大规模网络安全监测平台 [邹涛].pdfVIP

大规模网络安全监测平台 国家计算机网络应急技术处理协调中心 （CNCERT/CC ） 2005年3月25 日 要点 Why ？ 为什么需要一个这样的平台? What ？ 我们需要的是一个什么样的平台? Effect ！ 平台在实际中发挥的作用! National Computer network Emergency Response technical Team/Coordination Center of China 要点 Why？ 需求与意义 What ？ 我们需要的是一个什么样的平台? Effect ！ 平台在实际中发挥的作用! National Computer network Emergency Response technical Team/Coordination Center of China 平台建设的需求与意义 互联网的安全直接关系到国家各种关键基础设 施的安全，从而直接影响到整个国家的政治、 经济、军事和社会的安全。 近年来，计算机安全事件，尤其是大规模蠕虫 事件呈现不断增长的趋势。 大规模新型网络蠕虫，可以在极短的时间（几 十分钟，甚至十几分钟）内造成世界范围的大 面积网络或者应用瘫痪，从而导致不可估量的 损失。 National Computer network Emergency Response technical Team/Coordination Center of China 平台建设的需求与意义 响应时间是关键 传统方法：数天时间； 协调制度的方式（建立专门的组织和固定的 急需建设一个国家级的 联系渠道）：几小时之内； 但仍然不能满足当前网络安全的实际需要。 大规模网络安全监测平台 历史教训 2001年CodeRed/Nimda事件 National Computer network Emergency Response technical Team/Coordination Center of China 要点 Why ？ 需求与意义 What？ 平台的实现 平台的能力 工作流程 Effect ！ 平台在实际中发挥的作用! National Computer network Emergency Response technical Team/Coordination Center of China 平台的实现 特点：大规模 分布式的数据获取、数据来源的多源性 采样的合理性？ 数据获取与分析之间的关联性 • 数据类型影响分析方法 • 分析过程中必须考虑数据采样的统计分布特点 数据分析与处理的综合性 关联分析、统计分析 数据/信息融合 National Computer network Emergency Response technical Team/Coordination Center of China 平台的实现 构建平台的几种方案 蜜罐honeypot 真实IP获得真实样本 未分配的IP 扫描 （JPCERT—ISDAS ） Netflow Ipsrc 、Ipdst 、srcPort、dstPort 、protocol 、TOS 、 Ifindex TopN ！