安全评估及监测服务x-NetworkandInformationSecurityLab

Consesi工程平安评估与监测效劳诸葛建伟平安评估类效劳评估对象高校的关键效劳器和网络评估效劳工程网络层示范效劳：IP源地址欺骗过滤测量效劳系统层示范效劳：基于SCAP的关键效劳器远程平安评估效劳应用层示范效劳：网站平安扫描和挂马检测效劳网络层平安评估示范效劳IP源地址欺骗过滤测量效劳IP源地址欺骗过滤测量效劳实验室自主实现江健、郑明、郭军权测量目标第一阶段：测量两点间是否过滤源地址欺骗包，过滤何种第二阶段：测量两点路由路径中的过滤点及过滤规那么系统组成平台效劳：IP源地址欺骗过滤测量客户端效劳ip_spoof_tester平台效劳：IP源地址欺骗过滤测量监听端效劳ip_spoof_monitor命令行应用程序：IP源地址欺骗过滤测量工具ip_spoof_test/ip_spoof_traceWeb应用程序：单点的IP源地址欺骗过滤测量程序ip_spoof_test_webuiWeb应用程序：全局的IP源地址欺骗过滤测量程序ip_spoof_test_globalIP源地址欺骗过滤测量效劳系统结构IP源地址欺骗过滤测量平台效劳ip_spoof_tester，提供两个效劳接口spooftester完成第一阶段目标，确定是否过滤及过滤何种欺骗包构造不同前缀源地址欺骗包，向申请到的目标地址ip_spoof_monitor效劳监听端口进行发送tracefilter完成第二阶段目标，确定路由路径中的过滤点和过滤规那么构造TTL递增1，以申请到的第三方ip_spoof_monitor地址作为欺骗源地址，发送欺骗包ip_spoof_monitor，提供两个效劳接口spoofmonitor，可并行效劳接口，通过端口号区分不同实例接收spooftester发来的欺骗包，并向其汇报接收结果Tracemonitor，可并行效劳接口接收路由路径中的路由器发来(欺骗源地址)的ICMP超时报文向tracefilter汇报接收结果IP源地址欺骗过滤测量命令行程序ip_spoof_test关键命令行参数(第一阶段测量)测量源地址，查询目录确认源地址上有可用的ip_spoof_test效劳测量目标地址，查询目录确认目的地址上有可用的ip_spoof_monitor效劳ip_spoof_trace关键命令行参数(第二阶段测量)测量源地址，查询目录确认源地址上有可用的ip_spoof_test效劳测量目标地址，第二阶段无需与测量目标进行交互欺骗源地址，查询目录以确认欺骗源地址上有可用的ip_spoof_test效劳tracemonitor效劳接口系统层平安评估示范效劳基于SCAP的关键效劳器远程平安评估效劳SCAP目前主流应用是需授权的平安配置核查细致的平安配置核查与评估需授权或主机Agent程序协助远程平安评估功能限于：漏洞与补丁扫描方案联合绿盟合作研究及推进绿盟极光漏洞扫描与平安评估系统已联系绿盟战略官赵粮，但尚无反响，另联系了绿盟技术人员安排王珩进行了SCAP协议与FDCC方案调研应用层平安评估示范效劳网站平安扫描和挂马检测效劳网站平安扫描和挂马检测效劳潜在合作对象：北大ERCIS、知道创宇；第三方集成：Google评估对象：高校网络中关键网站列表(由用户通过Web应用端提交)评估效劳工程：网站平安漏洞扫描，网站挂马检测系统组成网站平安扫描效劳平台效劳：网站平安漏洞扫描效劳web_vulnerability_scanner命令行应用程序：网站平安漏洞扫描web_vulneraility_scanWeb应用程序：网站平安漏洞扫描Web应用端web_vulnerability_scan_webui网站挂马检测效劳平台效劳：网站挂马检测效劳web_malware_detector命令行应用程序：网站挂马检测web_malware_detectWeb应用程序：网站挂马检测Web应用端web_malware_detect_webui网站挂马检测效劳系统结构网站挂马检测平台效劳网站挂马检测平台效劳(web_malware_detector)，提供两个效劳接口网站挂马检测任务注册效劳接口：(web_malware_detector_register)功能：注册网站挂马检测任务参数：用户ID，待检测网站根域名列表，待检测网站域名列表，检测结果联系方式(联系人名称、联系人邮件地址、号可选)，新注册/修改返回结果：注册处理状态(同步模式返回提交结果，异步模式返回处理结果)网站挂马检测结果数据接口(web_malware_detector_result)功能：查询网站挂马检测结果参数：查询模式(通过用户ID批量查询/单网站查询)，用户ID/网站域名，查询时间周期(当天/当周/从给定日期以来)返回结果：查询网站(列表)在查询时间周期中被挂马网站情况，以及检测结果情况网站域名、最近检测时间、最近检测状态、检测页面数量/挂马页面数量平安协同监测与响应类效劳监测对象针对高校关键效劳器和网络的渗透攻击与恶意代码平安协同监测与响应类效劳工程数据采集环节示范效劳：Dionaea渗透攻击与恶意代码采集效劳示范效劳：SSH Deny-host威胁主机数据采集效劳 数据分析环节示范效劳：CERNET平安威胁数据汇总与分析中心Dionaea渗透攻击、恶意代码数据SSH Deny-host威胁主机数据事件报告与平安响应环节示范效劳：高校平安事件报告与应急响应支持效劳平安协同监测与响应效劳系统结构Dionaea渗透攻击与恶意代码采集工具Dionaea(捕蝇草)工程/The Honeynet Project Giraffe Chapter开源的低交互式效劳器端蜜罐Dionaea(捕蝇草)技术原理与特性模拟网络协议栈和一些常用应用层效劳SMB/s/ftp/tftp/MSSQL/VoIP(Python)捕获恶意代码的Exploit/Shellcode/Download模拟各个效劳中存在的平安漏洞(Python)基于libemu指令启发式搜索和模拟执行识别与分析Shellcode通过提取到的URL下载恶意代码样本：ftp/tftp/提交采集日志与样本：log/sqlite/xmpp-pg_backendDionaea渗透攻渗透攻击击与与恶恶意代意代码码采集效采集效劳劳部署形式效劳器中的虚拟机(Ubuntu)无线路由器(openwrt编译链接)效劳封装由Agent(效劳代理)进行效劳注册与封装启动/关闭效劳、配置效劳XMPP远程提交位置等SSH Deny-host威胁主机数据采集效劳维护deny-host威胁主机数据文件提供HTTP接口，获取给定时间周期内的更新数据CERNET平安威胁数据汇总与分析中心平安威胁数据的汇总XMPP Backend SQL Database调用各类平安威胁数据分析效劳基于硬件虚拟化的恶意代码自动行为分析效劳向用户分发订阅的关注平安威胁数据Threat Data Format/API参考工程WOMBAT FP7 ProjectSecurity Event SystemMITRE:Make Security Measurable