【技术实现步骤摘要】
一种民航空管网络安全检测预警平台
[0001]本申请涉及网络安全
,尤其涉及一种民航空管网络安全检测预警平台。
技术介绍
[0002]新一代威胁穿透一个网络窃取信息时,通常利用多种手段并经过多个阶段。攻击者结合使用Web、电子邮件和基于文件的攻击方式进行攻击。当前的防火墙,IPS,防病毒和 Web安全网关几乎没有能力阻止使用零日漏洞、一次性恶意软件以及APT高级攻击手段的攻击者。
[0003]这些混合的多阶段的攻击之所以成功,是因为传统的安全技术依赖于静态的基于签名的或基于列表的模式匹配技术。许多零日和定向型威胁,通过在无辜的网页上或可下载的文件如JPEG图片和PDF文档里隐藏新型植入恶意软件来渗透系统。或者他们使用个性化的钓鱼邮件发送到精心挑选的受害者,带有貌似合理的消息和针对零日漏洞的恶意附件。或者他们在社交媒体网站上嵌入微博,包含恶意URL。每次受害者访问网站或打开附件,恶意软件主体就会安装在受害者的计算机上。这种恶意软件的代码通常包含利用操作系统、插件、浏览器或应用程序的多个未知漏洞,以确保它在系统中获得一个立足点。
[0004]最终,该代码会回连网络犯罪分子以获得进一步的指令和一个新的主体,或传送登录凭证,财务数据和其他有价值的信息。罪犯也可以进一步探索或用新的目标扩大他的僵尸网络。
[0005]除了利用技术优势,网络犯罪分子也意识到,他们可以分而治之,因为传统的防御和 IT部门是有组织的。传统的安全防御措施通常设置为把每个攻击方式作为单独的路径,每个阶段作为独立的事件来检查, ...
【技术保护点】
【技术特征摘要】
1.一种民航空管网络安全检测预警平台,其特征在于,包括:安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点,其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署;安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器;网站及应用监测,具体为针对网络群及APP,采用远程监控监测技术对网站应用提供7*24小时实时安全监测;针对管理信息网,采用内网部署监测技术对内网网站及应用提供7*24小时实时安全监测;态势分析中心用于存储各类安全态势要素数据,并采用多种智能分析方法对态势要素进行分析,感知各类网络安全态势,进行安全监测,发现安全问题,并进行预警和响应;以及提供安全态势可视化展示和应用交互界面;以及对网络中分散的分布式计算存储节点进行集中管理;分布式计算存储节点安装并运行在独立的服务器上,实现安全事件的分布式存储、全文索引和分析;以及当数据规模不断扩大时,通过增加分布式计算存储节点进行水平扩展。2.如权利要求1所述的民航空管网络安全检测预警平台,其特征在于,资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等,能够自动化扫描和探测网络中的资产,并进行精确识别;日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件;全流量采集系统通过部署在网络中的内外网关键节点位置,采集外网、内网本部、AFTN、气象以及情报系统区域交换机镜像端口全流量数据,对数据进行深度包检测、深度流检测和深度内容检测,发现流量中的网络层和应用层的安全威胁和攻击;漏洞采集器为规划建设的网络漏洞扫描系统,平台驱动漏洞扫描器进行工作,采集全网发现的资产漏洞;安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息,并进行安全配置合规性分析。3.如权利要求1所述的民航空管网络安全检测预警平台,其特征在于,从架构设计角度出发,民航空管网络安全检测预警平台包括功能应用层、场景分析层和监控预警子平台;功能应用层包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块;场景分析层定义了安全监测预警系统的分析方法,分析方法采用了分析引擎、分析场景、分析输出的分别定义;分析引擎为场景分析提供分析计算能力,分析引擎包括分析算法、离线计算引擎和实时计算引擎;分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景,以及用于内部威胁分析的用户行为分析场景;分析输出包括综合安全态势展示、实时攻击态势展示、恶意操作态势展示、异常流量态势展示和攻击画像展示;监控预警子平台是具有独立服务能力的安全大数据中心,实现各类安全数据的采集、处理、汇聚、存储、检索能力,并提供数据订阅接口。4.如权利要求3所述的民航空管网络安全检测预警平台,其特征在于,分析引擎中分析算法包括关联分析、统计分析和数据挖掘;安全事件关联分析是采用
基于规则匹配的方法,对多条异源异构事件进行特征匹配分析;事件统计分析是指采用统计学方法,对各类事件的状态、频次、发生周期进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果;数据挖掘指从既定业务目标,从大量的、不完全的、噪声的、模糊的、随机的实际应用数据中,提取隐含在其中的事先不知道的、但又是潜在用的信息和知识并进一步将其模型化的过程;分析引擎中离线计算引擎是整个大数据中心里的核心数据存储区,存储了全量的历史明细数据,以及计算所有离线业务;分析引擎中实时计算引擎采用分布式实时计算架构,能够动态调整存储容量,以及分离分析数据读写和离线数据。5.如权利要求3所述的民航空管网络安全检测预警平台,其特征在于,分析场景包括网络威胁分析模型、异常安全流量检测模型、系统恶意操作分析模型和威胁情报分析模型;网络威胁分析模型:通过对网络中安全设备告警日志、系统日志等原始数据的过滤及分析,对网络、系统中攻击的整体情况进行统计和分析,输出明确告警信息、经过分析预测的趋势预警信息,以及网络威胁的态势信息;异常安全流量检测模型:通过流量数据、安全设备日志分析和通过大数据智能学习刻画重要资产应用系统的流量基线,再通过网络流量变化的特征来确定流量异常行为发生的时间点,在每个流量异常行为发生的时间点对流量行为特征参数进行分析,以找出异常行为对应的目的I...
【专利技术属性】
技术研发人员:唐屹,陈宝刚,刘志磊,李萌,杨锐,侯保国,胡滨,
申请(专利权)人:中国民用航空局空中交通管理局,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。