網(wǎng)絡(luò)安全威脅感知系統(tǒng)

1、產(chǎn)品概述

近年來(lái)，互聯(lián)網(wǎng)在我國(guó)發(fā)展迅猛，已經(jīng)成為我國(guó)政治、經(jīng)濟(jì)、文化、軍事等諸多領(lǐng)域重要的信息基礎(chǔ)設(shè)施。同時(shí)，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，網(wǎng)絡(luò)安全威脅越來(lái)越多樣化和高級(jí)化。2005~2007年網(wǎng)絡(luò)安全威脅主要為病毒和蠕蟲(chóng)，以破壞為主，更多的是黑客炫耀自身技術(shù)的個(gè)體攻擊；2007~2009年新增的主要網(wǎng)絡(luò)安全威脅是間諜軟件和僵尸，為有組織的黑客團(tuán)體以竊密、拒絕服務(wù)攻擊為主的網(wǎng)絡(luò)犯罪，體現(xiàn)出趨利性。而2011年以來(lái)主要威脅是APT和零日漏洞攻擊、隱形僵尸網(wǎng)絡(luò)、特種變形木馬等等，為國(guó)家之間的高級(jí)可持續(xù)性攻擊（APT）和網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，更多體現(xiàn)出政治性，網(wǎng)絡(luò)安全已經(jīng)上升為國(guó)家核心戰(zhàn)略。

網(wǎng)絡(luò)安全關(guān)口監(jiān)測(cè)系統(tǒng)部署在重要部門(mén)關(guān)口，是具備報(bào)文監(jiān)測(cè)、流監(jiān)測(cè)、網(wǎng)絡(luò)異常通信行為分析、惡意代碼監(jiān)測(cè)等多種安全監(jiān)測(cè)能力和多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析能力的一體化網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，可與CNCERT安全云之間協(xié)同工作，實(shí)現(xiàn)高、低位聯(lián)動(dòng)監(jiān)控；通過(guò)對(duì)關(guān)口流量進(jìn)行監(jiān)測(cè)、分析、告警、日志留存、網(wǎng)絡(luò)審計(jì)，可及時(shí)發(fā)現(xiàn)木馬與僵尸網(wǎng)絡(luò)惡意活動(dòng)事件、惡意代碼感染與傳播事件、網(wǎng)絡(luò)失泄密事件，并可以通過(guò)分析異常通信行為預(yù)警未知安全威脅，支持對(duì)歷史事件和明細(xì)數(shù)據(jù)的快速查詢，從而保障重要用戶關(guān)口的安全。

2、產(chǎn)品特點(diǎn)

2.1 更全面的檢測(cè)模型

CNCERT產(chǎn)品的檢測(cè)模型是誤用和異常檢測(cè)相結(jié)合的混合模型，重點(diǎn)對(duì)木馬、僵尸網(wǎng)絡(luò)感染后的網(wǎng)絡(luò)通信行為進(jìn)行分析，采用的是通信行為特征簽名和無(wú)簽名技術(shù)；不僅提供實(shí)時(shí)檢測(cè)技術(shù)手段，而且針對(duì)特種木馬的間歇性心跳行為等還提供離線檢測(cè)手段?？梢园l(fā)現(xiàn)未知威脅，漏報(bào)率低；且工作模式是協(xié)同檢測(cè)模式，安全事件會(huì)上傳到CNCERT安全云進(jìn)行分析判定，誤報(bào)率低。

2.2 具備全方位、多維度的檢測(cè)能力

關(guān)口監(jiān)測(cè)系統(tǒng)具備全方位、多維度的檢測(cè)能力，主要體現(xiàn)為已知攻擊的監(jiān)測(cè)能力、未知威脅的預(yù)警能力和APT的取證分析能力，與現(xiàn)有安全監(jiān)測(cè)產(chǎn)品僅能發(fā)現(xiàn)已知攻擊相比，實(shí)現(xiàn)了檢測(cè)能力的階梯跨越式提升。

2.3 具備多元異構(gòu)數(shù)據(jù)的融合分析能力

在全階段檢測(cè)的基礎(chǔ)上，依靠CNCERT安全云的大數(shù)據(jù)存儲(chǔ)、挖掘與分析能力，對(duì)特征事件、惡意代碼、異常事件和URL記錄、域名記錄、NetFlow的元數(shù)據(jù)進(jìn)行深度關(guān)聯(lián)分析和回溯分析，可以還原攻擊的全過(guò)程。

2.4 實(shí)時(shí)獲取國(guó)家級(jí)的知識(shí)庫(kù)

關(guān)口監(jiān)測(cè)系統(tǒng)可實(shí)時(shí)從安全云獲取最新、最權(quán)威的國(guó)家級(jí)知識(shí)庫(kù)，包括：攻擊特征規(guī)則庫(kù)、通信異常行為特征庫(kù)、惡意代碼特征簽名庫(kù)、僵尸網(wǎng)絡(luò)CC庫(kù)、黑名單庫(kù)、漏洞庫(kù)、全局白名單庫(kù)等。

2.5 建立端云協(xié)同的閉環(huán)式安全監(jiān)測(cè)響應(yīng)體系

關(guān)口監(jiān)測(cè)系統(tǒng)與國(guó)家安全云實(shí)現(xiàn)高低位協(xié)同聯(lián)動(dòng)，構(gòu)建網(wǎng)絡(luò)安全監(jiān)測(cè)、分析、溯源、響應(yīng)、展示和處置一整套安全監(jiān)測(cè)響應(yīng)體系。

3、功能價(jià)值

4、典型方案

典型部署方式如上圖所示，關(guān)口監(jiān)測(cè)系統(tǒng)部署在通過(guò)交換機(jī)鏡像（或者分光）的方式將內(nèi)網(wǎng)核心交換機(jī)的流量和DMZ區(qū)的流量接入關(guān)口監(jiān)測(cè)系統(tǒng)的捕包網(wǎng)卡。關(guān)口監(jiān)測(cè)系統(tǒng)通訊網(wǎng)卡需要接到外網(wǎng)匯聚交換機(jī)上，并可以通過(guò)防火墻設(shè)置訪問(wèn)外網(wǎng)的權(quán)限。