2023態(tài)勢感知平臺技術(shù)規(guī)范乾安態(tài)勢感知平臺技術(shù)規(guī)范說明書

IP搜 Url信譽(yù) web安全防 3外部接口說 28個(gè)大模塊，110個(gè)子模塊java開發(fā)，可以在能安裝javarabbitmq,xmpp,httprestJSONXMLip正常地址通訊發(fā)現(xiàn)Deny34SYNFLOOD攻擊為、1IP1生產(chǎn)系統(tǒng)核心主機(jī)SESSION515個(gè)以上不同賬號登陸失敗告警、24小時(shí)內(nèi)某個(gè)用戶在不同城市采集類型排行（餅圖），日志源排行（柱狀圖），攻擊源分布（地圖）IP排行SY001日志數(shù)量趨勢（折線圖2016-06-2213:2731。SY002日志類型排行（柱狀圖10種日志類型。1syslog14次。SY003采集類型排行（餅圖12小時(shí)內(nèi)，file69140.60%。SY004日志源排行（柱狀圖SY005攻擊源分布（地圖SY006IP排行（柱狀圖SY007攻擊對象告警數(shù)量排行（柱狀圖IP地址。SY008告警規(guī)則排行（柱狀圖32次。志進(jìn)行搜索，包括：1小時(shí)內(nèi)、12小時(shí)內(nèi)、1天內(nèi)、1周內(nèi)、1月內(nèi)。也可以自定義時(shí)間網(wǎng)絡(luò)爬蟲（FOAF社區(qū)中間，更經(jīng)常的稱為網(wǎng)頁（GeneralPurposeWebCrawler）、聚焦網(wǎng)絡(luò)爬蟲（FocusedWebCrawler）、增量式網(wǎng)絡(luò)爬蟲（IncrementalWebCrawler）、深層網(wǎng)絡(luò)爬蟲（DeepWebCrawler）IPIP80，8080，443，8443四個(gè)端口，前兩個(gè)是http端口，后兩個(gè)是https端口，如果存在網(wǎng)站則抓取網(wǎng)站的首頁。分析首頁的IP通過IPIPIpIP地址，掃描全球IPIpIP根據(jù)國家，IP地址查詢IPCVE、OVAL兩種數(shù)據(jù)，后期增加中國國家信息安全漏洞庫（CNNVD）數(shù)據(jù)，\h數(shù)據(jù)，Packetstorm網(wǎng)站數(shù)據(jù)，MITRE的MasterCVESecurityfocus漏洞數(shù)據(jù)庫，OSVDB漏洞數(shù)據(jù)庫，Android漏洞庫(AVD)上線。后面需要集成SCAPCVE、CVSS、OVAL、CCE、CPE、CWE6種網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)數(shù)據(jù)庫。下面是漏洞庫的詳情查UrlIP地址等信\h/language/zh-cn/，然后從中拿到軟件檢測報(bào)告。長期流量統(tǒng)計(jì)分析能力能夠針對IP、應(yīng)用、網(wǎng)段等條件進(jìn)行流量的分類，統(tǒng)計(jì)，是Oversized(1024字節(jié)為大)類型Webweb漏掃進(jìn)行聯(lián)動(dòng)處理，可以下發(fā)任務(wù)定時(shí)掃描，也可以通過url掃描后出發(fā)進(jìn)行IP搜索后出發(fā)進(jìn)行冊維護(hù)基本信息以及任務(wù)的調(diào)度規(guī)則和任務(wù)依賴關(guān)系。另外管理員可以卸載、停用或者重管理員在任務(wù)控制臺查看任務(wù)的執(zhí)行情況，包括任務(wù)的總體執(zhí)行統(tǒng)計(jì)信息或者指定某擇上采用HadoopHadoopApacheHadoop分布式文件系統(tǒng)（HadoopDistributedFileSystem）的縮寫，為分布式計(jì)算存儲提供了底層支持。Hadoop由于Hadoop接口復(fù)雜，引入Hive作為對外接口，HiveHadoop的數(shù)據(jù)倉hive，可以方便地進(jìn)行數(shù)據(jù)獲取。hive定義了一個(gè)類似于SQL的查詢語言：HQLHQLMapreduce程序基于Hadoop執(zhí)行。Elasticsearch是一個(gè)基于Lucene構(gòu)建的開源，分布式，RESTful全文搜索引擎。Elasticsearch還是一個(gè)分布式文檔數(shù)據(jù)庫，其中每個(gè)field均是被索引的數(shù)據(jù)且可被搜索，PB級的數(shù)據(jù)。它可以在很短的時(shí)間內(nèi)存儲，Elasticsearch就是為高可用和可擴(kuò)展而生的。擴(kuò)展可以通過購置性能更強(qiáng)的服務(wù)器(垂直擴(kuò)展或者向上擴(kuò)展，VerticalScale/ScalingUp)，亦或是通過購置更多的服務(wù)器(水平擴(kuò)展或者向外擴(kuò)展，HorizontalScale/ScalingOut)來完成。盡管Elasticsearch能夠利用更強(qiáng)勁的硬件，垂直擴(kuò)展畢竟還是有它的極限。真正的可點(diǎn)。相反，Elasticsearch天生就是分布式的：它知道如何管理多個(gè)節(jié)點(diǎn)來完成擴(kuò)展和實(shí)現(xiàn)使用Elasticsearch來存儲你的整個(gè)產(chǎn)品目錄和庫存信息，為客戶提供精準(zhǔn)搜索，可以為客ElasticsearchElasticsearch中，使用定時(shí)器過濾來匹配客戶的Elasticsearch來存儲你的數(shù)據(jù)，然后用KibanaElasticsearch的聚GitHub，GitHubElasticsearch構(gòu)建的，在/search頁面，你可以檢索項(xiàng)目、用戶、issue、pullrequest，還有代碼。共有40-50個(gè)索引庫，分別用于索引網(wǎng)站需要跟蹤的各種數(shù)據(jù)。雖然只索引項(xiàng)目的主分支(master)，但這個(gè)數(shù)據(jù)量依然巨大，20億個(gè)索引文檔，30TB的索引文件。100%數(shù)據(jù)的數(shù)據(jù)捕獲，支持海量日志數(shù)據(jù)處理，支持的日志格式包括SYSLOG、LEA,SYSLOG-NG、W3C和文件型日志在內(nèi)的多種形式的日志格式。支持SYSLOG、FTP/SFTP、SNMPTRAP、JDBC、netflow、端口鏡像、頁面導(dǎo)入等實(shí)時(shí)或定時(shí)采集協(xié)議。在windows上需要安裝Agent可采集windows所有審計(jì)事件，其他不需要在被管理主機(jī)上安裝Agent，不會對數(shù)據(jù)庫主機(jī)造成影響。件日志的采集，通過采集控制平臺的控制單元實(shí)現(xiàn)對安全防護(hù)設(shè)備控制策略的下發(fā)執(zhí)行。IDL、XML或者JSON格式來描述，插件按照這個(gè)協(xié)議實(shí)的JAR包。應(yīng)用程序框架本身是公用的，是代碼復(fù)用的一種方式。但并不是所有可復(fù)用代TCP或UDP則表達(dá)式或JavaScript語法解析原始日志，將拆分的每個(gè)字段信息放在數(shù)據(jù)庫字段映射文/Service、/Communicate和/Exploit/Vulnerability?？梢允褂猛ㄓ玫念悇e說明，而不是可能確定日志的類型，比如是普通文本類型的日志，還是JSON類型的日志，還是XML格Linux的日志解通過資產(chǎn)ip補(bǔ)全資產(chǎn)編碼，資產(chǎn)類別等屬性。T：歸并事件的時(shí)間窗口，指多長時(shí)間進(jìn)行一次歸并；安全綜合審計(jì)平臺系統(tǒng)中存在一個(gè)告警表，可以通過syslog轉(zhuǎn)發(fā)，告警同步的方式(目前采用此方式)等方法將采集中心數(shù)據(jù)庫中的告警同步到安全綜合審計(jì)平臺系統(tǒng)中。0.5小時(shí)，時(shí)間可以配置改變)，時(shí)間范圍采用左閉右開的方式，如：[12:00:00---12:30:00]，主要通過事件中的源地址、目標(biāo)地址與資產(chǎn)的IP地址屬性等進(jìn)行匹配，并通過資產(chǎn)的關(guān)聯(lián)關(guān)系獲取該事件相關(guān)的資產(chǎn)ID、資產(chǎn)名稱、系統(tǒng)版本、人員、所屬業(yè)務(wù)系統(tǒng)、所屬安需要通過事件中的源地址、目標(biāo)地址與資產(chǎn)的IP地址做關(guān)聯(lián)分析，補(bǔ)全事件內(nèi)容。重要資產(chǎn)列表依據(jù)資產(chǎn)C、I、A資產(chǎn)賦值F按照以下等級取值：級資產(chǎn)重要程度低級資產(chǎn)重要程度中級資產(chǎn)重要程度較高級資產(chǎn)重要程度高AND、NOT來表示多屬性的邏輯關(guān)系。易用的GUI界面，以及用原始文本(XML)創(chuàng)建規(guī)則文件的能力期時(shí)間段、以指定的字串開始、IP地址在指定網(wǎng)段中等等。核心防火墻DENYDeny134SYNFLOOD1IP15IP地址與多個(gè)IP地址進(jìn)XTJK-XTZT001XTJK-XTZT002XTJK-XTZT003CPUXTJK-XTZT004XTJK-XTZT005XTJK-XTZT006XTJK-XTZT007XTJK-SJJK001主要展示實(shí)時(shí)告警、syslog采集狀態(tài)，文件日志采集狀態(tài)、snmptrap告警采集、遠(yuǎn)程日XTJK-CCJJK00180%的時(shí)候系統(tǒng)后臺會強(qiáng)制刪除日志。XTJK-RZGL001XTJK-RZGL001XTJK-RZGL001XTJK-RZGL001XTJK-PZGL001XTJK-PZGL001XTJK-PZGL001web搭建opendns和opencdnWeb防攻擊功能主要關(guān)注黑客攻擊Web應(yīng)用并試圖入侵網(wǎng)絡(luò)服務(wù)器的攻擊事件過程。全OWASPTOP10，如SQL注入攻擊、XSS跨站攻擊、CSRF跨站請求偽造攻擊等。事前“SQL注入漏洞防護(hù)策略”、“XSS跨站攻擊防護(hù)策略”、“Web應(yīng)用缺陷防事中“URL權(quán)限控制策略”可中斷攻擊行為，阻止每個(gè)惡意請求，“上傳文件限制策略”可阻止黑客通過非法手段上傳惡意程序，“Web應(yīng)用缺陷防護(hù)策略”持續(xù)對抗攻擊事后“后門檢測策略”可發(fā)現(xiàn)成功入侵的痕跡，通過“URL權(quán)限控制策略”限制黑SecOn私有云安全防護(hù)平臺可對其中的敏感信息、服務(wù)器信息進(jìn)行屏蔽或偽裝，達(dá)到避免數(shù)據(jù)泄露的隱患。成功的攻擊往往需要利用服務(wù)器的IP、操作系統(tǒng)信息、應(yīng)用信息、服務(wù)器出錯(cuò)信息、數(shù)據(jù)庫出錯(cuò)信息，SecOn接管所有返回給客戶端的信息，并可中止會話，SecOn私有云安全防護(hù)平臺將爬蟲行為分為搜索引擎爬蟲及掃描程序爬蟲，可屏蔽特WVS、Pangolin等掃描器，URL級別的訪問控制，對客戶端請求進(jìn)行檢測，如果發(fā)現(xiàn)圖片、文件等資源信息的HTTP請求來自于其它網(wǎng)站，則阻止盜鏈請求，節(jié)省因盜用資源鏈接而消耗的HTMLIFrame、Javascript引用URL及其他掛馬特征以決定是否攔截請求。IP進(jìn)行判斷IPIPIP的位置進(jìn)行溯IP直接拒絕次IP訪問系統(tǒng)。ZCGL-AQZC001ZCGL-AQZC002toolsnmap軟件（三方），可以通過掃描結(jié)果自動(dòng)添加資產(chǎn)。在掃描資產(chǎn)界面中輸入IP-100100linuxnmap安裝到系統(tǒng)中。如果發(fā)現(xiàn)了資ZCGL-AQZC003ZCGL-AQZC004ZCGL-ZCBB001ZCGL-RZDR001ZCGL-ZCSX001AQJK-RZSS002AQJK-RZSS003AQJK-RZSS004AQJK-RZSS005AQJK-AQGJ002AQJK-AQGJ003AQJK-AQGJ004AQJK-AQGJ005AQJK-GDGL001AQJK-GDGL001SJBB-RZSJ001SJBB-RZSJ002IP、結(jié)果、操作。SJBB-RZSJ003SJBB-HHSJ001windowsSJBB-HHSJ002Ftp/sftpSJBB-HHSJ002LinuxSJBB-BBZT001IP登錄排行等報(bào)表。SJBB-BBZT002Web文件類型分布、爬蟲分布、IP訪問排行、訪問頁面等報(bào)表。SJBB-BBZT003Ftp進(jìn)入【審計(jì)報(bào)表-->報(bào)表專題-->Ftp日志報(bào)表】，F(xiàn)tp日志報(bào)表主要是系統(tǒng)對采集到的 Ftpftp登錄，下載等進(jìn)行了報(bào)表統(tǒng)計(jì)。包括上傳用戶排行，ftp服務(wù)器排行，請IP分布，下載文件名稱排行。SJBB-BBZT004SJBB-BBZT005SJBB-XTBB001文檔格式識別，識別系統(tǒng)手冊的格式，比如是doc格式，pdfchm格式，根IPTTP（戰(zhàn)1、HASH值：SHA1或MD5是最常見的例子，對應(yīng)于入侵相關(guān)的特定樣本/文件。任何文2、IP地址：這是最常見的指標(biāo)，因?yàn)镮P數(shù)量太大，在收到攻擊的時(shí)候，攻擊者會使用Tor或者類似的匿名代理服務(wù)，或者頻繁的改變IPIP地址高危名單在很多時(shí)候還1-2天時(shí)間就可以在互聯(lián)網(wǎng)上進(jìn)行訪問。Web訪問中可以通過User-AgentHTTPUser-Agent的請求來減少威脅。及時(shí)的發(fā)現(xiàn)攻擊的行為，例如知識庫可以包括AV或者Yara簽名。6、TTPs（Tactics、Techniques&Procedures）TTP。這種知識庫是攻擊行為模型，需要時(shí)時(shí)收集最新型的攻擊模型并加以分析，比如APTAQPZ-CJQPZ001AQPZ-RZPZ001AQPZ-GJGZ001Snmptrapsnmptrapv2cAQPZ-GJGZ003AQPZ-CSPZ001日志過濾、IP地址維護(hù)。AQPZ-CSPZ001AQPZ-CSPZ002AQPZ-CSPZ003AQPZ-CSPZ004AQPZ-CSPZ005AQPZ-CSPZ006AQPZ-CSPZ007AQPZ-CSPZ008IPAQPZ-SFJK001snmptrapSNMPTrapSNMPTrapXTGL-ZZGL001XTGL-JSGL001XTGL-JSGL002XTGL-YHGL002XTGL-XTRZ0013web漏掃和主機(jī)漏掃。目前確定的漏API接口需要做如下配置，打開[參數(shù)配置]，[API配置]，[添加9\h1.\h動(dòng)作類型，目前只有一個(gè)create,單個(gè)ipIP段-55，中間用"-"隔開IP多個(gè)IP段-55,-55中間用逗號隔開不同的單個(gè)域名起始URL#Id#子目錄#協(xié)議#ID3時(shí)起作用(其余策略留白)，多個(gè)子目錄中間用"|"分割,真實(shí)IPCDN，需要掃描真實(shí)主機(jī)漏洞(不需要留白常用策略IDid1\hid2：完整掃描，掃描當(dāng)前域名和二級域名，如\h/index.php#2##http#id3\h/index.php#3#/test/#http#\h是否開啟端口掃描，0關(guān)閉，1是否開啟主機(jī)掃描，0關(guān)閉，1是否開啟web掃描，0關(guān)閉，1是否開啟弱密碼掃描，0關(guān)閉，155是否允許DDOS掃描，0關(guān)閉，15是否開啟域名反查，0關(guān)閉，1Web5Web5爬蟲抓取URL2000