | |
| CN116471093A (zh) | 一种用于不同信息域的安全风险高强度监测系统 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Gavrilovic et al. | Snort IDS system visualization interface | |
| CN116827698B (zh) | 一种网络关口流量安全态势感知系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |