基于信息安全建设中安全态势感知系统的设计.pdf

Iil{I8l；IlI!I5蕊圜2。o。ie。~。。。。。。。。．。。。。。． 信 息 科 学 表1 信息安全态势感知系统——安全事件；j-析表 序号 业务影响描述 安全事件类型 脆弱性 1 通过控SUftp，可以随意替换服务器中的oracle数据文件，导致业务数据内 漏洞攻击事件 FTP弱口令 容被随意替换 2 攻击者在设法获得系统控制权的情况下，可以发动针对oracle、ftp~E务的 拒绝服务攻击 已开放的ftp、 拒绝服务攻击，导致服务不可用 事件 oracle应用端 口 3 站段一级的内部攻击者，可能利用猜解出的oracle弱口令，导致直接对 信息假冒事件 Oracle弱口令猜解 oracle数据库服务器的接管，可以将货票、华调数据修改成任意内容 4 站段一级的攻击者利用服务器的远程缓冲区溢出漏洞，获取操作系统最高 漏洞攻击事件 远程缓冲区溢出 权限后，对该系统进行任意操作 5 通过tftp漏洞，获取操作系统root权限后，可进行任意操作 漏洞攻击事件 TFTP高危漏洞 6 对于windows系统 ，由于未及时应用补丁，导致蠕虫利用漏洞会在破坏 蠕虫事件 Windows系统漏洞 或应用漏洞 过关联分析技术对 以上数据分析并生成各类关联分析后事 近 3次的口令设置相同等。 件，把事件通过安全策略管理和任务调度管理进行分配，最 3．2 知识 库 终通过管理 门户呈现 。系统的结构描述如下。 知识库包括事件特征库 、关联分析库 、僵木蠕库 、漏洞 (1)管理 门户主要包括：仪表盘、关联事件、综合查询视 库、手机病毒库等 ，可对其中的信 息进行更新维护。知识库 图、任务执行状态和系统管理功能。 可以与事件、漏洞 、告警等信息关联 ，获得对以上信息的说明 (2)策略管理主要包括安全策略管理和指标管理 。 及处理建议 。 (3)关联分析根据采集到的DD0S、僵木蠕、手机病毒、 (1)事件特征库中，可以对威胁、事件进行定义，详述了其 蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关 特征、影响、严重程度、处理建议等。 联规则分析生成各类关联分析后事件。 (2)关联分析库提供大量可以直接使用的内置关联规则 (4)任务管理包括任务生成 、配置、下发和核查等功能。 (经过验证可以解 决某类安全 问题的成熟规则)；也可 以对 (5)数据库部分存储原始事件、关联分析后事件、各种策 这些 内置关联规则进行各种组合生成新 的、复杂 的关联规 略规 则及安全知识。 则。 (3)僵木蠕库是专 门针对僵尸网络、木马、蠕虫的知识 3系统组成结构 库，对其特征进行定义，并提出处理建议。 安全态势感知系统的结构如图l所示 。 (4)手机病毒库，实现病毒库的管理。 3．1管理门户 (5)ip信誉库数据包含恶意IP地址、恶意URL等。 (1)管理门户集成了系统的一些摘要信息，主要包括：态 (6)安全漏洞信息库提供漏洞定义，并详述了其特征、影 势仪表盘 (Dashboard)、个人工作台、综合查询视图、系统 响、严重程度及处理建议等。 任务执行情况以及系统管理功能。 3．3任务调度管理 (2)