XXX网络安全预警系统解决方案 应用系统的授权认证管理,支持用户实现单点登录。
8、XXX网络预警系统项目部署的千兆病毒实时数据流监测设备具备以下能力:
? 具备对已知病毒的检测能力,能够检测通过常用网络协议( http、pop3、smtp等)传播的网络病毒;
? 能够通过网络数据流病毒行为分析检测; ? 具有对未知病毒的检测能力;
? 病毒实时数据流监测设备提供至少每天1次的病毒特征库升级;
5.5.2 各二级单位(分中心)
5.5.2.1
监控管理体系位置
xxx网络安全预警分中心部署在XXXXXXXXXXXXXXX系统处,它位于整个xxx网络安全预警系统的二级(第二层)。
5.5.2.2 监控管理体系的作用
xxx网络安全预警分中心部署在XXX网络二级单位,它位于整个xxx网络安全预警系统的二级(第二层)。
二级xxx网络安全预警管理体系主要作用是对本系统内的所有病毒进行监测,同时,二级防病毒监控管理体系也接受一级防病毒监控管理体系的监控管理。
5.5.2.3 监控管理体系的组成和功能
二级xxx网络安全预警主要由集中病毒管理分中心构成,共同完成对整个网络的病毒预警及管理工作。
? 系统采用B/S的管理架构,管理、维护方便,移动性强。
? 通过对本级网络范围内的病毒收集、汇总和分析,形成对网中的病毒情况的总体报告和趋势分析,为宏观决策提供依据。报告需具有多种标识功能(说明、图表、曲线等)。报告能提供报告期内本网络病毒的汇总和归类统计数据。、
北京xxx信息技术有限公司[14]
XXX网络安全预警系统解决方案
5.6 部署后达到的效果
5.6.1 病毒的发现
可以对网络中的病毒状况进行集中统一的病毒监测,构建完备、协调、高效的预警体系。在病毒发作、网络攻击的初期进行提前预警,进行科学的评估,采取各种有效的手段,努力把风险发生的可能性降到最小,在现代病毒安全事件中,检测是现代网络安全模型中重要的一部分,xxx网络预警系统可实时检测网络内的病毒攻击;同时网络蠕虫病毒发作时,也会向网络发送大量的病毒包,造成整体网络堵塞和瘫痪,xxx网络预警系统可以在蠕虫爆发的初期进行报警,采用有效的手段,可以避免对网络造成的危害。
病毒监控如下图:
图2预警系统管理中心病毒监控截图
5.6.2 查找病毒源,定位风险,为有效处理病毒提供依据
xxx网络预警系统整理大量的互联网真实IP地址所在地相关信息,同时也支持用户自行导入和添加IP地址库。在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置,查找病毒源,定位风险,为有效处理病毒提供依据,准确的定位,如下图:
图3预警系统管理中心病毒定位截图
北京xxx信息技术有限公司[15]
XXX网络安全预警系统解决方案
5.6.3 发现未知病毒,解决新病毒爆发带的风险
xxx网络预警系统拥有网络行为判断技术,能够有效的检测未知病毒,解决新病毒爆发带的风险,对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
图4xxx行为判断技术示意图
5.6.4 独有的智能分析技术,发现异常网络安全问题
对http协议、pop3协议、Smtp协议完整的协议解析,对正常网络建模,提供异常网络流对比分析,结合管理中心所生成的动态策略杜绝网络中黑客攻击的一切来源,同时还能够追踪攻击的源头,以便网络警察取证。
北京xxx信息技术有限公司[16]
XXX网络安全预警系统解决方案
图5异常流量分析截图
5.6.5 安全事件的关联分析
针对病毒探针和防攻击探针所报告的大量网络安全事件,在无法人为的对其进行分析和整理时,就需要管理系统能够将各类网络安全事件归纳总结在一起,然后存入数据库,方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。将各种安全事件集中到管理中心后,对于某些网络安全事件来说,一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后,就有可能发现网络安全事件的源头。例如某个网段的攻击探针发现该网络被扫描,可以确定是公司内部一台主机A所为。但同时,病毒探针发现另外一台主机B通过远程植入方式, 将木马或者扫描程序植入主机A,管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是B而不是A, 从而确定真正的影响网络的源头。
图6安全事件关联分析示意图
北京xxx信息技术有限公司[17]
XXX网络安全预警系统解决方案
5.6.6 实时数据流监测,有效数据的汇总和分析
xxx网络预警系统可以实时数据流监测,有效数据的汇总和分析,形成对网络中的病毒情况的总体报告和趋势分析,为宏观决策提供依据,动态调整安全防护体系。
病毒信息总览图
图7病毒信息总览统计图
管理员也可以根据关心的数据项来生成报表,比如所关心的源IP、目的IP或者病毒名称等。管理员也可以查询一段特定时间内的网络安全事件,并生成报告,对以往的安全事件进行汇总,预见未来病毒的趋势。如图;
图8病毒来源统计表和饼形图
北京xxx信息技术有限公司[18]