KILL威胁预警系统.doc

KILL威胁预警系统 安全解决方案 冠群金辰软件有限公司 CA-Jinchen Software Co.,Ltd 目 录 一、 建立积极的威胁主动防御体系 3 二、 系统介绍 3 三、 系统架构 3 四、 功能特点 6 五、 部署方式 9 六、 成功案例 9 公司简介 11 建立积极的威胁主动防御体系 根据CERT CC发布的关于必威体育精装版入侵者攻击方式的趋势分析结果，网络攻击呈现攻击过程自动化、攻击技术复杂化、漏洞发现的更快、以及渗透防火墙的趋势。采用蠕虫攻击、病毒扩散等混合型威胁的复杂攻击事件越来越多。这几年来多起大范围的网络安全事件（如：SQL Slammer、MSBlaster、Sobig、MyDoom等），都是属于这种类型的攻击。 传统的防护攻击手段是采用防火墙及终端用户采用安装防病毒软件的方法，防止黑客攻击及病毒的传播，而我们面临的威胁已不仅仅是单纯的病毒，而是更多形式的威胁。为了实现全面的控制，除了防御病毒外，还必须对蠕虫、木马等恶意软件传播进行进行有效控制。一个更为有效的控制手段是从网络边界入手，全面收集网络中传递的数据，对网络中数据进行综合性判断，整理各种安全事件的关联后的数据给用户以直观的展示，从而全面实时动态的监控网络中的病毒及攻击事件。这样，变被动防御为积极主动防御，对已经发生的安全事件及将要发生的安全事件给予全面掌握，并及时进行处理。 为了弥补传统方法的不足，对全网的安全事件全面的了解，及时的处理，冠群金辰的威胁预警系统不仅对具备恶意程序及恶意攻击行进行记录，而且可以对安全事件进行智能的关联，对事件的处理做到流程化管理，对全网的安全事件做到全面的呈现。 系统介绍 KILL威胁预警系统集病毒、蠕虫、入侵攻击、恶意行为监控等功能于一身体，通过捕获网络中的数据，通过多种技术手段，及时检测并分析出网络中发生的病毒事件、蠕虫攻击及违反安全策略的事件，并对其事件进行数据记录，做为日志查询的依据。 KILL威胁预警系统的建设目标是建立一套对安全威胁的监测、分析、管理、告警、处置、预警的完整系统，使对安全威胁的处理形成为一个流程化、可管理、可考核的完整体系，使管理者能轻松有效的管理整个网络。 系统架构 KILL威胁预警系统系统由威胁监测探针和威胁预警管理平台两个模块构成。构成模型如示意图， 其中威胁监测探针集成了病毒检测及入侵检测的所以功能，使检测效率和可靠性得到了极大的提高。通过多层（网络层、传输层、应用层）深度内容分析、智能关联等技术策略可全面高效的检测出网络中的各种计算机病毒、网络蠕虫病毒、间谍软件和特洛伊木马、扫描攻击、入侵攻击、SQL注入攻击等多种安全威胁，恶意行为及违反安全策略的行为；威胁监测探针可以部署在网主干网络中，实时监测全网的数据流量。威胁预警管理平台负责配置、管理、监控、呈现各个管理对象；同时其将收集来自各个威胁监测探针的安全事件，并且将经过分析、合并、过滤、整合的安全事件进行统一展现，以及生成报表等。 2．1 系统模块 2.1.1 病毒监测模块 蠕虫病毒监测 蠕虫可以利用电子邮件、文件传输等方式进行扩散，更主要的特点是利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪。如尼姆达（Nimda）、红色代码（CodeRed）、蠕虫王（Slammer）、冲击波（Blaster）、震荡波等。 根据蠕虫的特点，病毒监测模块从OSI的多个层次进行检测。在网络层和传输层监测蠕虫利用漏洞的动态攻击数据，在应用层探测利用正常协议（SMTP、HTTP、POP3、FTP等）传输的静态蠕虫代码。 文件型病毒、间谍软件、特洛伊木马的监测 文件型病毒、间谍软件、特洛伊木马的探测需求是指对普通病毒（例如CIH）、邮件病毒（例如求职信、美丽杀手、爱虫、Mydoom）、特洛伊木马、网页恶意代码的探测等。 这类的病毒主要通过网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协议）等方式进行传播扩散，威胁探测系统能够对HTTP、FTP、SMTP、POP3等应用层协议进行数据监测。 2.1.2 入侵监测模块 入侵监测模块具备基于协议分析的智能模式匹配结合状态分析技术、异常行为检测技术，提高探测的准确度，减少IDS所常见的漏报、误报现象。通过优化的、专用的、高效的模式匹配算法，提高检测效率。通过详尽、细粒度的应用协议分析技术，提高应用层攻击检测能力。通过基于优化的TCP/IP协议栈及可疑网络活动（SNA）处理器，增强对DoS、扫描等攻击事件检测能力。 此外入侵监测模块内置3500种以上入侵规则，提供DoS、扫描、代码攻击等各种检测能力。 2.1.3 恶意行为监测模块 恶意行为监测模块对网络内可能出现的机密文件外泄、非法恶意言论传播进行监控。如造成机密文件外泄和非法