一种信息安全风险强力识别系统的制作方法

文档序号：11878777阅读：376来源：国知局

本发明涉及入侵检测系统领域，具体涉及一种信息安全风险强力识别系统。

背景技术：

入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。早期的IDS仅仅是一个监听系统。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。再后来，由于IDS的记录太多了，所以新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很像；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加。

就如理论与实际的区别一样，IDS虽然具有上面所说的众多特性，但在实际的使用中，目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流，所以这就限制了IDS本身的阻断功能，IDS只有靠发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如Telnet、FTP、HTTP等，而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好的保护网络的安全。

针对现有的入侵检测系统，本发明信息安全风险强力识别系统主要创新点为通过集成多IDS抓包引擎，能够准确地识别来自网络外部或内部的多种攻击行为，实时报警和记录入侵信息，具有灵活多样化的响应方式，产生适合不同身份的综合入侵分析报告。通过对入侵信息进行分类，它可以与安全管理中心规则紧密联动，安全管理中心提供针对不同风险的安全机制以及措施，由安全管理中心设备针对业务系统形成防御体系，确保业务系统的安全。同时本发明信息安全风险强力识别系统通过模拟现实世界的真实攻击来识别系统防护能力的弱点，支持第三方开发Metasploit，帮助进行渗透测试。

现有的入侵检测系统虽然能够追踪到攻击者的攻击路线，抓住肇事者，但其也存在明显的缺陷，系统不能在没有用户参与的情况下对攻击行为展开调查，传统的检测技术不能克服网络协议方面的缺陷，还有就是很多的安全威胁经常是事后才能知道，其适应性很不好。

本发明中的信息安全风险强力识别系统在恶意行为分析上拓展了网络协议的匹配，而且风险行为能及时更新到数据库，增加的等保四级安全风险识别模块主要是对网络中的设备进行实时的监控，克服传统IDS没有用户参与的情况下，能够对攻击行为展开调查，准确找到风险设备。而且还提供用户对系统进行风险监测，对系统进行深入的渗透攻击测试。本发明信息安全风险强力识别系统-恶意行为分析模块采用了新一代的入侵检测技术与专利保护的YDSP安全协议栈，包括基于状态的协议分析技术、规范的入侵特征描述语言、准确的特征分析和提取、标准的安全信息知识库，以先进的体系结构配合高性能的专用硬件设备，能够准确地识别来自网络外部或内部的多种攻击行为，实时报警和记录入侵信息，具有灵活多样化的响应方式，产生适合不同身份的综合入侵分析报告，可以最大程度地为网络系统提供安全保障。此外，它可以与安全管理中心规则紧密联动，形成以主动检测为核心的动态防御体系，可支持大数据平台进行大数据分析、存储及备份。该系统能通过修改配置进行IPS模式的切换，更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。本信息安全风险强力识别系统提供等保四级残余风险监控是一个企业级的分布式监控解决方案，该模块是一款用于监控众多服务器的健康完整状态的软件，采用了灵活的预警通知机制，比如它允许用户设定通过email示警任何网络活动，从而使得服务器的问题能够被迅速反映出来；具备出色的报告和数据可视化功能所有的数据存储的在数据库中，这使得信息安全风险强力识别系统具备很好的规划的能力，该系统支持主动轮询和陷阱方式。通过参数配置，所有综合监控模块报告和统计资料都可以通过基于Web的前端访问到，通过正确的配置，您可以从任何地点评估您的服务器状态，这一点无论对于小企业还是大企业都是非常重要的。

此外，IT安全部门几乎花费他们所有时间用来建设和维护防护系统来保护他们的数据。往往只有企业被攻击了他们才会发现哪里是他们的真正弱点。本发明信息安全风险强力识别系统通过模拟现实世界的真实攻击来识别您防护能力的弱点，帮助您进行渗透测试，例如使用渗透模块、密码审计、攻击Web应用、发送钓鱼邮件等。渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对系统网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

技术实现要素：

本发明的目的在于提供一种信息安全风险强力识别系统，以便更好地改善使用效果，方便根据需要使用。

为了实现上述目的，本发明的技术方案如下。

一种信息安全风险强力识别系统，采用进行恶意行为分析、安全风险识别以及网络安全强力检测分析三大模块进行集成设计，其中，恶意行为分析模块设计是用于对恶意行为进行分析，传感器分布在网络中，以监控多个VLAN和子网，利用Snort、Suricata、Bro IDS和OSSEC等服务来执行该服务的恶意行为分析功能，snort引擎能够对网络上的数据包进行抓包分析，但区别于平常嗅探器的是，它能根据所定义的规则进行响应及处理。通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警)，Pass(忽略)，Log(不报警但记录网络流量)五种响应的机制。改系统有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和IDS引擎相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

该系统集成了多进程IDS引擎suricata,suricata由多个关联模块组成，其中这些模块以及与它们关联的线程队列等排列方式取决于suricata的运行模式。该运行模式的选择基于suricata设置的程序优先级，默认运行模式是优化检测；在另一种运行模式中，使用pfring优化数据包捕获以及对高吞吐量连接的解码。

无论应用哪种运行模式，suricata的前置环节都是利用数据包捕获模块获取数据包。该模块从网络接口获取数据并将其传递给数据包解码器，供其确定连接类型，并未后续其它模块的处理过程提供数据格式化。这一过程结束后，数据会被传递给数据流处理模块。数据流处理模块主要作用于追踪回话传输层相关协议(例如TCP协议)，并以一定的顺序重组数据包。此外，数据流处理模块也负责应用层(例如HTTP协议)的数据处理和重排序。这些数据经妥善处理后被交给检测模块，由检测模块分析包数据，匹配用户创建的特征或者规则。若产生告警信息，该告警信息及其关联数据将被送到输出模块，并由该模块以多种格式输出数据。

本发明信息安全风险强力识别系统集成的Bro不同于snort和suricata这类基于特征的IDS，Bro通常是处理更复杂任务的最佳选择，比如需要更高水平协议知识的任务，贯穿多种网络流的工作或需要使用自定义算法计算当前处理流量的某部分。Bro不仅支持所有常见网络协议，甚至许多不太常见的协议也被支持。借助一种被称为动态协议检测的特性，即使网络流量出现于非标准端口，依然可以被其识别。部分被Bro支持的应用层协议和隧道协议如下：DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG Teredo\GTPv1。

当Bro在网络流量中检测到已知应用程序协议时，会将本次事务的细节记录在一个文件中。在Bro对当前流量进行协议解析和协议解码的过程中，还提供一种创建自定义事务处理逻辑的机制。由协议产生的行为会被视为一系列的事件，用户可以向Bro注册事件处理程序，接管事件处理。在对于特定事件编写和注册了一个新的事件处理程序后，一旦网络流量中出现了该事件，Bro将自动调用该事件处理程序，执行用户代码。在事件处理程序中，用户可以做任何想做的事，而事件处理程序的数量也没有限制。甚至，对于同一个事件，也可以使用多个事件处理程序。

除此，本发明信息安全风险强力识别系统提供了多种报告网络安全状况的方式和功能强大的报表分析工具，以及数据库记录功能，通过Web应用程序提供的界面，用户可以对系统中存在的风险事件一目了然。

本发明信息安全风险识别系统中等保四级安全风险识别主要分为四个模块进行设计：风险监控、主机监控、网络监控、应用监控。

(1)风险监控主要是提供专用的监控专家模板库，进行高效的数据采集，分析，审计以及处理，通过监控数据迁移，导出到本发明安全运维平台，经综合评估分析形成安全监控报告，预警并针对性的给出解决方案。

(2)主机监控主要监控范围为：小型机、PC服务器、台式机、笔记本、字符终端、图形终端、盘柜等，事件采集方式主机事件由SNMP及监控代理采集，也可无代理采集。支持监控CPU负载，内存空间、磁盘空间、交换分区、网卡流量、主机存活状态、系统用户变更服务器重启。

(3)网络监控主要监控范围为：交换机、路由器、防火墙、VPN网关、安全网关、链路及其他网络设备，网络事件采集支持SNMP、OPENFOW协议，监控网络设备性能、网络流量、网络拓扑改变、用户行为分析并能进行网络安全检测。

(4)应用程序监控主要监控范围：自主开发应用软件、外包应用软件、商业应用软件、中间件、数据库等，主要监控应用程序的存活状态、访问速度、返回码及响应时间，支持监控SSH、APACHE、数据库、Ngnix等

该模块能够自动发现服务器和网络设备，主要工作特性有：

分布式监控网络，集中式管理；

支持polling和trapping机制；

服务器端支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X系统；

高性能本地代理(客户端软件支持Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X,Tru64/OSF1,Windows NT4.0,Windows 2000,Windows 2003,Windows XP,Windows Vista系统)；

无代理监控；有安全的用户认证功能；可灵活地分配用户权限；基于web的接口；可灵活地预定网络事件并使用邮件通知；高等级的资源监控；日志审计功能。

监控指标：CPU负荷、内存使用、磁盘使用、网络状况、端口监视和日志监视。

网络安全强力检测模块设计：本发明信息安全风险强力识别系统通过模拟现实世界的真实攻击来识别防护能力的弱点，帮助进行渗透测试，例如使用渗透模块、密码审计、攻击Web应用、发送钓鱼邮件等。支持第三方开发Metasploit。其工作特性如下：

灵活、开放平台：支持API接口二次开发、支持第三方报告导入。例如：NeXpose,Metasploit,Acunetix,Amap,Appscan,Foundstone,Libpcap,Microsoft MBSA,

Nessus,NetSparker,Nmap,Qualys and Retina.

丰富的渗透测试:支持网络设备，数据库，操作系统，web应用，移动终端，工控设备等渗透测试。

高效:在一次任务中可以渗透1万台主机的安全性。

友好授权:渗透测试不受Ip数量限制。

Web界面:Web界面、让操作更加便捷高效。

支持:拥有丰富渗透测试经验的产品开发团队、协助你解决渗透测试过程中遇到的问题。

集成:可集成在企业的安全管理平台(soc平台)。

马后门免杀:支持随机免杀技术，免杀全球90％的杀毒软件。

暴力破解:支持多种协议如:SMB,Postgres,DB2,MySQL,MSSQL,Oracle,HTTP,HTTPS,SSH,Telnet,FTP,POP3,BSD EXEC,BSD LOGIN,BSD SHELL,VMAuthd,VNC,SNMP,AFP.

针对以上三大模块功能特点，以下技术为本发明信息安全风险强力识别系统特有：

1、系统总体框架设计为本次发明专有，包括IDS，等保四级信息安全残余风险识别以及渗透测试模块Metasploit的集成。

2、IDS进行恶意行为分析模块，本发明提供自主的协议定制、规则库匹配以及本系统专有的界面展示。

3、恶意行为分析模块捕获到的事件信息，系统会对风险事件进行分类，针对不同的风险，系统提供相应的安全机制进行防御，其中的风险监控、主机监控、网络监控、应用监控为安全管理中心针对业务系统不同的资产进行的分类保护。

4、系统集成Metasploit，通过专有的网页界面设计，进行渗透测试。

该发明的有益效果在于：

(1)安全风险的可见和可控：安全风险的可见是指：能够看见和理解网络运作与网络上数据的本来面目。比如：在某一时刻，流经网络的数据量有多大，某一台重要的服务器有没有遭受安全威胁，网上是否存在有攻击嫌疑的主机等等。重要的是，这些问题的答案应当一目了然。另外，用户如果需要查看一周之内的安全信息或最严重的几种安全威胁的统计分析报表，系统也应当能够立即提供。用户只有在全面掌握安全风险的基础上才能对这些风险进行有效控制，从而在安全管理过程中做出正确决策。本发明信息安全风险强力识别系统通过模拟现实世界的真实攻击来识别系统中存在的弱点，帮助进行渗透测试，例如使用渗透模块、密码审计、攻击Web应用、发送钓鱼邮件等，可以清晰知晓系统中存在的安全隐患和问题，真正做到安全风险的可见。

(2)安全信息的直观性：

安全信息的直观性主要表现在网络信息的人文化和安全信息的图表化两个方面。

1.网络信息的人文化

传统IDS所产生的信息往往带有很强的技术特征。例如安全事件的地址信息为IP地址(如192.168.3.9)，这种信息难于理解和记忆。网络信息的人文化是指网络信息与客户的人文信息相结合。本发明信息安全风险强力识别系统则提供了主机名绑定功能，将具体主机名、用户名或服务器名与IP地址绑定。通过综合监控模块提供的设备监控拓扑图，能够很清楚地监控到具体位置设备的运行状态。这样一来，在控制台的监控窗口中显示的不再是难以理解的IP地址，而是具体位置的主机名或服务器名。在安全事件窗口中，与安全事件相关连的是源主机名和目标主机名，使得员工的网络行为、对服务器的访问连接和安全事件的相关者(入侵者、受攻击者)一目了然。

2.安全信息的图表化

以图表形式生成的报表或报告主要有以下几种。

快照：提供当前网络情况的分析，包括网络流量、攻击情况等。

统计报告：一段时间内各种网络情况的统计，包括事件日志列表、危险(高风险)事件列表、攻击统计、响应统计。

详细报告：包括特定类型攻击明细、对某种特定服务的攻击情况、按攻击次数从多到少对事件排序、特定服务器访问情况。

客户定制报告：提供按客户要求定制报告功能。

本发明信息安全风险强力识别系统提供了多种报告网络安全状况的方式和功能强大的报表分析工具，能够满足用户的各种需要。如：流量图可以体现网络当前的流量状况，明细报表提供了按时间段或按严重程度对各类事件的报告，分析报表对报警数据库中记录的数据进行统计分析，还能以拄状图、饼图等形式反映统计结果。

(3)安全的可管理性：

安全的可管理性表现了对安全易于管理的程度。通过各种管理手段可以方便用户对安全信息的掌握和对安全的控制。

首先，本发明信息安全风险强力识别系统提供一个企业级的分布式监控解决方案，用于监控众多服务器的健康完整状态的软件，采用了灵活的预警通知机制，比如它允许用户设定通过email示警任何网络活动，从而使得服务器的问题能够被迅速反映出来，该系统还具备出色的报告和数据可视化功能所有的数据存储的在数据库中，这使得信息安全风险强力识别系统具备很好的规划的能力；支持主动轮询和陷阱方式。通过参数配置，所有综合监控模块报告和统计资料都可以通过基于Web的前端访问到。

其次，系统对安全风险管理的对象进行分类，如：员工对象、服务对象、服务器对象等。然后，对各种对象进行分类管理，如：内部员工管理、服务管理、服务器管理。对安全信息进行分类有助于用户对信息的浏览，并迅速识别其关注的事件。

再次，系统还具有网络流量的统计功能，可以随时监控网段的使用情况。一旦发现某一时刻网络流量异常则网络管理员可以通过其他指标分析目前网络中是否存在资源滥用的现象并采取相应的措施。本发明信息安全风险强力识别系统的流量图功能可以使网络管理员随时查看网络的流量状况。

除此之外，还需要对一组重要服务器(目标地址)或一组可疑的或特定的主机(源地址)进行专门管理:加入到重要服务器组中的对象可以是在网络中起关键作用、需要重点保护的主机，加入到重点检测组中的对象应当是有攻击嫌疑的内部或外部主机。系统不但提供对特定源地址或目标地址的管理，还可以根据监控情况生成相应的报表，实现了监控和报表的一体化。

具体实施方式

下面结合实施例对本发明的具体实施方式进行描述，以便更好的理解本发明。

实施例

本发明实施例中的信息安全风险强力识别系统，采用进行恶意行为分析、安全风险识别以及网络安全强力检测分析三大模块进行集成设计，其中，恶意行为分析模块设计是用于对恶意行为进行分析，传感器分布在网络中，以监控多个VLAN和子网，利用Snort、Suricata、Bro IDS和OSSEC等服务来执行该服务的恶意行为分析功能，snort引擎能够对网络上的数据包进行抓包分析，但区别于平常嗅探器的是，它能根据所定义的规则进行响应及处理。通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警)，Pass(忽略)，Log(不报警但记录网络流量)五种响应的机制。改系统有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和IDS引擎相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。