1.一种信息安全风险强力识别系统,其特征在于:采用恶意行为分析、安全风险识别以及网络安全强力检测分析三大模块进行集成设计,其中,恶意行为分析模块设计是用于对恶意行为进行分析,传感器分布在网络中,以监控多个VLAN和子网,利用Snort、Suricata、Bro IDS和OSSEC服务来执行该服务的恶意行为分析功能,snort引擎能够对网络上的数据包进行抓包分析;通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation、Dynamic、Alert,Pass,Log五种响应的机制;该系统有数据包嗅探,数据包分析,数据包检测,响应处理多种功能;该系统集成了多进程IDS引擎suricata,suricata由多个关联模块组成,其中这些模块以及与它们关联的线程队列等排列方式取决于suricata的运行模式;该运行模式的选择基于suricata设置的程序优先级,默认运行模式是优化检测;在另一种运行模式中,使用pfring优化数据包捕获以及对高吞吐量连接的解码;本发明信息安全风险强力识别系统集成的Bro不同于snort和suricata这类基于特征的IDS,Bro通常是处理更复杂任务的最佳选择,比如需要更高水平协议知识的任务,贯穿多种网络流的工作或需要使用自定义算法计算当前处理流量的某部分;Bro不仅支持所有常见网络协议,甚至许多不太常见的协议也被支持;借助一种被称为动态协议检测的特性,即使网络流量出现于非标准端口,依然可以被其识别;部分被Bro支持的应用层协议和隧道协议如下:DHCP\DNS\FTP\HTTP\IRC\POP3\SMTP\SOCKS\SSH\SSL\SYSLOG Teredo\GTPv1;
当Bro在网络流量中检测到已知应用程序协议时,会将本次事务的细节记录在一个文件中;在Bro对当前流量进行协议解析和协议解码的过程中,还提供一种创建自定义事务处理逻辑的机制;由协议产生的行为会被视为一系列的事件,用户可以向Bro注册事件处理程序,接管事件处理;在对于特定事件编写和注册了一个新的事件处理程序后,一旦网络流量中出现了该事件,Bro将自动调用该事件处理程序,执行用户代码;在事件处理程序中,用户可以做任何想做的事,而事件处理程序的数量也没有限制;甚至,对于同一个事件,也可以使用多个事件处理程序;
本发明信息安全风险识别系统中等保四级安全风险识别主要分为四个模块进行设计:风险监控、主机监控、网络监控、应用监控;
(1)风险监控主要是提供专用的监控专家模板库,进行高效的数据采集,分析,审计以及处理,通过监控数据迁移,导出到本发明安全运维平台,经综合评估分析形成安全监控报告,预警并针对性的给出解决方案;
(2)主机监控主要监控范围为:小型机、PC服务器、台式机、笔记本、字符终端、图形终端、盘柜等,事件采集方式主机事件由SNMP及监控代理采集,也可无代理采集;支持监控CPU负载,内存空间、磁盘空间、交换分区、网卡流量、主机存活状态、系统用户变更服务器重启;
(3)网络监控主要监控范围为:交换机、路由器、防火墙、VPN网关、安全网关、链路及其他网络设备,网络事件采集支持SNMP、OPENFOW协议,监控网络设备性能、网络流量、网络拓扑改变、用户行为分析并能进行网络安全检测;
(4)应用程序监控主要监控范围:自主开发应用软件、外包应用软件、商业应用软件、中间件、数据库等,主要监控应用程序的存活状态、访问速度、返回码及响应时间,支持监控SSH、APACHE、数据库、Ngnix;
针对以上三大模块功能特点,以下技术为本发明信息安全风险强力识别系统特有:
系统总体框架设计为本次发明专有,包括IDS,等保四级信息安全残余风险识别以及渗透测试模块Metasploit的集成;
IDS进行恶意行为分析模块,本发明提供自主的协议定制、规则库匹配以及本系统专有的界面展示;
恶意行为分析模块捕获到的事件信息,系统会对风险事件进行分类,针对不同的风险,系统提供相应的安全机制进行防御,其中的风险监控、主机监控、网络监控、应用监控为安全管理中心针对业务系统不同的资产进行的分类保护;
系统集成Metasploit,通过专有的网页界面设计,进行渗透测试。