一种民航空管网络安全检测预警平台制造技术

本申请公开一种民航空管网络安全检测预警平台。包括安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点；安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；网站及应用监测提供实时安全监测；态势分析中心采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测；以及提供安全态势可视化展示和应用交互界面；分布式计算存储节点实现安全事件的分布式存储、全文索引和分析。采用本发明专利技术提供的方案，能够建立长效监测机制和统一的网站监测与预警，以实现对各网站安全的集中管理、批量处理、自动化安全监测，全面汇总重要网站和信息系统的安全风险。全面汇总重要网站和信息系统的安全风险。全面汇总重要网站和信息系统的安全风险。

【技术实现步骤摘要】
一种民航空管网络安全检测预警平台


[0001]本申请涉及网络安全
，尤其涉及一种民航空管网络安全检测预警平台。

技术介绍

[0002]新一代威胁穿透一个网络窃取信息时，通常利用多种手段并经过多个阶段。攻击者结合使用Web、电子邮件和基于文件的攻击方式进行攻击。当前的防火墙，IPS，防病毒和 Web安全网关几乎没有能力阻止使用零日漏洞、一次性恶意软件以及APT高级攻击手段的攻击者。
[0003]这些混合的多阶段的攻击之所以成功，是因为传统的安全技术依赖于静态的基于签名的或基于列表的模式匹配技术。许多零日和定向型威胁，通过在无辜的网页上或可下载的文件如JPEG图片和PDF文档里隐藏新型植入恶意软件来渗透系统。或者他们使用个性化的钓鱼邮件发送到精心挑选的受害者，带有貌似合理的消息和针对零日漏洞的恶意附件。或者他们在社交媒体网站上嵌入微博，包含恶意URL。每次受害者访问网站或打开附件，恶意软件主体就会安装在受害者的计算机上。这种恶意软件的代码通常包含利用操作系统、插件、浏览器或应用程序的多个未知漏洞，以确保它在系统中获得一个立足点。
[0004]最终，该代码会回连网络犯罪分子以获得进一步的指令和一个新的主体，或传送登录凭证，财务数据和其他有价值的信息。罪犯也可以进一步探索或用新的目标扩大他的僵尸网络。
[0005]除了利用技术优势，网络犯罪分子也意识到，他们可以分而治之，因为传统的防御和 IT部门是有组织的。传统的安全防御措施通常设置为把每个攻击方式作为单独的路径，每个阶段作为独立的事件来检查，而不是把这些阶段和方式作为精心策划的一系列网络事件来检测和分析。通过利用IT部门内部的技术和商业壁垒，一个水坑式网站感染看起来就像一个随机事件，归咎于一个终端用户访问可疑网站的拙劣决定。它不能追溯到原始的用来愚弄用户和启动一个多阶段的高级定向型攻击的鱼叉式钓鱼邮件。所以，经过多个阶段的网页和邮件攻击，网络罪犯可以获取数据而不被防护者发现，直到为时已晚。
[0006]现有技术对于网络安全通常采用如下几种方式：
[0007]防火墙：防火墙基于策略规则检测及管控http和Web流量，下一代防火墙增加了基于用户和应用的策略规则，加强了传统保护技术如IPS和AV，但并没有增加对流量内容或行为的动态检测。
[0008]IPS：签名、包检查、DNS解析和启发式分析不会检测出一个利用零日漏洞的异常攻击行为，特别是如果恶意代码被严重伪装或分段投送。
[0009]防病毒：恶意软件及其利用的漏洞是未知的(零日)，并且该网站有一个正常的声誉，传统的防病毒网关和Web过滤器将会让它通过。
[0010]反垃圾邮件：伪造的钓鱼网站使用不断变化的域名和网址，所以黑名单滞后于钓鱼网站的变化，而关闭一个钓鱼网站所需的平均时间超过26小时。
[0011]Web过滤：大部分出站过滤器阻止成人内容或浪费时间的娱乐网站，不到四分之一
的企业限制社交网站。除此之外，动态URL、被黑的合法网站以及短期活跃的地址使静态 URL黑名单过时了。
[0012]数据防泄露(DLP)：DLP工具主要是针对个人身份信息(PII)，如身份证号码、社会保障号码、执照号码、或健康数据等。这些工具的好坏取决于他们的规则，但对于检测凭证或知识产权的外泄来说粒度较粗和规则繁琐。而外传通道的加密则使数据泄露内容不被看见，其静态的检测方法与新一代威胁的动态属性不相匹配。
[0013]由上可见，现有技术对于网络安全存在如下缺陷：
[0014](1)传统安全设备防护力不从心：用户部署约几十类不同厂家、不同类型的安全设备，告警数量众多，真正的威胁被淹没在海量的告警与日志信息中难以发现。
[0015](2)异常文件和新型威胁难以发现：文件、邮件的过滤和文件动态检测能力不足，无法发现隐蔽的恶意代码及行为。
[0016](3)威胁情报能力较弱：数据外联恶意URL或IP，APT高持续性攻击，低频的账号暴力破解等新型的威胁发现不及时。
[0017](4)内部威胁难以防护：内部人员转发和跳板攻击的现象无法有效的检测和发现。
[0018](5)缺乏快速手段追踪溯源：海量日志分析效率低，可视化能力差，事件的溯源难度和周期就会加大。

技术实现思路

[0019]本申请提供了一种民航空管网络安全检测预警平台，包括：安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点，其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署；
[0020]安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；
[0021]网站及应用监测，具体为针对网络群及APP，采用远程监控监测技术对网站应用提供 7*24小时实时安全监测；针对管理信息网，采用内网部署监测技术对内网网站及应用提供 7*24小时实时安全监测；
[0022]态势分析中心用于存储各类安全态势要素数据，并采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测，发现安全问题，并进行预警和响应；以及提供安全态势可视化展示和应用交互界面；以及对网络中分散的分布式计算存储节点进行集中管理；
[0023]分布式计算存储节点安装并运行在独立的服务器上，实现安全事件的分布式存储、全文索引和分析；以及当数据规模不断扩大时，通过增加分布式计算存储节点进行水平扩展。
[0024]如上所述的民航空管网络安全检测预警平台，其中，资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等，能够自动化扫描和探测网络中的资产，并进行精确识别；
[0025]日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件；
[0026]全流量采集系统通过部署在网络中的内外网关键节点位置，采集外网、内网本部、
AFTN、气象以及情报系统区域交换机镜像端口全流量数据，对数据进行深度包检测、深度流检测和深度内容检测，发现流量中的网络层和应用层的安全威胁和攻击；
[0027]漏洞采集器为规划建设的网络漏洞扫描系统，平台驱动漏洞扫描器进行工作，采集全网发现的资产漏洞；
[0028]安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息，并进行安全配置合规性分析。
[0029]如上所述的民航空管网络安全检测预警平台，其中，从架构设计角度出发，民航空管网络安全检测预警平台包括功能应用层、场景分析层和监控预警子平台；
[0030]功能应用层包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块；
[0031]场景分析层定义了安全监测预警系统的分析方法，分析方法采用了分析引擎、分析场景、分析输出的分别定义；分析引擎为场景分析提供分析计算能力，分析引擎包括分析算法、离线计算引擎和实时计算引擎；分析场景包括适用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种民航空管网络安全检测预警平台，其特征在于，包括：安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点，其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署；安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；网站及应用监测，具体为针对网络群及APP，采用远程监控监测技术对网站应用提供7*24小时实时安全监测；针对管理信息网，采用内网部署监测技术对内网网站及应用提供7*24小时实时安全监测；态势分析中心用于存储各类安全态势要素数据，并采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测，发现安全问题，并进行预警和响应；以及提供安全态势可视化展示和应用交互界面；以及对网络中分散的分布式计算存储节点进行集中管理；分布式计算存储节点安装并运行在独立的服务器上，实现安全事件的分布式存储、全文索引和分析；以及当数据规模不断扩大时，通过增加分布式计算存储节点进行水平扩展。2.如权利要求1所述的民航空管网络安全检测预警平台，其特征在于，资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等，能够自动化扫描和探测网络中的资产，并进行精确识别；日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件；全流量采集系统通过部署在网络中的内外网关键节点位置，采集外网、内网本部、AFTN、气象以及情报系统区域交换机镜像端口全流量数据，对数据进行深度包检测、深度流检测和深度内容检测，发现流量中的网络层和应用层的安全威胁和攻击；漏洞采集器为规划建设的网络漏洞扫描系统，平台驱动漏洞扫描器进行工作，采集全网发现的资产漏洞；安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息，并进行安全配置合规性分析。3.如权利要求1所述的民航空管网络安全检测预警平台，其特征在于，从架构设计角度出发，民航空管网络安全检测预警平台包括功能应用层、场景分析层和监控预警子平台；功能应用层包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块；场景分析层定义了安全监测预警系统的分析方法，分析方法采用了分析引擎、分析场景、分析输出的分别定义；分析引擎为场景分析提供分析计算能力，分析引擎包括分析算法、离线计算引擎和实时计算引擎；分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景，以及用于内部威胁分析的用户行为分析场景；分析输出包括综合安全态势展示、实时攻击态势展示、恶意操作态势展示、异常流量态势展示和攻击画像展示；监控预警子平台是具有独立服务能力的安全大数据中心，实现各类安全数据的采集、处理、汇聚、存储、检索能力，并提供数据订阅接口。4.如权利要求3所述的民航空管网络安全检测预警平台，其特征在于，分析引擎中分析算法包括关联分析、统计分析和数据挖掘；安全事件关联分析是采用
基于规则匹配的方法，对多条异源异构事件进行特征匹配分析；事件统计分析是指采用统计学方法，对各类事件的状态、频次、发生周期进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果；数据挖掘指从既定业务目标，从大量的、不完全的、噪声的、模糊的、随机的实际应用数据中，提取隐含在其中的事先不知道的、但又是潜在用的信息和知识并进一步将其模型化的过程；分析引擎中离线计算引擎是整个大数据中心里的核心数据存储区，存储了全量的历史明细数据，以及计算所有离线业务；分析引擎中实时计算引擎采用分布式实时计算架构，能够动态调整存储容量，以及分离分析数据读写和离线数据。5.如权利要求3所述的民航空管网络安全检测预警平台，其特征在于，分析场景包括网络威胁分析模型、异常安全流量检测模型、系统恶意操作分析模型和威胁情报分析模型；网络威胁分析模型：通过对网络中安全设备告警日志、系统日志等原始数据的过滤及分析，对网络、系统中攻击的整体情况进行统计和分析，输出明确告警信息、经过分析预测的趋势预警信息，以及网络威胁的态势信息；异常安全流量检测模型：通过流量数据、安全设备日志分析和通过大数据智能学习刻画重要资产应用系统的流量基线，再通过网络流量变化的特征来确定流量异常行为发生的时间点，在每个流量异常行为发生的时间点对流量行为特征参数进行分析，以找出异常行为对应的目的I...

【专利技术属性】
技术研发人员：唐屹，陈宝刚，刘志磊，李萌，杨锐，侯保国，胡滨，
申请(专利权)人：中国民用航空局空中交通管理局，
类型：发明
国别省市：