网络取证系统建设方案.docxVIP

网络取证系统方案 一、 网络安全威胁概述 随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级別的增长：而且黑客 仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏;加之威胁的工具化、 实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。一般情况下，网络而临 的威胁可以分为三类： 对网络自身与应用系统进行破坏的威胁 这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对彖，通过技术手段导致 网络设备、主机、服务器的运行受到彫响(包括资源耗用、运行屮断、业务系统异常等)。 ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击，虽然不破坏网络内部的数 据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。 利用网络进行非法活动的威胁 此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益 的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工 具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分 子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。 网络资源滥用的威胁 此类威胁的特点是正常使用网络业务吋，对网络资源、组织制度等造成影响的行为，包 括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正 常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又 如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公 司或单位造成了间接损失。这些行为都属于网络资源滥用。 目前应对这些威胁的手段虽然有很多，IDSIPS、漏洞扫描、防火墙、日志聚合系统、网络 异常行为检测和签名匹配技术等等，但都存在不同程度的局限性。比如漏洞扫描或基于签名的安 全手段都是依赖己知的特征或模式去发现搜索的，无法应对复杂和定制攻击的出现；口志分析因 数量巨大而变得非常闲难并且单调乏味；而TDSMPSs防火墙和内容监视等手段则很容易为黑客 所逃避。因此传统的安全和网络技术一直无法很好地解决一系列涉及商业和技术价值的问题。 网络取证系统介绍 网络収证系统提供了一个全新的网络应用数据分析方案。它是业界第一款可以记录网络上 每件事情的安全监视系统，并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问 题，如：内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、网络设置错误、 资产滥用、网络异常、网络入侵分析、网络数据审计、法律法规要求达标和网络电子发现(network e-discovery)。 网络取证系统经历了超过10年的创新研究与开发，针对网络流量监视和分析提供专利系 统和方法。与现有的安全和网络分析构架技术有着极大的不同，网络取证系统是全新设计的产 品，用于即时分析、建模并极为详细地发掘所有网络流量，而不仅是简单地监视。该产品还提供 全面的分布式网络监测架构，可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保 护，避免意外或有意的泄漏。 以全新的视角审视您的网络 借助于突破性的用户界面和无比的分析能力，网络取证系统可以使您以全新的方式监视和 实时分析您的网络流暈。传统的协议分析工具是以数据包的时序显示网络的流量，此时分析网络 应用数据和恶意的网络行为通常是非常困难和容易混乱的，尤其是在分析网络数据的前后关系 上，网络取证系统在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特 征。 使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银 行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中，面对采集到的几十亿数 据包，使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手 段都是依赖已知的特征或模式去发现搜索，而不能从网络异常应用流量的角度来感知网络的潜在 威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾，对网络管理者和安全分析人员 来讲是根本“看不见的”。 网络取证系统可以让您看到以前看不见的东西。它会记录全部网络上的流量，将数十亿的 数据包转换成上千个会话并形成高速的元数据索引，让您直接迅速地看到在应用层发生的事情: 哪些黑客躲避了 IDS、防火墙、NBAD系统和签名匹配技术的检测进入了公司网络？ 哪个邮箱发出的email附件屮含有公司客户的名单，并发给了竞争对手？ 谁在使用聊天软件向媒体泄漏了哪些敏感信息？ 我们的网络是否符合Sarbanes-Oxley （塞班斯法案）的要求？ 我发现我们的网络屮有多台PC好像被外网的一个IP地址控制了 网络取证系统对网络应用或行为的分析，使您不会再因为“看不见”而不知