欢迎来到天天文库
浏览记录
ID:44050832
大小:443.61 KB
页数:5页
时间:2019-10-18
《基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、iVlO中央电视台宋庆峰北京启明星辰信息安全技术有限公司周涛毕亲波—/摘要电视台总控系统是全台信号调度和处理的尖键和核心,为防范针对总控的信息系统的人PT攻击,本文通过全面考虑与APT攻击行为紧密相尖的多个因素,从全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别,以及基于不完整信息和应用层对象还原攻击场景检测和重建等多角度考虑,设计了基于全流量大数据安全分析技术构建的APT攻击检测系统,以便更准确地发现针对总控系统的APT攻击行为和特征,提升总控系统的信息安全水平。—尖键词A总控系统大数据多维数据立方体元数据本地
2、计算环境APT攻击信息技术在电视台总控系统中的广泛应用,为总控系统运行的网络化、数字化带来了巨大的便利,也使总控系统面临着信息安全的严峻挑战。总控系统是电视台节目播出、传送、信号交换的重要环节和枢纽,由于系统中针对设备和工作任务的控制、管理及监测都基于计算机网络进行,一旦遭受攻击破坏将直接导致任务无法有效执行,甚至影响到直播的顺利完成,因此,防范总控系统安全风险,保障系统正常平稳运行是总控系统安全管控工作的重点。2013年韩国多家金融机构和媒体遭受APT攻击,使得国内广电行业也开始重视APT攻击的防范工作。APT(AdvancedPersistentT
3、hreat)高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式°由于APT攻击的“隐蔽性、连续性、长期性和手段复杂性”,导致其行为很难检测与发现,本文针对中央电视台新址总控系统的网络特点,以全流量检测、未知木马检测和大数据安全分析的角度探索性地给出了检测和发现APT攻击的设计方案。一新址总控系统简介中央电视台新址总控系统作为全台信号调度和处理的为键和核心,其日常工作主要由总控工作人员通过计算机终端操控相矢应用软件进行,而计算机终端通过总控系统基础网络的交换机与IT服务器、视音频专业设备等进行交互
4、。总控系统的基础网络采用星形网络架构,分为核心层和接入层,核心层与接入层之间采用千兆网连接形成高速传输网。总控系统的网络拓扑图如图1所示。在系统核心层,配置两台核心层交换机,实现与台内其他网络连接以及内部接入交换机的连通;在接入层,配置多台区域接入交换机,实现总控系统软件设备及视音频设备的接入。总控系统的IT设备包括应用服务器、接口服务器、数据库服务器、应用操作终端等。IT设备现已成为总控值班人员完成日常工作的主要操作平台。1,1二总控系统APT攻击检测系统的软件架构总控系统的业务定位、应用特点和业务属性决定了其运行与维护G11牛产伴汁IxG/h¥❻命
5、俗RNpGy*u存非济◎
6、基于应用层对彖还原的攻击场景璽建技术与展示f廉尸不左整信总的攻巴场号检测技术蔽)r构次扑;的文坡出规则疵分fiiH不可疑链路和行为识别儿数据(Metadata)提収技术APT攻击检側平台系统软件架构三设计方法及实现针对APT攻击的检测方法和解决方案有多种,比较统一和一致的观点是单一的产品或技术难以解决此问题,需要从APT攻击的特性和规律着手采用多种技术手段和管理手段进行综合治理。本文基于总控系统已经部署和实施的安全措施,尝试性地从元数据提取和Log日志收集、本地计算环境文件保护和大数据安全态势分析和展现的角度给出APT攻击检测方法。总控系统利用综合安
7、全审计与管理平台进行元数据提取和Log日志收集。该平台的底层数据采集器广泛、全流量地收集总控系统的网络信息系统的LogS志,并抽取元数据逬行智能矢联分析,以便于从中发现APT攻击路径的相尖信息。总控系统利用主机安全加固和配置基线检查实现了本地计算环境文件保护,其核心思想是对总控系统中的主机进行操作系统加固,建立安全配置基线,采用本地安全策略或白名单的方式来控制主机上应用程序的加载和执行情况,从而防止恶意代码的执行。因为在APT攻击的整个攻击链条中,攻击者必须将其上传的“应用程序”在本地计算环境中加以运行,而该“应用程序”的加载和运行行为Advanced
8、TelevisionEngineering2014/8运行与维护DerationOMainte
此文档下载收益归作者所有