【技术实现步骤摘要】
本专利技术涉及网络安全态势感知,更具体地说是一种态势感知系统的信息系统场景化分析模型。
技术介绍
1、现有网络安全态势感知系统存在以下不足:
2、网络安全态势感知的主要内容包含了安全态势的获取、安全态势的理解以及安全态势的预测。另外,基于上述三点主要内容,网络安全态势感知应还包含对于安全问题或安全事件的处理,及网络安全态势的相关响应,籍此实现所谓的ppdr模型(即policy,prevention,detection以及response),因此网络安全态势的相关事件必须应得到合理的处置,方能在一定范围内和一定程度内得到缓解或解决。而基于当前的态势感知技术,网络安全态势类产品的实际运行效果在某些方面还存在着有待提升的地方:
3、1.水利行业尚未形成系统、全面的态势感知系统,对高危害、大影响以及未知特征的安全事件发生前,无法产生及时的预警,并调动安全设备形成主动对抗。
4、2.无法或者非常困难发现类似问题在同类设备或应用上可能存在的问题,导致溯源困难,很难得到完整的攻击链条或导致问题的根因;
5、3.当出现安全问题后,进行了一定处置后如果再出现问题,很难进行反复地验证和比对,故对于处置效果基本无法评估。
技术实现思路
1、本模型的专利技术目的是全面提升丹江口水利枢纽关键信息基础设施的网络安全态势感知和监测预警能力、网络安全攻防对抗能力、网络安全事件应急处置指挥能力,确保丹江口水利枢纽网络安全,切实保障丹江口水利枢纽安全运行。同时本项目作为
2、本专利技术技术方案如下:
3、一种态势感知系统的信息系统场景化分析模型,包括以下方法:
4、(1)、资产主动外连检测
5、其检测逻辑方法为:首先判断源ip是否是属于业务资产(适用于内网的情况),再判断目的ip是否是属于外网ip,业务资产请求过外网ip,就属于业务资产主动外连;其展示逻辑方法为:要展示资产外连的流量,上下行之和,目的ip的isp和外连ip归属地,帮助用户定位内网资产,发现非法的主动外连行为;
6、(2)、暴力破解检测
7、其检测逻辑方法为:在1分钟以内,按照源ip,目的ip,目的端口,协议类型,为四元组判断,连续登录失败超过100次以上,就属于暴力破解行为(离线分析);展示逻辑方法为:展示被登录失败次数最多的源ip的top10,被尝试最多的账号,详细列表;
8、(3)、dns隧道检测
9、其检测逻辑方法为:请求dns的总长度超过50,并且子域名长度占总长度的一半以上,其中倒数第二个“.”以前的部分按照“.”分割成多个子域名;同时以源ip、目的ip、根域名为三元组,判断在3分钟内是否有连续10次以上的相同心跳间隔请求;
10、请求和响应包的大小监测:dns在查询域名或者反查ip地址的时候会将域名或者ip地址格式化为一个叫查询名的带有多个标签的序列,每个标签序列最大元素个数只能为64,但可以有多个标签序列。通常情况下每个标签序列是远远达不到64,当只有一个标签序列且标签元素正好为64的时候,dns请求报文的应用层数据不超过100byte;
11、dns请求响应记录分布:通常dns隐蔽隧道的fqdn数在一定时间窗口内会远高于正常的dns流量,通过分析一定时间窗口内所产生的fqdn数,可以发现dns的隐蔽隧道线索;
12、数据包关键字段异常的编码监测:通过数据包关键字段异常的编码监测,支持如下的dns隐秘隧道发现:通过超长域名信息传递数据、通过txt请求传递数据、通过aaaa记录传递数据等。
13、其展示逻辑方法为:展示dns tunnel的请求的详情,按照源ip和域名进行归并展示;
14、(4)异地账号登录检测
15、其检测逻辑方法为:只检测smtp、pop3、ssh、rdp、ftp、mssql、mysql、redis、es、oracle协议,判断内网资产(目的ip)是否被外网ip(源ip)尝试登录过,按照源ip、目的ip,协议,账号,hour时间进行归并;其展示逻辑方法为:在列表中展示登录尝试资产的详情和成功率;
16、(5)http代理检测
17、其检测逻辑方法为:判断在tcp载荷里面是否有特殊http代理的特征码,如果有就是http代理;其展示逻辑方法为:通过词云的方式来展示使用最多的top20的代理,列表以源ip,代理,端口做为三元组进行归并,展示详情。
18、(6)邮件敏感关键词检测
19、其检测逻辑方法为:通过定义的敏感关键词(内置一部分),匹配邮件正文内容,如果匹配中关键词,就进行告警;其展示逻辑方法为:通过云词展示匹配最多的top20的敏感关键词,列表展示匹配中的邮件简要信息,点击查看可以看邮件的详情;
20、(7)邮件附件敏感后缀检测
21、其检测逻辑方法为:通过定义的敏感后缀(内置一部分),匹配邮件正文内容,如果匹配中后缀,就进行告警;其展示逻辑方法为:通过列表展示匹配中的邮件简要信息,点击查看可以看邮件的详情;
22、(8)弱口令监测,即明文密码泄露检测
23、其检测逻辑方法为:只检测smtp和pop3的协议的登录数据,并且只对登录成功的账号做检测。匹配内置的弱口令,看是否命中;其展示逻辑方法为:通过词云展示被命中最多top20的资产ip,列表展示命中的弱口令、受影响账号、受影响资产;
24、(9)regeorg隧道发现
25、其检测逻辑方法为:判断web访问日志里面是否有命令语句,并且对应的文件索引里是否有文件上传;其展示逻辑方法为:显示网络流量中使用regeorg代理攻击的场景,详情可查看流量关系图及列表;
26、(10)socks代理检测
27、其检测逻辑方法为:判断在tcp载荷里面是否有特殊socks的特征码,如果有就是socks代理;其展示逻辑方法为:通过词云的方式来展示使用最多的top20的代理,列表以源ip,代理,端口做为三元组进行归并,展示详情;
28、(11)vpn账号登录地域分布统计
29、其检测逻辑方法为:首先判断日志是否是vpn网关日志,再判断是否是登录请求,再判断在3分钟以内,连续超10次以上登录成功率小于30%是否存在两地不可达的情况,如果不可达这标记本次和前后两次的登录行为为异常行为,在数据库中产生异常类型的记录。
30、两地不可达是指在最后一次日志和第一次日志的时间内,不可能横跨两地。
31、其展示逻辑方法为:在列表中按源ip、源ip归属地、账号、认证本文档来自技高网...
【技术保护点】
1.一种态势感知系统的信息系统场景化分析模型,其特征在于,包括以下方法:
2.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(1)、资产主动外连检测中,展示以世界地图以及列表的方式进行呈现;世界地图以外连的流量使用热力图进行展示;以列表的方式展示业务资产IP以及外连的IP;世界地图可以与列表的数据进行联动,如点击中国地图则列表查看与中国地图相关的数据。
3.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(3)、DNS隧道检测中,请求和响应包的大小监测:DNS在查询域名或者反查IP地址的时候会将域名或者IP地址格式化为一个叫查询名的带有多个标签的序列,每个标签序列最大元素个数只能为64,但可以有多个标签序列;通常情况下每个标签序列是远远达不到64,当只有一个标签序列且标签元素正好为64的时候,DNS请求报文的应用层数据不超过100Byte;
4.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(11)VPN账号登录地域分布统计和(12)VPN账号登录行为统计中
5.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(15)扫描行为发现中的特定字段信息包括但不限于:agent、uri、data、cookie。
6.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:存在安全威胁的告警数据包括但不限于:AWVS、Empire PowerShell渗透攻击框架、SQLMap、antSword、BugScan、CaiDao、webinspect、netspark、w3af、nessus、SharinGan_Scanner、WindowsPowerShell、WebVulnScan、masscan。
...【技术特征摘要】
1.一种态势感知系统的信息系统场景化分析模型,其特征在于,包括以下方法:
2.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(1)、资产主动外连检测中,展示以世界地图以及列表的方式进行呈现;世界地图以外连的流量使用热力图进行展示;以列表的方式展示业务资产ip以及外连的ip;世界地图可以与列表的数据进行联动,如点击中国地图则列表查看与中国地图相关的数据。
3.根据权利要求1所述的一种态势感知系统的信息系统场景化分析模型,其特征在于:在(3)、dns隧道检测中,请求和响应包的大小监测:dns在查询域名或者反查ip地址的时候会将域名或者ip地址格式化为一个叫查询名的带有多个标签的序列,每个标签序列最大元素个数只能为64,但可以有多个标签序列;通常情况下每个标签序列是远远达不到64,当只有一个标签序列且标签元素正好为64的时候,dns请求报文的应用层数据不超过100byte;
【专利技术属性】
技术研发人员:徐波,张明,孙启伟,张涛,洪芸,杨飞,朱俊梅,贺军,杨宁,王昕,井轩,廖家勇,刘徐梦玥,肖涵菲,邬舒静,郭玮泽,付祉祥,黑智辰,孙沅斌,王鹏奕,涂欣,
申请(专利权)人:汉江水利水电集团有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。