大数据安全

  • 风险探知系统
  • 大数据分析平台

安全运维

  • 堡垒机
  • 安全策略
  • 漏洞扫描
  • 安管平台
  • 日志审计
  • 综合网络管理
  • 运维管理

安全态势感知平台

1.安全检测与数据采集层

  • 基础设施探测系统

    – 全网资产信息库

    – 全网信息安全底图?

    – 重要漏洞验证

2.Web类监测系统

  • 漏洞扫描

    – 漏洞

  • 木马扫描

  • 敏感词检测

  • 可用性监测

3.流量类检测系统

僵木儒监测

僵木儒

  • 僵尸网络:DDos的罪魁祸首,即可以被攻击者远程控制的感染僵尸程序主机组成的网络。可分为基于IRC(Internet Relay Chat)、HTTP、DNS、P2P等类型

  • 木马:攻击者在目标主机上植入的恶意程序,主要用于暗中窃取目标主机上的身份、账号、密码及数据文件等机密信息。

  • 蠕虫:一种可以自我复制,通过网络传播的病毒。很多僵尸程序是通过蠕虫传播的。

传播性 可控性 窃密性 危害及等级
蠕虫(Worm) 主动自我复制,感染包括数据文件 一般没有 一般没有 宽带和系统资源消耗 高
木马(Trojan) 一般不主动传播 可控 全部控制 高
僵尸程序(Bot/Zombie) 一般不主动传播,有些借助蠕虫传播 高度可控 全部控制 高

僵木儒监测目标

  • 僵尸网络:定位僵尸主机IP地址、发现僵尸网络所用域名、定位C&C服务器(command and control server)IP地址.

  • 木马监测:定位感染木马程序的主机IP地址

  • 蠕虫检测:监测蠕虫爆发事件

僵木儒工作原理

  • 蜜罐主机充当卧底

    蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
    蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

    蜜网主机一般部署在未使用的IP网段。出去极少数错误,一般访问蜜罐主机的都是恶意行为。
    对蜜罐主机的扫描信息进行追踪,可以发现发起扫面的源地址,因为扫描行为是为了发现系统漏洞进行攻击,所以一般源地址不会进行伪造(直接的源地址),可以进行精准定位。
    蜜网上如果被成功植入僵木儒,则可以提供更加丰富的情报信息,并且可以定位攻击者。

    蜜网系统可以提供两类信息:

    1)蜜网主机作为僵尸网络中的成员与C&C主机的通讯信息;

    2)蜜网主机接收到的扫描心息

  • DNS解析记录分析(DNS Log Analysis, DLA)

    分析DNS解析日志,僵尸网络具备:域名小众,请求频率低,来源数量少等特点。

  • 网络流量日志统计分析 (Netflow Statistic Analysis)

    僵尸网络和蠕虫传播产生的巨大流量,与传统流量在统计指标上有着显著的差异。根据现有的各种有效的统计指标,发现可以的僵尸网络/蠕虫传播情况,并根据IP地址定位僵尸主机,可以用来检测攻击流量。

  • 网络数据包特征分析(Packet Signature Analysis, PSA)

    根据僵木儒数据包特征,对抓取的数据包进行深度分析,包括对包的载荷(payload)的分析,对比已知特征,以检测到感染的僵尸主机。

APT检测

恶意代码检测

入侵检测 IDS

入侵防御 IPS

DDos检测

EDR 端点检测与响应

EPP 端点防护平台

数据泄漏防护

(Data leakage prevention, DLP)|| (Information Leakage Prevention, ILP) || (Data Loss Prevention, DLP)

泄露途径

目前,数据泄漏的途径可归类为三种:在使用状态下的泄密、在存储状态下的泄密和在传输状态下的泄密。一般企业可通过安装防火墙、杀毒软件等方法来阻挡外部的入侵,但是事实上97%的信息泄密事件源于企业内部,所以就以上三种泄密途径分析,信息外泄的根源在于:

泄密方式 泄密途径
1、使用泄漏: 1)操作失误导致技术数据泄漏或损坏;
2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。
2、存储泄漏: 1) 数据中心、服务器、数据库的数据被随意下载、共享泄漏;
2)离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料;
3)移动笔记本被盗、丢失或维修造成数据泄漏。
3、传输泄漏: 1)通过email、QQ、MSN等轻易传输机密资料;
2)通过网络监听、拦截等方式篡改、伪造传输数据。

防护原理

通过 身份认证加密控制 以及 使用日志的统计对内部文件进行控制。目前,在数据泄漏防护市场里面,国内具备自主知识产权的产品生产厂家为数不多,以上参考虹安信息的DLP数据泄漏防护系统。

TopIDP产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断网络入侵行为,可以准确地发现并阻断各种网络攻击

统一威胁管理 UTM

https://blog.csdn.net/sj349781478/article/details/74058909

4.独立日志采集探针

5.系统漏洞采集探针

安全基线,是借用“基线”的概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。