网络取证系统建设方案.doc

网络取证系统方案

网络安全威胁概述

随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级别的增长：而且黑客仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏；加之威胁的工具化、实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。一般情况下，网络面临的威胁可以分为三类：

1．对网络自身与应用系统进行破坏的威胁

这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

2．利用网络进行非法活动的威胁

此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。

3．网络资源滥用的威胁

此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为，包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公司或单位造成了间接损失。这些行为都属于网络资源滥用。

目前应对这些威胁的手段虽然有很多，IDS\IPS、漏洞扫描、防火墙、日志聚合系统、网络异常行为检测和签名匹配技术等等，但都存在不同程度的局限性。比如漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索的，无法应对复杂和定制攻击的出现；日志分析因数量巨大而变得非常困难并且单调乏味；而IDS\IPS、防火墙和内容监视等手段则很容易为黑客所逃避。因此传统的安全和网络技术一直无法很好地解决一系列涉及商业和技术价值的问题。

二、网络取证系统介绍

网络取证系统提供了一个全新的网络应用数据分析方案。它是业界第一款可以记录网络上每件事情的安全监视系统，并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问题，如：内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、网络设置错误、资产滥用、网络异常、网络入侵分析、网络数据审计、法律法规要求达标和网络电子发现（networke-discovery）。

网络取证系统经历了超过10年的创新研究与开发，针对网络流量监视和分析提供专利系统和方法。与现有的安全和网络分析构架技术有着极大的不同，网络取证系统是全新设计的产品，用于即时分析、建模并极为详细地发掘所有网络流量，而不仅是简单地监视。该产品还提供全面的分布式网络监测架构，可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护，避免意外或有意的泄漏。

以全新的视角审视您的网络

借助于突破性的用户界面和无比的分析能力，网络取证系统可以使您以全新的方式监视和实时分析您的网络流量。传统的协议分析工具是以数据包的时序显示网络的流量，此时分析网络应用数据和恶意的网络行为通常是非常困难和容易混乱的，尤其是在分析网络数据的前后关系上，网络取证系统在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。

使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中，面对采集到的几十亿数据包，使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索，而不能从网络异常应用流量的角度来感知网络的潜在威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾，对网络管理者和安全分析人员来讲是根本“看不见的”。

网络取证系统可以让您看到以前看不见的东西。它会记录全部网络上的流量，将数十亿的数据包转换成上千个会话并形成高速的元数据索引，让您直接迅速地看到在应用层发生的事情：

哪些黑客躲避了IDS、防火墙、NBAD系统和签名匹配技术的检测进入了公司网络？

哪个邮箱发出的email附件中含有公司客户的名单，并发给了竞争对手？

谁在使用聊天软件向媒体泄漏了哪些敏感信息？

我们的网络是否符合Sarbanes-Oxley（塞班斯法案）的要求？

我发现我们的网络中有多台PC好像被外网的一个IP地址控制了

……

网络取证系统对网络