重庆移动僵木蠕检测系统方案

1、重庆移动僵木蠕检测方案书目录 TOC o 1-5 h z HYPERLINK l bookmark14 o Current Document 总体描述3 HYPERLINK l bookmark18 o Current Document 1.1背景概述3 HYPERLINK l bookmark21 o Current Document 1.2项目来源3 HYPERLINK l bookmark24 o Current Document 1.3建设目标4 HYPERLINK l bookmark27 o Current Document 1.3.1系统现有功能：.4 HYPERLINK l b

2、ookmark5 o Current Document 1.3.2 2015年建设新增需求：.41.3.3本方案增值功能5 HYPERLINK l bookmark44 o Current Document 1.4质量目标5 HYPERLINK l bookmark51 o Current Document 框架设计62.1总体架构设计.72.2本地架构设计7 HYPERLINK l bookmark59 o Current Document 2.3云端架构设计8 HYPERLINK l bookmark62 o Current Document 2.3.1 CNCERT 云联动8 HYPER

3、LINK l bookmark65 o Current Document 2.3.2僵木蠕检测云联动8 HYPERLINK l bookmark68 o Current Document 2.3.3未知威胁检测云联动.9 HYPERLINK l bookmark71 o Current Document 方案投入10 HYPERLINK l bookmark78 o Current Document 相关设备技术说明104.1僵木蠕检测设备10 HYPERLINK l bookmark86 o Current Document 4.1.1僵木蠕检测设备硬件104.1.2僵木蠕检测设备软件功能1

4、1 HYPERLINK l bookmark89 o Current Document 4.2光选汇聚分流器技术说明13总体描述1.1背景概述网络恶意代码（包括僵尸网络、木马、病毒、蠕虫）给网络系统带来了极大的危害，尤 其是僵尸网络、木马和蠕虫。僵尸网络会对安全中心的通信服务质量产生影响，是DDOS攻 击发生的主要原因；木马攻击不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为 远程操控的工具；早期的蠕虫仅仅是恶意代码的传播手段，但新型的蠕虫（如飞客蠕虫等） 已经具备了攻击特征，成为网络系统的安全隐患。传统的恶意代码可以通过杀毒软件、防火墙、IPS等传统安全产品进行防护，但对于变 种木马、

5、免杀木马、新型蠕虫等恶意代码，传统安全产品的防护能力有限。近段时间国内发 生了多起针对国家重点行业的黑客攻击，包括中国电信、东风集团、中国银行、中石化、中 石油以及国家电网。其中导致中国电信被窃取了超过900个管理员的帐号和密码。这些渗透 攻击手段都是通过存在漏洞的互联网访问、垃圾邮件等手段在用户内部植入的僵尸网络、木 马程序以及蠕虫病毒所造成。所以，充分考虑网络恶意代码的防护并将其纳入到建设范围， 变的十分迫切和必要。1.2项目来源今年工信部对各运营商实行考核，要求按照木马僵尸网络监测与处里机制（工信部 保2009157号）及工业和信息化部关于印发基础电信企业信息安全责任管理办法 （试行）的

6、通知（工信部保2009713）、关于做好2013年基础电信企业安全责任考核 有关工作的通知（工信保函2013467号）的要求，建立本企业内部的监测和处置机制。 按照工业和信息化部2015年省级基础电信企业网络与信息安全工作考核要点与评分标 准（工信厅保2015 5号）文件要求：具备对木马和僵尸网络疑似样本的捕获能力；是否 具备发现省内用户感染一直木马和僵尸网络的能力；具备对已知木马和僵尸网络的传播和 控制端IP、域名、URL进行处置的能力。（由省电信主管部门对“发现省内用户感染已知木马和僵尸网络的能力”进行拨测验证，对已知样本的拨测成功率不低于10%，拨测样本和 工具由通信保障局统一下发）。因

7、此响应上级要求同时也为了还原互联网一个干净的环境， 提升用户体验，本次决定建设僵木蠕检测系统。立旧第一期“浩瀚科技”检测设备基础 上，新增60G数据检测能力（约总流量30%）。1.3建设目标本次项目建设目标为在立旧第一期“浩瀚科技”检测设备基础上，新增60G数据僵木蠕 检测能力（约总流量30%），并通过工信部的拨测。同时软件要求具备以下能力：1.3.1系统现有功能：1、具有关联识别检测功能，即能够根据交互过程，动态提取流量的源、目的ip地址， 以及源、目的端口号，实现基于会话特征的分析；2、系统可以根据攻击流的特征，识别恶意流量；3、能识别已知应用变种和未知应用；4、能识别应用中包含的恶意攻击

8、；5、支持移动网内的、互联网和其他运营商网内活动频繁的蠕虫、僵尸网络、木马和攻 击的检测特征。能够对来自或者去往网外，以及网内传播的僵木蠕进行检测；6、在识别出来的僵木蠕事件中，可判断并列出具体僵木蠕类型。1.3.2 20151.3.2 2015年建设新增需求:匹1=11、优化完善有效告警事件，对告警事件可按归属地是否属于重庆移动进行筛除，并且 筛除结果可导出为excel表格。2、实现告警事件通过公司邮箱邮件自动派发：告警时间根据控制端IP地址关联的责 任单位责任人进行邮件派发告警。3、实现告警分类显示一级（红色）预警信息：可能导致发生特别重大网络安全事件的信息为一级预警信 息。二级（橙色）预

9、警信息：可能导致发生重大网络安全事件的信息为二级预警信息。三级（黄色）预警信息：可能导致发生较大网络安全事件的信息为三级预警信息。四级（蓝色）预警信息：可能导致发生一般网络安全事件的信息为四级预警信息。对象特别重大事件重大事件较大事件一般事件木马涉及全国范围或涉及全国范围或省涉及全国范围或涉及全国范围事省级行政区域的级行政区域的大范省级行政区域的或省级行政区件、大范围病毒和蠕围病毒和蠕虫传播大范围病毒和蠕域的大范围病僵尸虫传播事件，或事件，或同一时期虫传播事件，或毒和蠕虫传播网络单个木马和僵尸存在一个或多个木同一时期存在一事件、木马和事件网络规模达10 0万马和僵尸网络总规个或多个木马和僵尸网

10、络事件个以上IP，对社模达50万个以上僵尸网络总规模等，对社会造会造成特别重大IP，对社会造成重达10万个以上成一定影响，影响。大影响。IP，对社会造成但未造成上述较大影响。严重后果。4、优化IP地址归属管理：可重庆移动所有互联网IP地址进行管理，可增加，删除，修改IP地址及IP地址分段所对应的责任单位、业务类型，业务单位等信息。5、优化用户管理：可对用户帐号绑定责任地址IP及地址段，配置其事件告警接收电 子邮箱。6、年度数据统计报表功能对木马和僵尸网络监测处置平台监测处置的数据进行统计：年疑似样本捕获的名称 和数量；本地用户感染病毒的具体数量（需按病毒种类进行分类统计）；对木马僵 尸网络的处

11、置结果（需按IP、域名、URL三类进行结果统计）。1.3.3本方案增值功能凹1.3.3本方案增值功能凹1=11、可升级为阻断模式应对后续工信部的要求。2、全国未知威胁、新变种威胁的共享平台，提前获取新“育苗”。3、主控僵木蠕母机地址收集。1.4质量目标僵木蠕监控系统，能对部署在重庆移动的省网出口监测点，进行网络恶意流量的发现和 检测，并根据移动集团网络流量恶意代码检测系统接口规范实现与统一管理平台系统的对 接。系统根据事先定义的策略对系统传输过来的报文进行特征比对和关联分析，完成对蠕虫， 木马、僵尸网络和部分攻击的识别和报警和告警数据的上传。本系统的应用将为系统维护人员能够实时地监控网络运行安

12、全状况，及时地发现网络中 的恶意流量并同时对恶意流量进行响应控制，保证网络的安全运行和高QoS起到重要的作 用。宽广电信僵木蠕监测系统遵循以下原则：1）系统支持多台设备的集群或分布式部署，并支持集中的管理；2）系统具有较高的安全性和可靠性，支持自身安全性设计，冗余部署和高可靠性设计；3）系统的各项技术具有开放性、可移植性和兼容性，设备的软件和硬件提供开放的应 用接口；4）达到工业及信息化部手段建设检查标准，并通过实际检查。框架设计本次僵木蠕检测系统的设计主要满足工信部对于僵木蠕的检测要求，同时系统除了具备 工信部要求的僵木蠕检测外还需要具备对新型威胁和未知威胁的低抵御能力，因此本次的框 架设计

13、除了本地检测设备具备检测能力和特征库外，还时时同云端进行同步更新。更新内容 主要分为两大部分，一个是工信部公布的新的僵木蠕特征库，以应对工信部新的要求；另一 个是同全国其他区域采集的新样本威胁检测规则进行同步，获取最新的检测能力。例如当上 海发现新的未知威胁（如变种病毒）的时候，样本会上传到云端沙盒进行分析，如果此未知 威胁会造成危害，那云端会立即获取此新威胁的检测能力，在工信部发现此新威胁特征之前 便已完成了相关考核，避免了信息安全应急事件带来的突发工作量。2.1总体架构设计2.2本地架构设计步数据分析汇总分光器：复制原始流量僵木蠕探测 分析器CNCERT、未知威 胁等云端特征同网管系统步数

14、据分析汇总分光器：复制原始流量僵木蠕探测 分析器CNCERT、未知威 胁等云端特征同网管系统光选汇聚僵木蠕探测分析器光分数据出来后通过光选、汇聚、分流设备分出2条10GE链路给一台僵木蠕探测分析 器，探测分析器在对数据进行分析后，将结果集中反馈到数据分析汇总设备进行汇总统一呈 现。同时本地探测分析器的特征会时时同云端进行同步，如发现不能识别的可疑样本将会跟 云端进行同步分析，判定存在威胁后会下发最新的特征库。同时如果在其他省份发现新威胁， 重庆移动本地设备也将获得最新的检测能力。2.3云端架构设计2.3.1 CNCERT 云联动CNCERT、未知威胁等云端特征同僵木蠕探测 分析器数据分析汇总网

15、管系统僵木蠕探测 分析器CNCERT、未知威胁等云端特征同僵木蠕探测 分析器数据分析汇总网管系统僵木蠕探测 分析器本地检测设备时时同步最新CNCERT僵木蠕特征库。2.3.2僵木蠕检测云联动僵木蠕检测云联动主要为分布于各地的检测设备，时时收集全球僵木蠕的最新动态，反 馈最新的大规模僵木蠕控制ip,可在运营商骨干出口对此类控制ip （母机）进行阻断。一旦 阻断了母机则肉机无法被操控将大大降低其威胁。O.55h全熊尸网圄攻击密务布El14,019,8理1皿U2X17J&.oai深槁阪倍尸陶络云检旗平苫805,871,J,(113,122印4 叫&6点弘占空MLt4h4-7.O.55h全熊尸网圄攻击

16、密务布El14,019,8理1皿U2X17J&.oai深槁阪倍尸陶络云检旗平苫805,871,J,(113,122印4 叫&6点弘占空MLt4h4-7.O.3*13.2JE1,718,传统的威胁检测仅限于本地特征库检测，检测数量有限且具有滞后性，往往在威胁大规 模爆发后才能做出相应；即使同步了CNCERT的库也只能够刚好达到考核要求，无法做到技 术上的领先和创新。未知威胁云联动的优势在于，当全球其他部署有信息采集点的地方发现了新的未知流量 的时候，本次规则库无此特征进行判断，则加入此计划的检测设备会将未知样本上传到云端 沙盒进行危害分析，如果此未知流量造成实质性的危害，并经过安全专家分析后，则

17、云端平 台会立即下发针对此威胁的“育苗”-特征库，使重庆本地检测设备具备此新威胁的检测能 力，在安全公司上报给工信部之前便获得了此威胁的检测能力，走在工信部要求之前。方案投入1、AF-9020*62、外置数据中心软件一套+配套大存促空间服务器3、光转汇聚等4、相关设备技术说明4.1僵木蠕检测设备4.1.1僵木蠕检测设备硬件规格特性/规格/说明性能指标AF-9020网络层吞吐量双向40G应用层吞吐量双向22G并发连接数并发连接数（万）1000 （可 升级）每秒新建连接数新建连接数（万/ 秒）50硬件特性标配网口固定接口无标准配置硬件BypassBypass（对）最大32可扩展网口插槽数量8最大支

18、持网口数最大64扩展万兆口可扩展硬件参数CPU16核内存32GCF卡4G硬盘大小1T4.1.2僵木蠕检测设备软件功能项目指标具体功能部署方式部署模式支持路由，透明，旁路，虚拟网线，混合部署模式；实时监控设备资源 信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、 网络接口等信息；安全状态提供安全事件信息，包括最近安全事件、僵木蠕安全事件等，事件信息提供发 生事件、源IP、目的IP、攻击类型以及攻击的URL等；流量状态实时提供应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信 息；网络协议网络服务支持 SNMP v1,v2,v3，支持 SNMP Trap ；网口特

19、性支持链路探测，端口聚合，接口联动；僵木蠕检测关联识别具有关联识别检测功能，即能够根据交互过程，动态提取流量的源、目的IP 地址，以及源、目的端口号，实现基于会话特征的分析；应用识别内置千万级URL库及2200多种应用识别，并支持随时更新和智能归类；能 识别应用中包含的恶意攻击；僵尸网络 特征库内置超过50万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持 续更新特征内容；库同步支持cncert、未知威胁云平台、僵木蠕云平台库同步，随时获取最新威胁特 征。云端安全 检测支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注 册表、文件系统等的修改，通过云端联动的方式快速更新到

20、各节点设备中，可 实现快速统一的防护未知攻击；异常连接 能够有效区分 RDP、SSH、IMAP、SMTP、POP3、FTP、DNS、HTTP检测等WEB服务器上常见应用流量中的危险流量，也能对常规应用运行在非标准端口的为进行预警;外发流量 异常能够检测内网肉鸡发起的DDoS行为，如ICMP、UDP、SYN、DNS外发请 求异常等；网关管理管理员帐号支持管理员权限三权分立，分安全管理员，审计员和系统管理员，安全管理员 默认只允许安全策略和安全日志的查看和编辑权限；审计员默认只开放数据 中心日志的查看和编辑权限，不具备设备的管理权限；系统管理员默认具备除 安全功能外的其他系统管理权限，不具备设备的

21、日志查看权限；虚拟化支 持支持一虚多及纯虚拟化环境部署，支撑运营商云环境部署；管理界面支持SSL加密WEB方式管理设备；支持邮件、短信（可扩展）等告警方式；告警管理 （根据要求定制告 警）1、优化完善有效告警事件，对告警事件可按归属地是否属于重庆移动进行 筛除，并且筛除结果可导出为excel表格。2、实现告警事件通过公司邮箱邮件自动派发：告警时间根据控制端IP地址 关联的责任单位责任人进行邮件派发告警。3、实现告警分类显示一级（红色）预警信息：可能导致发生特别重大网络安全事件的信息为一级预 警信息。二级（橙色）预警信息：可能导致发生重大网络安全事件的信息为二级预警信 息。三级（黄色）预警信息：可能导致发生较大网络安全事件的信息为三级预警信 息。四级（蓝色）预警信息：可能导致发生一般网络安全事件的信息为四级预警信 息。4、优化IP地址归属管理：可重庆移动所有互联网IP地址进行管理，可增 加，删除，修改IP地址及IP地址分段