Consesi 项目安全评估与监测服务

Consesi项目安全评估与监测服务 诸葛建伟

安全评估类服务 • 评估对象 • 高校的关键服务器和网络 • 评估服务项目 • 网络层 • 示范服务：IP源地址欺骗过滤测量服务 • 系统层 • 示范服务：基于SCAP的关键服务器远程安全评估服务 • 应用层 • 示范服务：网站安全扫描和挂马检测服务

网络层安全评估示范服务－IP源地址欺骗过滤测量服务网络层安全评估示范服务－IP源地址欺骗过滤测量服务 • IP源地址欺骗过滤测量服务 • 实验室自主实现（江健、郑明、郭军权） • 测量目标 • 第一阶段：测量两点间是否过滤源地址欺骗包，过滤何种 • 第二阶段：测量两点路由路径中的过滤点及过滤规则 • 系统组成 • 平台服务：IP源地址欺骗过滤测量客户端服务ip_spoof_tester • 平台服务：IP源地址欺骗过滤测量监听端服务ip_spoof_monitor • 命令行应用程序：IP源地址欺骗过滤测量工具ip_spoof_test /ip_spoof_trace • Web应用程序：单点的IP源地址欺骗过滤测量程序ip_spoof_test_webui • Web应用程序：全局的IP源地址欺骗过滤测量程序ip_spoof_test_global

IP源地址欺骗过滤测量服务系统结构

IP源地址欺骗过滤测量平台服务 • ip_spoof_tester，提供两个服务接口 • spooftester • 完成第一阶段目标，确定是否过滤及过滤何种欺骗包 • 构造不同前缀源地址欺骗包，向申请到的目标地址ip_spoof_monitor服务监听端口进行发送 • tracefilter • 完成第二阶段目标，确定路由路径中的过滤点和过滤规则 • 构造TTL递增1，以申请到的第三方ip_spoof_monitor地址作为欺骗源地址，发送欺骗包 • ip_spoof_monitor，提供两个服务接口 • spoofmonitor，可并行服务接口，通过端口号区分不同实例 • 接收spooftester发来的欺骗包，并向其汇报接收结果 • Tracemonitor，可并行服务接口 • 接收路由路径中的路由器发来(欺骗源地址)的ICMP超时报文 • 向tracefilter汇报接收结果

IP源地址欺骗过滤测量命令行程序 • ip_spoof_test关键命令行参数(第一阶段测量) • 测量源地址，查询目录确认源地址上有可用的ip_spoof_test服务 • 测量目标地址，查询目录确认目的地址上有可用的ip_spoof_monitor服务 • ip_spoof_trace关键命令行参数(第二阶段测量) • 测量源地址，查询目录确认源地址上有可用的ip_spoof_test服务 • 测量目标地址，第二阶段无需与测量目标进行交互 • 欺骗源地址，查询目录以确认欺骗源地址上有可用的ip_spoof_test服务－tracemonitor服务接口

系统层安全评估示范服务－基于SCAP的关键服务器远程安全评估服务系统层安全评估示范服务－基于SCAP的关键服务器远程安全评估服务 • SCAP • 目前主流应用是需授权的安全配置核查 • 细致的安全配置核查与评估需授权或主机Agent程序协助 • 远程安全评估功能限于：漏洞与补丁扫描 • 计划联合绿盟合作研究及推进 • 绿盟极光漏洞扫描与安全评估系统 • 已联系绿盟战略官赵粮，但尚无反馈，另联系了绿盟技术人员 • 安排王珩进行了SCAP协议与FDCC计划调研

应用层安全评估示范服务－网站安全扫描和挂马检测服务应用层安全评估示范服务－网站安全扫描和挂马检测服务 • 网站安全扫描和挂马检测服务 • 潜在合作对象：北大ERCIS、知道创宇；第三方集成：Google • 评估对象：高校网络中关键网站列表(由用户通过Web应用端提交) • 评估服务项目：网站安全漏洞扫描，网站挂马检测 • 系统组成 • 网站安全扫描服务 • 平台服务：网站安全漏洞扫描服务web_vulnerability_scanner • 命令行应用程序：网站安全漏洞扫描web_vulneraility_scan • Web应用程序：网站安全漏洞扫描Web应用端web_vulnerability_scan_webui • 网站挂马检测服务 • 平台服务：网站挂马检测服务web_malware_detector • 命令行应用程序：网站挂马检测web_malware_detect • Web应用程序：网站挂马检测Web应用端web_malware_detect_webui

网站挂马检测服务系统结构

网站挂马检测平台服务 • 网站挂马检测平台服务(web_malware_detector)，提供两个服务接口 • 网站挂马检测任务注册服务接口：(web_malware_detector_register) • 功能：注册网站挂马检测任务 • 参数：用户ID，待检测网站根域名列表，待检测网站域名列表，检测结果联系方式(联系人名称、联系人邮件地址、手机号可选)，新注册/修改 • 返回结果：注册处理状态(同步模式返回提交结果，异步模式返回处理结果) • 网站挂马检测结果数据接口(web_malware_detector_result) • 功能：查询网站挂马检测结果 • 参数：查询模式(通过用户ID批量查询/单网站查询)，用户ID/网站域名，查询时间周期 (当天/当周/从给定日期以来) • 返回结果：查询网站(列表)在查询时间周期中被挂马网站情况，以及检测结果情况（网站域名、最近检测时间、最近检测状态、检测页面数量/挂马页面数量…）

安全协同监测与响应类服务 • 监测对象 • 针对高校关键服务器和网络的渗透攻击与恶意代码 • 安全协同监测与响应类服务项目 • 数据采集环节 • 示范服务：Dionaea渗透攻击与恶意代码采集服务 • 示范服务：SSH Deny-host威胁主机数据采集服务 • 数据分析环节 • 示范服务：CERNET安全威胁数据汇总与分析中心 • Dionaea渗透攻击、恶意代码数据 • SSH Deny-host威胁主机数据 • 事件报告与安全响应环节 • 示范服务：高校安全事件报告与应急响应支持服务

安全协同监测与响应服务系统结构

Dionaea渗透攻击与恶意代码采集工具 • Dionaea (捕蝇草)项目 • http://dionaea.carnivore.it/ • The Honeynet Project Giraffe Chapter • 开源的低交互式服务器端蜜罐 • Dionaea(捕蝇草)技术原理与特性 • 模拟网络协议栈和一些常用应用层服务 • SMB/http/https/ftp/tftp/MSSQL/VoIP(Python) • 捕获恶意代码的Exploit/Shellcode/Download • 模拟各个服务中存在的已知安全漏洞(Python) • 基于libemu指令启发式搜索和模拟执行识别与分析Shellcode • 通过提取到的URL下载恶意代码样本：ftp/tftp/http • 提交采集日志与样本：log/sqlite/xmpp->pg_backend

Dionaea渗透攻击与恶意代码采集服务 • 部署形式 • 服务器中的虚拟机(Ubuntu) • 无线路由器(openwrt编译链接) • 服务封装 • 由Agent(服务代理)进行服务注册与封装 • 启动/关闭服务、配置服务XMPP远程提交位置等

SSH Deny-host威胁主机数据采集服务 • 维护deny-host威胁主机数据文件 • 提供HTTP接口，获取给定时间周期内的更新数据

CERNET安全威胁数据汇总与分析中心 • 安全威胁数据的汇总 • XMPP Backend  SQL Database • 调用各类安全威胁数据分析服务 • 基于硬件虚拟化的恶意代码自动行为分析服务 • … • 向用户分发订阅的关注安全威胁数据 • Threat Data Format/API • 参考项目 • WOMBAT FP7 Project • Security Event System • MITRE: Make Security Measurable

Consesi 项目 安全评估与监测服务