网络安全攻防平台研发.ppt

中国移动集团重点/联合研发项目结题汇报报告,项目名称：流量监控安全技术研究项目编号：,一.开题计划完成情况,目 录,二、主要研究成果,1.1 研究背景及目标,研究背景,一、现网日常性安全评估和技术支撑迫切需要,二、培养安全专家，演练和考试需要,2008至2010年共接受集团、省公司和相关公司安全演练和考试需求近20次，演练环境迫切需求。随着移动互联网的发展，网络新型攻击和病毒形势日益恶化，分析和研究攻防技术破在眉睫，需要一套辅助性工具。,安全评估“自动化、日常化、全面化和集中化”的四化需求成为省公司突出需求。从安全运维实际需求出发，以安全基线为基础，为管理、运维、监控人员提供统一的安全自评估平台。,1.2 主要研究内容及分工,攻防演练平台,漏洞特征挖掘,项目总体协调工作由研究院负责：1.协调项目，优化资源 2.把握整体技术发展方向,代码开发,安全基线获取,支撑流程接口,基于飞信和IMS两系统进行了漏洞挖掘,考试模块、演练模块-研究院负责,分布式管理和知识库-研究院负责,安全基线获取方法研究和实现-湖北公司,方案设计-研究院负责接口开发-研究院负责现网实施-湖北公司,攻防演练平台及攻防验证平台接口由研究院牵头负责：省公司根据实际运营需求，进一步促进研究院技术研发安全自评估平台开发及攻防验证平台现网实施由湖北公司负责：研究院从技术角度提出方案建议，从总体上把握项目的研发方向,由研究院牵头负责,由研究院牵头负责,平台联动接口，自动化评估平台-湖北公司,安全基线模板研究-研究院负责,安全基线模拟-研究院负责,攻防验证平台,平台接口设计,安全自评估平台,1.3 开题计划完成情况总结,共计研究报告1份，系统平台3个，专利1项，并现网部署实现疑难问题的现网支撑流程,一.开题计划完成情况,目 录,二、主要研究成果,项目主要内容,攻防验证平台开发,自动化评估工具开发,漏洞扫描和验证技术平台介绍应用场景实验室部署全网部署湖北试点,背景与目标技术方案关键技术,攻防演练平台开发,脆弱性发现成果,技术背景和思路系统架构与功能模块关键技术应用场景,飞信系统脆弱性发现强加好友跨站彩信系统脆弱性发现计费漏洞局域网中间人IMS系统脆弱性发现,Advance攻防平台,2.1攻防验证平台开发漏洞扫描技术（1）,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,系统安全漏洞，也叫系统脆弱性（vulnerability)，是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的不足和缺陷。,破坏系统的完整性破坏系统的可用性破坏系统的机密性破坏系统的可控性破坏系统的可靠性,漏洞的危害,漏洞的概念,输入验证错误访问验证错误竞争条件错误意外情况处理错误配置错误环境错误设计错误,漏洞产生的原因,高 8=漏洞风险值=10 攻击者可以远程执行任意命令或者代码，或进行远程拒绝服务攻击。中 5=漏洞风险值 8 攻击者可以远程创建、修改、删除文件或数据，或对普通服务进行拒绝服务攻击。低 1=漏洞风险值 5 攻击者可以获取某些系统、服务的信息，或读取系统文件和数据。,从威胁的程度看危害,2.1攻防验证平台开发漏洞扫描技术（2）,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,远程扫描的核心：模拟客户端行为与目标服务发往交互，在交互过程中获得目标服务的信息或识别某些漏洞是否存在。,存活判断操作系统识别端口扫描智能服务识别,漏洞扫描核心技术,判断主机是否在线，主要通过 ICMP（ping+replay）TCP建立半连接（Syn+syn ack）TCP建立全连接（syn+synack+ack）,通过协议堆栈的细微区别分辨出不同的操作系统,漏洞扫描围绕具体的端口展开，基于扫描效率上的考虑，我们也需要先判断目标机器上的端口是否开放。端口扫描部分，我们可以通过直接调用操作系统提供的API接口即可,在端口开放的基础上能够识别出其运行的具体服务类型。主要是通过系统所使用到的常见协议来对开放端口进行试探。,2.1攻防验证平台开发漏洞验证技术,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,缓冲区溢出错误配置远程获取信息认证绕过,漏洞验证技术,配置错误的产生原因管理员疏漏系统管理员不了解业务未顾及安全匆忙上线等,2.1攻防验证平台开发平台介绍（1）,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,B/S User Interface,扫描子系统,验证子系统,任务子系统,管理子系统,报表子系统,扫描引擎,扫描插件,漏洞库,攻击引擎,攻击插件,插件库,任务下达,任务查看,任务调度,系统配置,系统升级,用户管理,系统维护,报表分析,报表输出,用户呈现,功能配置,调度管理,总体架构,2.1攻防验证平台开发平台介绍（2）,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,验证子系统,扫描子系统（一）,扫描子系统（二）,扫描子系统与验证子系统工作流程,检查已知漏洞存在与否检查配置合理性检查/验证加入安全措施手段后的有效性移动攻击验证平台所处位置，模拟黑客渗透攻击能产生的效果,2.1攻防验证平台开发实验室部署,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,2.1攻防验证平台开发 全网部署,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,增值业务,运维支撑,基地业务,检查已知漏洞存在与否检查安全配置的合理性检查/验证加入安全措施手段后的有效性,2.1攻防验证平台开发 湖北落地试点,攻防验证平台,攻防演练平台,自动化评估工具,脆弱性发现,2.2 自动化评估工具 背景与目标,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,1,2,3,4,系统评估过程中使用的工具多，需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路这种方式。这种安全评估方式要在日常维护中定期频繁的实施基本是不可行的。,对于设备安全信息现状和系统整体安全情况只是体现在定期的报告中，安全现状的实时呈现还是空白。,安全运维工作零散且杂乱，无电子化的安全运维流程。,设备繁多，而且大部分需要维护人员手动输入指令，通过观察结果来进行安全评估，耗费大量的人力资源。,安全评估手段多，周期性实施无法落实,设备数量多，人工评估工作量大,安全运维流程零散且杂乱,缺乏统一安全现状呈现,背景,提高安全评估工作效率；实现安全工作融入日常工作；,各种评估手段结合起来全面评估；进行集中化分析汇总和呈现,从湖北移动安全运维实际需求出发，以安全基线为基础，为管理、运维、监控人员提供统一的安全基线监控平台,安全评估自动化,安全评估全面化,安全审计,安全评估集中化,安全评估日常化,需解决的问题,为解决面临的问题，提出的解决思路：,目标,2.2 自动化评估工具 背景与目标,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,MDCN,4A系统,EMOS系统,集中告警平台,安全基线监控平台,漏洞验证子系统,探针设备,探针设备,（1）安全基线监控平台由平台服务器、漏洞验证子系统以及监控探针组成。,（2）安全基线监控平台，通过4A系统获取监控目标IT网元的账号和密码信息，实现系统对目标IT网元的性能、安全相关信息进行实时监控。,（4）安全基线监控平台，将监控告警信息发送给击中告警平台进行统一呈现，并通过EOMS系统将运维工单以及告警工单派送给相关人员。,（5）维护人员完成安全加固后可以使用漏洞验证子系统对目标IT网元进行模拟攻击，以验证安全加固的效果。,HTTPS,socket,socket,（3）探针设备并将采集信息传送至安全基线监控平台服务器进行统一呈现。,2.2 自动化评估工具 技术方案（1）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,本系统的使用流程如图所示:1.针对维护人员，为不同的网元定义安全基线，根据安全维护作业计划的要求向监控探针下发扫描策略，周期性的收集网元实时信息，将实时信息与网元的基线库进行对比，通过工单形式由监控人员将告警信息派发给维护人员。维护人员根据工单信息对网元进行相应加固和验证。2.针对监控人员，通过安全基线监控平台或集中告警平台对告警信息进行监控，将相关告警信息通过EMOS系统通知维护人员。3.针对管理人员，安全基线监控平台将收集到的网元实时信息以网络拓扑的方式全面动态形式展现。管理人员根据平台呈现了解安全现状,调整安全管理制度，系统架构以及维护策略。,使用流程,对业务系统定义安全基线,扫描策略,周期性自动安全扫描,安全运维作业,维护人员,实时信息与基线库比对,告警信息监控,通过EMOS系统故障派单,评估加固,安全现状统一呈现,调整管理制度、系统架构以及维护策略,监控人员,管理人员,加固验证,2.2 自动化评估工具 技术方案（2）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,关键技术（一）：提出动态安全基线，实现配置变更监控 提出动态基线概念，对进程、端口、关键文件访问、设备配置等动态信息进行监控。利用系统快照技术实现动态基线的实时监控。,有效防止非法进程端口启动，非法修改安全设备配置等安全事件的发生。,实时信息比对,端口信息进程信息服务信息关键文件,实时告警,2.2 自动化评估工具 关键技术（1）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,2.2 自动化评估工具 关键技术（2）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,关键技术（二）：信息采集零客户端利用远程授权扫描技术实现信息采集，实现零客户端安装。不需要在IT网元设备上安装任何代理端程序，既可完成对动态基线相关信息的采集工作。能有效避免在IT资产上安装程序或代理端可能造成性能或稳定性方面的影响。,业务系统A,业务系统B,业务系统C,采集服务器,客户端程序,传统客户端采集模式,安全基线监控平台,探针设备,零客户端采集模式,2.2 自动化评估工具 关键技术（3）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,关键技术（三）：实现安全加固的攻击验证 对现网典型漏洞进行攻击来验证安全加固的有效性。以模拟攻击来验证安全加固工作的有效性；,使用漏洞验证功能，模拟黑客进行攻击尝试，验证安全加固效果,2.2 自动化评估工具 关键技术（4）,攻防演练平台,脆弱性发现,攻防验证平台,自动化评估工具,关键技术（四）：动态的安全呈现平台通过网络拓扑的方式动态呈现业务系统全面的安全现状。提供面向监控人员、运维人员以及管理人员的统一呈现界面。,通过不同的图标标示不同类型的IT资产通过颜色反映资产的安全风险值；实时列出各IT网元的动态基线信息（包括端口、进程、CPU等性能参数等），对于安全产品能列出高风险值的实时告警信息；,2.3 攻防演练平台技术背景及思路,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,攻击和防护面不对称攻击方：有的放矢防守方：全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：即便攻击失败，损失有限防守方：安全策略被破坏，利益受损,ttack,efence,A,D,攻防博弈中的不对称,2.3 攻防演练平台技术背景及思路,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,扭转攻击/防护面不对称部署假目标增加攻击代价扭转信息不对称了解你的对手！他们是谁？他们使用什么工具？如何操作？为什么攻击你？扭转后果不对称防守方不受影响损失计算机取证对攻击方的威慑,形势的扭转和蜜罐的提出,2.3 攻防演练平台技术背景及思路,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,蜜罐的分类,2.3 攻防演练平台技术背景及思路,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,包含一个或多个蜜罐多层次的数据控制机制高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析,蜜网的概念,蜜网的部署,蜜网的应用,2.3 攻防演练平台系统架构与功能模块,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,蜜网网关诱捕蜜罐群数据存储子系统数据分析子系统监控管理子系统,2.3 攻防演练平台关键技术（1）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,2.3 攻防演练平台关键技术（2）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,2.3 攻防演练平台关键技术（3）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,2.3 攻防演练平台应用场景（1）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,考生攻击者：进行攻击培训、考试和攻防对抗演练；防护者：进行防护培训、考试和攻防对抗演练；教师/考官 对攻击和防护的过程进行监控、存档、评估等。,角色划分,2.3 攻防演练平台应用场景（2）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,120.11.8.1,对攻防过程进行实时监控，图形化展现攻击路径和攻击结果,考试课件和考试计划,实时的攻击日志，展示攻击的目标、状况和结果,详细的课件内容描述,分类日志，便于事后梳理详细的攻防过程，对于研究攻击行为至关重要。,2.3 攻防演练平台应用场景（2）,脆弱性发现,攻防验证平台,攻防演练平台,自动化评估工具,灵活的课件计划以及虚拟机的快速部署,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,2.4 脆弱性成果发现 飞信系统脆弱性（1）,飞信系统业务逻辑的脆弱性,漏洞描述：发送短信“是”到12520026+对方手机号强制加对方为好友，如果对方已经注册飞信用户，则不用对方确认而自动添加成功。,危害性：极高,修补建议：修改和完善飞信流程加入确认邀请 请求环节。,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,2.4 脆弱性成果发现飞信系统脆弱性（2）,漏洞描述：恶意人员利用跨站脚本可以构造诱骗页面，诱骗用户输入登录用户名称、口令，并将这些信息发送到恶意人员自己架设的网站上。对用户或者网站造成不良影响和损失。恶意人员制造自动跳转页面，强制用户将cookie写入插入网页，而直接利用该cookie伪装登录。该漏洞可能造成用户隐私和用户身份泄露。危害性：高修补建议：,飞信系统存在跨站漏洞,通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。对用户提交的变量进行严格过滤，过滤如尖括号、分号、引号，script等常在脚本语言中可能使用到的标记。,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,2.4 脆弱性成果发现彩信系统脆弱性（1）,话单记录文件非授权修改漏洞（MMS-Billing_Auth）,漏洞描述：在默认情况下，MMS服务器会定期（每隔15分钟）生成一个话单记录文件，并保存到预先设定的位于MMS上的FTP目录下，而计费系统则会实时连接此FTP获取所有的话单记录文件。计费系统在获取到话单记录文件后，仅仅是对其中的话单内容进行格式正确性核对，只要格式符合规范且满足计费条件定义就会进行计费。利用该漏洞可以使计费系统对某一个或者几个号码甚至企业代码产生高额费用；或者伪造空话单记录文件，恶意覆盖或者扰乱正常话单记录文件生成，造成计费系统零计费或者计费中断。,危害性：极高,修复建议：对话单记录文件的名称进行限制，严格依照“XX+年月日+顺序号+GCDR”格式命名，并对话单记录文件的数量进行限制，限制顺序号在195之间。加强对MMS服务器FTP目录操作的审计。,计费数据流,2.4 脆弱性成果发现彩信系统脆弱性（2）,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,内容可替换漏洞（MMS-Content_Replace）,漏洞描述：使用ARP欺骗工具，可以作为中间人，捕获彩信服务器与彩信网关间的数据包，并替换彩信中相应的内容。用户发送彩信的内容可能被恶意替换。,危害性：高,修复建议：部署入侵检测/保护设备，随时监控网络中的ARP攻击。通过批处理文件的方式，定期检查彩信服务器和网关是否存在IP地址欺骗。,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,2.4 脆弱性成果发现IMS系统脆弱性（1）,CSCF系统的拒绝服务漏洞漏洞描述：IMS系统（CSCF）存在对个别畸形数据包不返回拒绝消息的情况，如果被攻击者利用，便可导致使用较小的代价影响正常用户登录（帐户锁死）的情况。危害性：高修复建议：IMS系统针对数据包中的内容（contact 字段以及to 字段）分析后，对于含有异常信息的数据包，返回拒绝消息，释放会话，并将问题帐号和IP地址绑定，这样就可以很大程度的避免正常用户受到影响。,攻防验证平台,自动化评估工具,攻防演练平台,脆弱性发现,2.4 脆弱性成果发现IMS系统脆弱性（2）,漏洞描述：某IMS可视终端在处理SIP消息（异常字符，包括超短字符和超长字符）的时候存在明显的漏洞。这些漏洞可能会引发攻击者通过远程攻击话机，导致话机的频繁重启。,IMS终端的SIP消息处理漏洞,危害性：高,修复建议：对嵌入式系统进行修改，弥补相应的漏洞。,总 结,本课题已完整覆盖开题计划中涉及的研究方向及关键研究点。报告：研究报告1份；平台3个；专利1项。,后续工作计划：将攻防验证平台湖北落地的成功经验在其他省公司分享，并尝试建立基于互联网的虚拟化培训和演练平台。,项目整体性,总体协调：牵头单位定期组织项目组例会，有效整合资源，有计划、有针对性的开展相关工作，把控项目整体进度和关键技术的研发方向分工：结合各自优势，将整体工作切块，实现项目组成员各司其职合作：研究院利用技术优势，对关键技术点进行把控；省公司积极配合测试和实施，进一步促进研究院的研究工作,项目进度执行情况,本项目的进度与计划进度相符,项目工作总结,项目创新性,业务系统漏洞挖掘的尝试；漏洞主动验证功能在现网中的应用；基于蜜网、蜜罐的虚拟化交互式培训和演练系统；移动研究院省公司现网部署问题反馈流程的探索。,开题计划完成情况,请各位专家批评指正！,