2022年特种木马自检监测系统解决方案V. .pdf

特种木马自检监测系统解决方案北京趋势恒信科技有限公司2014年 7 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 I 页目 录一、建设总体目标 . 1二、建设任务内容 . 12.1建设内容 . 12.2效益分析 . 1三、功能要求和技术指标 . 33.1功能要求 . 33.2性能指标 . 33.3设计原则 . 4四、防护系统平台总体方案 . 64.1平台总体架构 . 64.2平台组成 . 74.2.1监测数据综合分析模块. 74.2.2数据存储管理模块. 74.2.3态势展示及预警模块. 74.3平台部署 . 12五、配套需求及建设经费 . 16六、建设计划（预计）. 18名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 1 页一、 建设总体目标用户构建本单位互联网接入口特种木马自检监测系统，其目标是能够主动识别木马行为并进行违规阻断；能够检查网络传输的邮件内容，依据预先配置的失泄密关键词来判断相关邮件是否失泄密；提供对用户全网木马运行情况的整体综合态势展示，评估其潜在的安全风险，并进行预警；支持对被木马控制的主机、涉嫌失泄密主机的精确定位，提高应用系统对木马攻击行为检测与管控能力，加强对涉嫌失泄密主机的检查管理，减少网络窃密与失泄密事件的发生。二、 建设任务内容2.1 建设内容根据总体目标和用户单位的网络拓扑，主要有以下的建设任务内容：1）建设涉及“ N 个数据采集监测点”（以中行为例，设置了3 个数据采集监测点）： 需在用户 N 个因特网出入口处分别部署N 个因特网数据采集器， 用于网络数据包的采集和实时分析，形成可疑数据行为日志，对确知的木马行为进行阻断。2）进行整个防护系统平台的运行维护，掌握整体综合态势，重点分析和确认平台产生的木马警报、失泄密告警日志， 为主机核查提供线索。2.2 效益分析因特网特种木马自检监测系统建设成功将为用户保密等职能部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 2 页门提供一个安全可靠的网络窃密和失泄密的监管平台，提升涉密信息的防护和网络窃密与失泄密检查的技术水平，提高保密监管能力， 为信息化条件下国家秘密安全提供强有力的技术保障，可有效地发现和阻止互联网上的窃密、失泄密事件的发生，保护党、国家和国民经济要害部门的国家秘密，减少网络泄密事件的发生。平台建设成功后可增强对重要涉密单位保密工作的督促检查能力，及时发现受监测单位的保密隐患，对受监测单位及其用户形成威慑力，促使其不断提高保密意识，严格遵守保密规定，最终达到“以查促管，以查促防”的效果。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 3 页三、 功能要求和技术指标3.1 功能要求自检监控系统实现的功能应包含以下基本功能：网络攻击窃密和失泄密监测分析功能。根据规则库，对TCP/UDP 数据流采用特征匹配、行为识别、统计分析和关联分析等监测技术，及时发现网络攻击窃密和失泄密行为。网络数据包存储功能。 数据采集监测器根据采集分析结果存储与网络攻击窃密和失泄密行为相关的原始数据包，能为网络窃密和失泄密取证提供基础数据。监测结果上报功能。 数据采集监测器将分析结果存入硬盘，形成分析日志。3.2 性能指标数据采集监测器支持千兆接入，对网络流量处理能力可达到800Mbps；各种警报及相关原始数据最短保存时间为3 个月。警报及原始数据查询响应时间不大于60 秒；支持对 HTTP、SMTP/POP3、TELNET、FTP 等协议的应用还原；支持对不小于3 个月时间所产生告警、警报的分析和态势展示；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 4 页监测器无故障运行时间5000小时。3.3 设计原则本着设计合理，技术可靠，可扩充性强，有针对性的原则，本防护系统建设方案在满足功能要求的同时，还应当考虑安全性、 可扩展性、可靠性。(1)系统功能的完备性：充分考虑失泄密行为、手段、方法多样的特点，在功能上要尽可能完备，和国保局的相关职能同步。(2)系统使用的易操作性： 充分考虑人员编制有限、 专业技术能力弱的实际情况，在设计时，提供一个尽可能完善的使用接口，使各层次人员能尽快地、 方便地掌握应用系统， 尽量减少人在数据流转过程中的操作。(3)技术研发的先进性： 充分吸收成熟而先进的技术，特别在系统架构和整体发展思路上要有高起点，要有前瞻性， 符合信息化的发展趋势，系统构成应确保长期开发利用的需要。(4)系统架构的可扩展性： 充分考虑监测对象不断扩充、监控功能不断完善的要求， 采用模块的设计思想， 在系统开发和资源库建设的各个环节上，高度重视应用软件支持数据的整合性及软件的可集成性。(5)系统运行的可靠性： 充分考虑网络窃密和失泄密事件随时随刻都可能发生， 平台应能保障各级关键设备全天候、不间断地提供正常服务，保证平台整体可靠运转。(6)平台自身的安全性：充分考虑平台自身对安全保密的需要，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 5 页提供完备的安全防护和安全管理策略，保证信息在网上传输和存储时的安全性，防止敏感信息的“二次”泄密。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 6 页四、 自检监测系统平台总体方案4.1 平台总体架构本平台整体采用分布式部署模式，多个数据采集监测器独立运行。总体架构如下图所示。互联网上网机群1上网机群2上网机群3数据采集监测器3数据采集监测器2数据采集监测器1图 4-1 平台总体架构图对于目标用户要求， N 个分散的上网机群， 需要在网络总出口部署同样数量的数据采集监测器，采集数据后进行实时分析， 可疑的原始数据进行存储并日志，对确知的木马行为进行阻断，对木马、失泄密行为形成日志报表。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 7 页4.2 平台组成本平台设计主要由以下各个子模块组成：4.2.1 监测数据综合分析模块其主要功能是制定监测策略，下发各种监测所需的特征库； 综合分析数据采集监测器采集的数据，挖掘网络未知的网络失泄密行为；综合分析各种报警，形成网络窃密和失泄密态势展示和预警；形成、上报高危级别的报警及统计信息。4.2.2 数据存储管理模块数据存储管理模块主要负责对数据采集监测器管理系统上报数据的存储和管理。主要功能包括：收集数据采集监测器上报的失泄密安全事件和相关数据，主要包括失泄密告警、警报及其相关的网络数据；收集失泄密安全事件中涉及的重要文件信息、以及采集的恶意代码样本；对收集到的各类数据集中存储，并提供数据共享交换、 存储空间扩展及数据冗余备份及灾难恢复等功能。4.2.3 态势展示及预警模块态势展示及预警系统是对目标网络的保密形势进行集中的态势展示，帮助用户保密职能部门了解本网内各重要单位所遭受的窃密攻击情况，以及发生失泄密事件的情况。系统从宏观和微观两个层次对失泄密事件进行统计和展示， 以易于人理解、 推理的方式表述和显示名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 8 页网络窃密和失泄密态势信息， 使管理人员尽可能快地对网络窃密和失泄密情况有一个清楚的认知。 职能部门通过对网络状况进行安全风险评估和对木马窃密攻击发展趋势的判断，为决策提供依据， 并据此督促各重要单位提高风险认识，做出改进，减少失泄密事件的发生。系统组成如图所示：图 4-2 态势展示及预警模块组成图1）系统管理模块系统管理模块功能主要包括：用户管理模块依据安全管理要求， 系统将用户角色分为普通操作用户、系统管理员、审计用户三类。该模块主要是对这三类角色的用户进行管理。系统配置管理模块该模块负责对平台中各系统进行升级操作，配置管理各系统参数。设备管理模块该模块负责管理各设备地址信息， 并支持特定设备重启关闭等操作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 9 页系统日志管理模块系统审计员通过系统日志管理模块对系统的运行日志进行审计，维护系统日志，按需进行备份日志，清理日志等操作。2）态势及事件展示模块态势及事件展示模块功能主要包括：失泄密事件实时展示对系统确认的失泄密事件或高可疑行为进行实时展示，根据需要实时发出警报。失泄密事件查询分析通过列表形式从微观上展示失泄密事件的详细信息，包括产生警报的时间、单位、源地址、目标地址、警报类型、警报等级以及警报详细描述等相关信息， 以便于分析人员定位事件源，并对发生事件的进行详细分析、确认等。另外，用户还可以通过组合查询条件，查询到任何一条自己需要的警报。窃密攻击事件归并分析按四元组对窃密攻击事件进行归并分析， 描述目前最应该关注的窃密攻击事件态势，这四个要素在窃密攻击事件的属性中均有记录，四要素任意指定和组合， 都反应了有意义的窃密攻击态势。失泄密事件统计分析通过定义各种报表模板，对失泄密行为定期按照每周、每月、每年进行自动统计，攻击类型TopN 报告、攻击源 TopN 报告、攻击目名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 10 页标 TopN 报告等，以丰富的报表对历史网络窃密和失泄密的发展趋势进行展示，从而为攻击活跃度、窃密手段发展、攻击源分布迁移、受攻击目标安全弱点等主题的分析提供依据。监测器状态展示展示系统部署的所有监测器的工作状态，便于用户对系统的运行状况有一个整体的掌握。3）评估预警模块评估预警模块功能主要包括：安全风险评估结合综合分析系统提交的网络窃密和失泄密综合指数，通过对网络窃密和失泄密行为的数量、规模、攻击类型危害性、识别可靠性、攻击目标重要性、 攻击源危险性等方面进行综合分析，评估各重要单位的安全风险等级。窃密攻击预警结合综合分析系统和恶意代码分析系统提交的信息，根据当前窃密攻击的发展情况，以及历史窃密攻击事件，发布窃密攻击预警。通过直观的图表分类进行态势展示：总体窃密态势展示、 分单位态势展示模块等。 展示内容具体包括： 本日安全态势、 历史安全态势、本日单位警报排名情况、 历史单位警报排名情况、 窃密攻击源分布态势展示以及各单位安全风险等级等。失泄密事件查询分析通过列表形式从微观上展示失泄密事件的详细信息，包括产生名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 11 页警报的时间、单位、源地址、目标地址、警报类型、警报等级以及警报详细描述等相关信息， 以便于分析人员定位事件源， 并对发生事件的进行详细分析、确认等。另外，用户还可以通过组合查询条件，查询到任何一条自己需要的警报。窃密攻击事件归并分析按四元组对窃密攻击事件进行归并分析，描述目前最应该关注的窃密攻击事件态势，这四个要素在窃密攻击事件的属性中均有记录，四要素任意指定和组合，都反应了有意义的窃密攻击态势。失泄密事件统计分析通过定义各种报表模板， 对失泄密行为定期按照每周、 每月、每年进行自动统计，攻击类型TopN 报告、攻击源 TopN 报告、攻击目标 TopN 报告等，以丰富的报表对历史网络窃密和失泄密的发展趋势进行展示，从而为攻击活跃度、窃密手段发展、攻击源分布迁移、受攻击目标安全弱点等主题的分析提供依据。监测器状态展示展示系统部署的所有监测器的工作状态，便于用户对系统的运行状况有一个整体的掌握。安全风险评估结合综合分析系统提交的网络窃密和失泄密综合指数，通过对网络窃密和失泄密行为的数量、规模、攻击类型危害性、识别名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 12 页可靠性、攻击目标重要性、攻击源危险性等方面进行综合分析，评估单位安全风险等级。4.3 平台部署根据用户的实际网络情况制定部署方案，首先说明特种木马自检监测设备的功能及组成。 木马攻击检测与分析系统 （以下简称木马检测设备），是一种集木马攻击检测、木马行为分析等功能于一体的新型网络安全系统。该系统通过旁路方式检测网络流量中的攻击行为。木马检测设备有四个网口（电口） ，分别是镜像口两个、通信口、管理口。其中镜像口1（eth2）, 用于网络阻断；镜像口1（eth3） ，用于捕获部署单位内部上网主机未进行地址转换时的镜像数据；通信口用于多个检测器组网统一管理； 管理口用于用户对设备实施管理和系统功能操作。确定部署方式， 根据用户单位网络拓扑和实际环境，按照既不影响你单位业务工作又能满足木马检测设备功能需要的原则，采用旁路方式部署。特种木马监测设备部署于互联网接入口处，通过分析互联网接入口的网络数据流， 判断网络内是否有主机被特种木马控制，是否存在违规传输涉密文件的行为， 对可能引起网络泄密或窃密的行为进行报警。监测系统包含多个监测模块和关联分析模块，用于网络窃密和失泄密监测。监测器的设计与实现过程中， 对监测策略和特征库进行保名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 13 页护，防止监测策略和特征库的暴露；受监测单位管理人员在登录监测器本地管理系统后，可以浏览报警信息。监测器为汇聚出口监测方式。监测器功能模块示意图如下：图 4-3 监测系统功能模块示意图1. 监测策略与报警策略管理模块。定期主动查询监测器管理中心的特征库、监测策略和报警策略是否有更新， 及时将最新的特征库、监测策略和报警策略应用到后续监测过程中。2. 数据过滤与分发模块。根据检测策略对采集到的数据进行过滤，滤掉内网与可信IP 地址之间产生的数据流或使用某些通信协议产生的数据流，将过滤后的数据流送到各个监测模块处理。3. 窃密行监测模块。使用多个监测模块，根据特征库和监测策略对数据流进行监测， 对监测到的窃密行为进行报警，对疑似窃密行名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 14 页为进行警告，主要功能描述如下：已知窃密检测模块。 通过把捕获的数据包进行重组和通信协议解析，跟踪数据流状态，按内容和行为两类特征与已知木马特征进行规则匹配，对符合报警策略的数据流进行报警，并记录相关网络数据。已知窃密阻断模块。 对检测到的已知窃密行为进行阻窃，切断控制端与被控端的连接。未知窃密分析模块。 根据常见木马的行为与数据流特征，如连接心跳、动态域名、通信协议伪装、流入流出数据比、与黑名单中的 IP 地址通信等，建立一个未知木马识别模型，用于木马通信识别，对筛选出的数据进行告警，为后续关联分析提供基础数据或供专业人员进行分析确认。邮件攻击检测模块。 提取内网接收到的邮件附件，将邮件附件送恶意代码识别系统进行自动分析，若附件内容中含有恶意代码，对含有恶意代码的邮件及时发出报警，给出发件人和收件人信息。4. 涉密标识检测模块。对经常用于传输文件的网络应用如电子邮、即时通信和其它通信方式的通信内容进行监测，若监测到传输的文件中含有涉密标识，则立即报警。5. 事件关联分析与报警模块。对各个监测模块产生的报警数据做一定的综合分析和合并处理， 提高报警、警告的准确率，降低报警、警告条数，减少与监测器管理中心的通信次数与数据流量。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 15 页一个出入口的设备物理部署图如图4-4。Internet内部网络流复制Web浏览器数据采集监测器（攻击检测与分析系统）图 4-4 每个总出入口物理设备部署图其接入方式为旁路接入，使用web 浏览器方式管理：通过网页能够下发木马特征、配置失泄密关键词； 通过网页能够提阅行为日志。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 16 页五、 配套需求及建设经费5.1.1.1建设内容根据用户的外网出口数量（N 个出口） ，因特网木马及失泄密防护系统平台由N 台数据采集监测器组成，每个数据采集监测器负责1Gps 以下的网络数据采集和木马、失泄密行为分析，对确知木马行为进行阻断，木马、失泄密行为作日志存储。5.1.1.2建设配套需求系统机柜空间需求表 1 数据采集监测器管理系统机柜配套基本要求序号名称机柜空间需求（ U）数量（台）合计（ U）1 外网管理控制系统数据采集监测器服务器2 1 2 管理终端（普通 PC ，web浏览器管理方式）（不上机柜）1 0 外网交换机 （百兆）1 1 1 合计（设备设备间散热需要空间）3+2=5 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 17 页软件清单如下：表 2 软件清单及用途软件名称安装位置用途说明数据库系统数据采集监测器服务器存储失泄密事件警报、告警信息态势展示及预警系统数据采集监测器服务器展示系统警报、告警及各种态势信息管控系统数据采集监测器服务器管理和配置系统Java 运行环境管理终端正常显示态势展示系统页面Adobe Flash Player浏览器插件管理终端正常显示态势展示系统页面Wireshark 管理终端查看木马原始报文杀毒软件管理终端保护计算机免受病毒攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 特种木马自检监测系统解决方案V1.10 第 18 页六、 建设计划（预计）序号内容计划（天）备注1 完 成 建 设 方 案修正和确认， 形成最终实施版本15 2 完 成 建 设 方 案中的设备采购7 指 由 我 方采 购 时间；和 3 并行。3 网 络 环 境 建 设时间，包括设备位置勘察，镜像数据配置，内、外网布线验证等7 和 2 并行。4 完 成 特 种 木 马自检 监 测 设 备 部 署和运行8 总计30 天名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -