XXX网络安全预警系统解决方案
图9病毒趋势分析截图
5.6.7 集中管理和控制,
xxx网络安全预警系统是一套集中管理的网络安全系统,并且所有管理功能都是基于浏览器来完成,无需另外安装附加软件,仅需要浏览器和SSL支持,管理员可以通过总中心可对整个网络安全预警系统进行安全管理,总中心负责接收管理员的命令,然后分发到各个相关网络预警分中心,分中心再自动分发给病毒探针,大大减少了管理工作。同时可以帮助网络安全状况制定统一的策略,最大限度地利用现有资源,发挥整体优势,保障网络安全。
北京xxx信息技术有限公司[19]
XXX网络安全预警系统解决方案
6 xxx网络安全预警系统功能介绍
6.1 零拷贝技术
在现在的操作系统中,因为安全等因素将用户空间和内核空间完全分离。在用户进程和内核进程交换数据时,就需要将数据从两个空间来回拷贝。为了提高交换数据的效率,很多操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能,不过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量数据交换时,数据拷贝过程将占用程序CPU运行时间的很大的比例。这样势必会极大的影响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化,以及对用户空间的程序的修改与优化,xxx研发了一种特殊的拷贝技术,即:数据在内核和用户空间内共享的数据“零拷贝”技术。
通过特殊的技术在用户空间和内核空间共享数据,同时又利用一种良好的安全策略来保证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有的安全性的情况下,减少拷贝数据的时间,使整个系统将时间片全部集中在数据处理上。不但有效的利用CPU时间,而且也减少了系统资源的占用。利用零拷贝技术,使病毒监测探针的监测能力呈数量级的提升。由原来的百兆到现在的千兆!
图10零拷贝技术原理图
6.2 能够查获1000000种的病毒引擎
完全自主开发的xxx杀毒引擎是查获病毒的有力保障,每一版病毒引擎的推出,都意味着更多的平台支持,更多的功能,更完美的实现。病毒探针所用的病毒查杀引擎完全使用xxx最优化和改进的病毒查杀引擎。优化和改进主要针对以下方面:
病毒探针是完全基于网络的防病毒系统,传统杀毒引擎不能处理网络数据,无法对网络
北京xxx信息技术有限公司[20]
XXX网络安全预警系统解决方案 中的数据进行病毒的查获。这需要在处理网络数据方面对病毒引擎做改进,使其能够分析网络数据流中包含的病毒。病毒探针所应用的病毒引擎为xxx最新杀毒引擎改进而成,不但拥有xxx病毒杀毒引擎的所有功能和特点,而且是能够查获网络数据流中的病毒的“流引擎”。
6.3 能够查获未知病毒引擎
病毒探针由于反病毒引擎采用了虚拟机技术,发现在对捕获的疑似病毒样本定义时,系统的病毒库中没有所匹配的病毒特征码而无法确定名称,将这类病毒确认为未知病毒并上报到管理控制中心。这种机制保证了系统不会放过任何有危险的病毒。
6.4 支持千兆网络的处理能力
通过定制千兆网卡驱动,系统捕包的能力几乎达到了现有千兆网络设备的极限。完全可以应用于电信机房等中心骨干网络中。
图11千兆处理能力测试结果
6.5 检测口无IP地址
理论上,任何网络安全设备在能够连通外部网络情况下,都不能保证100%的安全。但是对于病毒探针和防攻击探针来说,监测口在能够获取网络数据的前提下,拥有一个不完全的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯,同时,管理口完全可以处在和外部网络物理隔绝的核心网络,达到管理和监测分离的部署方式。
北京xxx信息技术有限公司[21]
XXX网络安全预警系统解决方案
图12预警系统不完全TCP/IP实现方式
6.6 完善的升级机制和迅速更新的特征库
xxx防病毒监测网遍布全世界,能够在最短时间内得到病毒样本,完全独立的24小时反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库,然后提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具有未知病毒的查获能力和病毒行为的预判断能力,也不能保证在病毒以一种非常规的或者以一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库让病毒探针工作在最好的状态,让病毒在大规模爆发前就被扼杀在摇篮之中,起到网络安全预警系统真正的预警功能。
网络预警系统的管理中心可以按照预先设定的时间间隔定期访问xxx网站,一旦发现新的更新数据,将立即下载到本地,然后分发到特定的探针,保证每个模块处于最良好的状态。不会对影响网络安全的事件视而不见。如果在一些核心的应用中,网络安全预警系统所处的网络是和互联网物理隔绝的,管理中心无法自动升级,管理员可以选择手动升级的方式来升级整个系统。
6.7 安全事件的关联分析
针对病毒探针所报告的大量网络安全事件,在无法人为的对其进行分析和整理时,就需要管理中戏能够将各类网络安全事件归纳总结在一起,然后存入数据库,方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。
在各种安全事件集中到管理中心后,对于某些网络安全事件来说,一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后,就有可能发现网络安全事件的源头。例如,某个网段的防攻击探针发现该网络被扫描,可以确定是公司内部一台主机A所为。但同时,病毒探针发现另外一台主机A通过远程植入方式,将木马或者扫描程序植入主机B,管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是A而不是B,,从而确定真正的影响网络的源头。
6.8 迅速定位安全事件相关IP地址的物理位置
xxx公司整理了大量的互联网真实IP地址所在地相关信息,同时也支持用户自行导入和
北京xxx信息技术有限公司[22]
XXX网络安全预警系统解决方案 添加IP地址库。在分析网络安全事件时,可以点击相关IP确定该IP地址的物理位置。
图13安全事件定位截图
6.9 详细的安全事件信息
对于每一条影响网络安全的事件都有详细记录说明。比如病毒和黑客攻击等消息。
让用户充分了解该事件的详细信息才能从根本上杜绝类似的安全事件继续的发生。
图14详细事件信息截图
6.10 完善安全事件报告系统
管理中心的日志系统负责记录管理员的操作日志,以便查询,防止由于误操作引起整个安全预警系统不能正常工作。同时也记录了非法用户访问日志,防止由于非法用户破解密码而进入系统。
巨大的存储空间为长时期储存网络事件提供了有力保障。同时,详细的安全事件记录能够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管理员迅速了解一段时间内的网络事件,也能让管理者明白近期网络中所发生的安全事件。带有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。
网络安全预警系统所支持的报表非常完善,还可以支持各种图形化的报表。可以设定重点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。下图就是根据病毒来源而产生的报表:
北京xxx信息技术有限公司[23]