随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题日益突出。病毒是网络安全问题中最为严重的问题之一,发生的频率高、损失大、潜伏性强、覆盖面广,给内部网络造成极大的安全隐患。
网络中存在分散的、各自为政的单一层次的防病毒产品,已经难以满足网络防病毒的整体要求,仍然存在一些未知的病毒安全问题。为了进一步完善网络安全情况,我们需要另外架设网络安全监测系统进行协防,使其和网络版反病毒软件相辅相成,共同发挥作用,并对其实施行之有效的组织管理,才能达到整体病毒防控目的。
瑞星网络安全监测系统NDS是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,使用模式匹配和统计分析的方法,检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并记录相关事件于数据库中,作为管理员事后分析的依据。其主要功能为:
对网络中出现的病毒情况进行统一的病毒报警,全面,准确,高效,稳定,安全,快速。
对实时传输的数据流进行病毒监测,全面检测已知的、未知的各种病毒;检测的结果准确,误报率低。
实时关注网络中的流量,对敏感流量统一收集、汇总和分析,提供网内敏感流量情况的总体报告。
多种形式的报表展示。
瑞星公司完全自主开发的病毒引擎是可靠查获病毒的有力保障。每一版病毒引擎的推出,都意味着更多的平台支持,更多的功能,更完美的实现。
网络安全监测系统是完全针对网络数据流的防病毒系统。传统杀毒引擎不能处理网络数据,无法对网络中的数据进行病毒的查获。这需要对病毒引擎在对处理网络数据方面做改进,使其能够分析网络中数据流中包含的病毒。
未知病毒上报是网络安全监测在网络中捕获的新型病毒,由于系统的病毒库中没有病毒的特征码所以暂时没有确定名称,这样保证了系统不会放过任何危险的病毒。
网络安全监测系统监测通过HTTP协议、FTP协议、SMTP协议、POP3协议、SAMBA协议、IPMSG协议等传输的数据包是否包含病毒文件,用户可以灵活根据实际情况自定义协议匹配的端口。
网络安全监测系统实时监测网络中的流量情况,且对这些流量进行分析、统计。可以按单位和协议等不同角度进行分析,还可以对TCP数据包、UDP数据包、ARP请求、ICMP请求分别进行分析和统计,可以统计出收包数、发包数、收字节等详细信息。
统计建立的连接数、也可对连接的详细信息进行分析、查看,如使用的协议、源IP、目的IP、端口、包数、字节数等。连接信息可以按协议、源IP、目的IP和IP对进行汇总。同时会对查询出的数据进行柱状图展示。通过分析连接信息,很容易定位高并发低流量等可疑主机。
通过匹配恶意网址库查询到所访问的网页中是否有指向恶意网站的链接,及恶意网站的传播情况和受害网站的受害情况。挂马监控显示的是当前最新的10条网页挂马情况。
用户自定义监控单位,在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置和所有人。系统集成了公网IPv4的地址库,可以根据日志中的IP信息定位病毒源所处的物理位置。
网络安全监测系统的日志系统负责记录管理员的操作日志,以便查询,防止由于误操作引起整个网络安全监测系统不能正常工作。同时也记录了非法用户访问日志,防止由于非法用户猜测密码而进入系统。
巨大的存储空间为长时期存储网络事件提供了有力保障。同时,详细的安全事件记录能够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管理员迅速了解一段时间以来的网络事件,也能让领导明白近期网络中所发生的安全事件。带有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。
网络安全监测系统所支持的报表非常完善、支持自定义各种图形化的报表。可以设定重点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。
网络安全监测系统具有完善的统计报表功能,可以规律的按日、周、月、季、年来进行报表的统计,更可灵活的自定义报表的统计周期,便于用户根据实际工作需要进行设置。各种报表均对应配有图示,为用户更为直观的进行展示。
网络安全监测系统能够根据数据流监测设备监测到的病毒传播的汇总数据,整体显示当日24小时范围内的病毒传播次数走势图,使用户总体把握当日某段时间的病毒传播情况。也可以按单位和地区进行数据统计整体展示给用户。系统更能智能化的根据排名进行病毒传出TOP、病毒接收TOP、传毒主机TOP和受毒主机TOP的展示。展示图多样化的包含饼图、柱状图和折线图等多种图形的展示。通过对病毒传播趋势的分析,使用户能全面的、更好的把控病毒传播情况。
网络安全监测系统能够监测到网络内部各单位的传毒和受毒情况,包括单位感染次数、传毒次数和受毒次数等详细信息。对单位的安全情况评价共分四个等级:正常、轻度异常、异常和严重异常。等级越严重的标志则颜色越深越醒目,以此提示用户注意当前情况。系统会对当前单位病毒安全情况的变化趋势进行预警。而且会对单位的安全情况进行分析和监控,将最活跃的前十个单位以列表形式展示给用户。
瑞星防病毒监测网遍布全世界,能够在最短时间内得到病毒样本,反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库,然后提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具有未知病毒的查获能力和病毒行为的预判断能力,也不能保证在病毒以一种非常规的或者以一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库,让网络安全监测工作在最佳状态,在病毒大规模爆发前就使其被扼杀在摇篮之中,起到网络安全监测系统真正的预警功能。
网络安全监测系统可以按照预先设定的时间间隔定期访问瑞星网站,一旦发现新的更新数据,将立即下载到本地,保证每个模块处于最良好的状态。不会对影响网络安全的事件视而不见。如果在一些核心的应用中,网络安全监测系统所处的网络是和互联网物理隔绝的,管理中心无法自动升级,管理员可以选择手动升级的方式来升级整个系统。
随着网络设备的增多,有效地管理这些设备也不是一件容易的事情。能够集中有效地管理这些网络设备是大势所趋。网络安全监测系统是一套集中管理的网络安全系统,并且所有管理功能都是基于浏览器来完成,无需另外安装附加软件,仅需要浏览器和SSL支持。
瑞星公司根据客户需求,制定了很多通用性很强的安全策略模板。管理员只需对预先制定的模板做出少量的修改即可应用,减少了管理员的系统初期安装设置工作。简单的模板和安装向导让管理员迅速熟悉和了解整个系统,保证系统更可靠的运行。
由于不可抗力等原因,比如网络设备、气温、湿度等,导致系统不能照常运行时,网络安全监测的监控模块可以及时报告管理员以便迅速做出反应,人为地保障系统可靠运行。瑞星精心选取的工控机系统保证能够在恶劣的环境下运行,使网络安全监测系统有了可靠运行的硬件保障。瑞星精心编写和测试的软件是网络安全监测系统可靠运行的软件保障。再加上对系统运行环境的监测和监控,保证整个系统7×24小时的可靠运行。
网络安全监测系统具备了智能分析和特征匹配两种监控模式。高技术含量的人工智能是监控网络异常的最好方法。具备了自我学习能力的人工智能分析技术结合特征匹配技术,对网络里的黑客攻击明察秋毫。结合网络安全监测所生成的动态策略,杜绝网络中黑客攻击的一切来源,同时还能够追踪攻击的源头,以便网络警察取证。
理论上,任何网络安全设备在能够连通外部网络情况下,都不能保证100%的安全。但是对于网络安全监测来说,监测口在能够获取网络数据的前提下,拥有一个不完全的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯,同时,管理口完全可以处在和外部网络物理隔绝的核心网络,达到管理和监测分离的部署方式。
在现在的操作系统中,因为安全等因素将用户空间和内核空间完全分离。在用户进程和内核进程交换数据时,就需要将数据从两个空间来回拷贝。为了提高交换数据的效率,很多操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能,不过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量数据交换时,数据拷贝过程将占用程序CPU运行时间的很大比例。这样势必会极大地影响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化,以及对用户空间的程序的修改与优化,瑞星研发了一种特殊的拷贝技术,即:数据在内核和用户空间内共享的数据“零拷贝”技术。
通过特殊的技术在用户空间和内核空间共享数据,同时又利用一种良好的安全策略来保证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有的安全性的情况下,减少拷贝数据的时间,使整个系统将时间片全部集中在数据处理上。不但有效的利用CPU时间,而且也减少了系统资源的占用。
我们利用Spirent(思博伦)公司的基于应用的测试工具Avalanche对网络安全监测进行测试。在3%丢包条件下,可以支持863.3M的网络病毒处理能力,几乎达到了现有千兆网络设备的处理能力的极限,完全可以应用于电信机房等中心骨干网络中。
网络安全监测系统支持多种部署机制,包括旁路监测、串行监测、再次镜像数据等。
旁路监测:不影响原有网络拓扑,旁路接入到网络环境中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。
示例网络拓扑结构图如下:
旁路监测网络拓扑结构图
串行监测:串行接入到网络中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。
示例网络拓扑结构图如下:
串行监测网络拓扑结构图
注:串行监测和旁路监测功能类似,只是接入方式不同,用户可以根据需要自行选择接入方式,同时支持多路监测和混合监测。
再次镜像数据:可以将监测口监测到的数据通过其它网络接口转发出去,以备接入其它更多的监测设备,在不用采购更复杂镜像设备的同时提高网络监控深度和广度。
示例网络拓扑结构图参见上面旁路和串行的两个部署图,其中的入侵检测系统、安全审计系统获取的数据即为NDS将监测口监测到的数据通过其它网络接口转发的数据。
版权所有 北京瑞星信息技术股份有限公司