为您推荐:
精华内容
最热下载
问答
  • 5星
    7.69MB qq_17695025 2021-03-17 21:26:27
  • 34.69MB petrichor0324 2018-11-15 10:59:24
  • 4星
    62KB sili0410 2010-04-27 20:36:51
  • 4.44MB weixin_44495678 2019-07-03 13:43:04
  • 数据分析 数据分析方法 一、数据分析方法 1.业务数据分析:SQL,EXCEL 1.1描述性分析 1.2数据透视 1.3可视化图表 2.数据挖掘分析:Python,SPSS,SAS,R 2.1协同过滤 2.2分类分析 2.3关联分析 2.4聚类分析等 3.大...

    数据来源

    在这里插入图片描述
    数据分析
    在这里插入图片描述
    数据分析方法
    一、数据分析方法
    1.业务数据分析:SQL,EXCEL

    1.1描述性分析

    1.2数据透视

    1.3可视化图表

    2.数据挖掘分析:Python,SPSS,SAS,R

    2.1协同过滤

    2.2分类分析

    2.3关联分析

    2.4聚类分析等

    3.大数据分析:Hadoop,Spark

    3.1Hadoop大数据平台

    3.2数据整理

    3.3建模、分析与展示

    二、业务数据分析流程
    1.业务理解:数据分析的起点,最为重要的环节

    2.数据收集:多渠道获取数据

    3.数据处理:数据清洗,数据整理

    4.数据分析:搭建多维数据分析环境,描述性分析

    5.数据展现:数据可视化展现

    6.成果报告:商业分析报告,商业智能(BI)分析报告:有交互式操作和可视化报表的优势

    商业智能是实现商业洞察的重要手段,商业洞察是深入商业现象发现问题本质的过程。

    在这里插入图片描述

    好的数据分析报告,不仅能用数据清晰展示瑞幸的差异化竞争策略,还会将它的收入预测指标进行拆解,通过门店数量、单店销量和实际单杯价格和轻食百分比推算收入,来告诉老板瑞幸烧钱到底是不是靠谱。在这里插入图片描述

    各行业分析报告地址

    1. 阿里研究院

    网址:http://www.aliresearch.com/blog/index/lists/tag/3831.html

    重点:由电子商务、互联网金融、智能物流、云计算与大数据等构成的阿里商业生态圈,研究互联网、大数据给社会经济带来的新现象、新规则。主要研究方向是消费和涉农。

    1. 腾讯研究院

    网址:http://www.tisi.org/c16

    重点:互联网产业的数据和报告

    1. 艾媒咨询

    网址:http://www.iimedia.cn/#shuju

    重点::移动互联网行业数据发布平台,提供行业数据挖掘和分析,实时报告访问网址:

    1. 艾瑞

    网址:http://report.iresearch.cn

    重点:依托大数据,发布互联网行业研究报告

    1. 麦肯锡

    网址:http://www.mckinsey.com.cn/insights/

    重点:行业洞察报告

    1. 波士顿咨询

    网址:https://www.bcg.com/zh-cn/search?q=inmeta:pageType=Perspectives&page=perspectives_search&pageNum=2&lens=zh-cn&country=CN

    重点:波士顿咨询在中国市场的前沿洞察发布网址

    1. 德勤

    网址:https://www2.deloitte.com/cn/zh/industries/cn-all-industries-sectors.html?icid=top_cn-all-industries-sectors

    重点:各个行业的研究报告

    1. 普华永道

    网址:http://www.pwccn.com/zh/research-and-insights.html

    重点:行业洞察报告

    1. 毕马威

    网址:https://home.kpmg.com/cn/zh/home/industries.html

    重点:行业洞察报告

    1. 埃森哲

    网址:https://www.accenture.com/cn-zh/new-applied-now

    重点:行业研究报告、前瞻预测

    1. 艺恩

    网址:http://www.entgroup.com.cn/bg.aspx

    重点:中国影视大数据平台,可查看到电影、电视、动漫、新媒体、娱乐营销相关的研究报告:

    1. 易观

    网址:https://www.analysys.cn/analysis/8

    重点:互联网市场各行业分析报告

    1. CBNData(第一财经商业数据中心)

    网址:http://www.cbndata.com/report

    重点:产业经济全景分析和行业企业洞察

    1. 36kr

    网址:http://36kr.com

    重点:汇集各个行业的前沿研究报告,主要在互联网、移动互联网、物联网方向上

    1. TalkingData(腾云天下)

    网址:http://mi.talkingdata.com/reports.html?category=all

    重点:移动互联网行业报告

    1. TrustData

    网址:http://www.itrustdata.cn/#publish

    重点:移动互联网行业报告,通过对中国移动互联网大数据的采集、分析和研究,帮助企业主、移动各个领域和投资人了解自身应用业务状况以及整个移动应用市场趋势,帮助行业从业者更好的制定产品、营销和投资策略相关的市场决策。

    1. 360互联网安全中心

    网址:http://zt.360.cn/report/

    重点:互联网安全研究报告,pc,移动安全监控,预测,分析

    1. 新浪研究报告:

    网址:http://vip.stock.finance.sina.com.cn/q/go.php/vReport_List/kind/industry/index.phtml

    重点:类似于研究报告检索库,可获取不同机构发布的最新行业研究报告咨询(无法查看到报告的全文)

    9款经典现代商业分析模型

    参照网址:https://www.jianshu.com/p/7a68614ed447

    为什么拿到数据仍然不能做出有效的决策?很可能是因为缺少了有效的分析模型。今天就给大家分享9款经典的企业战略决策、营销决策、服务决策的分析模型,这些模型已经过诸多成功企业和顶尖企业家、经理人的实践验证,被证明是能决定企业成败,影响管理工作效率,有助于企业领导及管理者更好地迎接挑战的最有效的工具。

    1、波特五力分析:行业竞争战略最流行的分析模型

    波特认为在任何行业中,无论是国内还是国际,无论是提供产品还是提供服务,竞争的规则都包括在五种竞争力量内。这五种竞争力就是企业间的竞争、潜在新竞争者的进入、潜在替代品的开发、供应商的议价能力、购买者的议价能力。这五种竞争力量决定了企业的盈利能力和水平。该模型如下图所示:


    波特五力模型

    竞争对手

    企业间的竞争是五种力量中最主要的一种。只有那些比竞争对手的战略更具优势的战略才可能获得成功。为此,公司必须在市场、价格、质量、产量、功能、服务、研发等方面建立自己的核心竞争优势。

    影响行业内企业竞争的因素有:产业增加、固定(存储)成本/附加价值周期性生产过剩、产品差异、商标专有、转换成本、集中与平衡、信息复杂性、竞争者的多样性、公司的风险、退出壁垒等。

    新进入者

    企业必须对新的市场进入者保持足够的警惕,他们的存在将使企业做出相应的反应,而这样又不可避免地需要公司投入相应的资源。

    影响潜在新竞争者进入的因素有:经济规模、专卖产品的差别、商标专有、资本需求、分销渠道、绝对成本优势、政府政策、行业内企业的预期反击等。

    购买者

    当用户分布集中、规模较大或大批量购货时,他们的议价能力将成为影响产业竞争强度的一个主要因素。

    决定购买者力量的因素:买方的集中程度相对于企业的集中程度、买方的数量、买方转换成本相对企业转换成本、买方信息、后向整合能力、替代品、克服危机的能力、价格/购买总量、产品差异、品牌专有、质量/性能影响、买方利润、决策者的激励。

    替代产品

    在很多产业,企业会与其他产业生产替代品的公司开展直接或间接的斗争。替代品的存在为产品的价格设置了上限,当产品价格超过这一上限时,用户将转向其他替代产品。

    决定替代威胁的因素有:替代品的相对价格表现、转换成本、客户对替代品的使用倾向。

    供应商

    供应商的议价力量会影响产业的竞争程度,尤其是当供应商垄断程度比较高、原材料替代品比较少,或者改用其他原材料的转换成本比较高时更是如此。

    决定供应商力量的因素有:投入的差异、产业中供方和企业的转换成本、替代品投入的现状、供方的集中程度、批量大小对供方的重要性、与产业总购买量的相关成本、投入对成本和特色的影响、产业中企业前向整合相对于后向整合的威胁等。

    2、BCG矩阵法:制定公司层战略最流行的工具

     这个模型主要用来协助企业进行业务组合或投资组合。在矩阵坐标轴是的两个变量分别是业务单元所在市场的增长程度和所占据的市场份额。每个象限中的企业处于根本不同的现金流位置,并且应用不同的方式加以管理,这样就引申出公司如何寻求其总体业务组合。该模型如下图所示:

    BCG矩阵

    金牛:在低增长市场上具有相对高的市场份额的业务将产生健康的现金流,它们能用于向其他方面提供资金,发展业务。

    瘦狗:在低增长市场是具有相对低的市场份额的业务经常是中等现金流的使用者。由于其虚弱的竞争地位,它们将成为现金的陷阱。

    明星:在高增长市场上具有相对高的市场份额通常需要大量的现金以维持增长,但具有较强的市场地位并将产生较高的报告利润,它们有可能处在现金平衡状态。

    问题:在迅速增长的市场上具有相对较低市场份额的业务需要大量的现金流入,以便为增长筹措资金。

    3、GE矩阵:企业決定发展战略的分析工具

    企业通过该矩阵可以保证其资源的合理配置,企业也可以尝试按照发展中业务和已发展业务的混合,与现金产生和现金使用的内在一致性来平衡业务。绘制GE矩阵,需要找出外部(行业吸引力)和内部(企业竞争力)因素,然后对各因素加权,得出衡量内部因素和市场吸引力外部因素的标准。当然,在开始搜集资料前仔细选择哪些有意义的战略事业单位是十分重要的。该模型如下图所示:

    GE矩阵

    “行业吸引力”需要考虑的因素主要有:
    行业:绝对市场规模、成长率、价格敏感性、进入壁垒、替代品、市场竞争、供应商等;
    环境:政府法规、经济气候、通货风险、社会趋势、技术、就业、利率等。
    行业吸引力采取五级评分标准评分:1=毫无吸引力,2=没有吸引力,3=中性影响,4=有吸引力,5=极有吸引力

     “业务单位的实力或竞争地位”需要考虑的因素主要有:
    目前优势:市场份额、市场份额变化趋势、盈利能力、现金流、差别化、相对价格地位等。
    持久性:成本、后勤、营销、服务、客户形象、技术等。
    业务单位竞争力采取五级评分标准评分:1=极度竞争劣势,2=竞争劣势,3=同竞争对手持平,4=竞争优势,5=极度竞争优势

    评分标准

    4、波特价值链分析模型:寻求确定企业竞争优势的分析工具

    价值链分析方法是企业为一系列的输入、转换与输出的活动序列集合,每个活动都有可能相对于最终产品产生增值行为,从而增强企业的竞争地位。企业通过信息技术和关键业务流程的优化是实现企业战略的关键。企业通过在在价值链过程中灵活应用信息技术,发挥信息技术的使能作用、杠杆作用和乘数效应,可以增强企业的竞争能力。该模型如下图所示:

    波特价值链

    进料后勤:与接收、存储和分配相关联的各种活动,如原材料搬运、仓储、库存控制、车辆调度和向供应商退货。

    生产作业:与将投入转化为最终产品形式相关的各种活动,如机械加工、包装、组装、设备维护、检测等。

    发货后勤:与集中、存储和将产品发送给买方有关的各种活动,如产成品库存管理、原材料搬运、送货车辆调度等。

    销售:与提供买方购买产品的方式和引导它们进行购买相关的各种活动,如广告、促销、销售队伍、渠道建设等。

    服务:与提供服务以增加或保持产品价值有关的各种活动,如安装、维修、培训、零部件供应等。 

    采购与物料管理:指购买用于企业价值链各种投入的活动,采购既包括企业生产原料的采购,也包括支持性活动相关的购买行为,如研发设备的购买等;另外亦包含物料的的管理作业。

    研究与开发:每项价值活动都包含着技术成分,无论是技术诀窍、程序,还是在工艺设备中所体现出来的技术。

    人力资源管理:包括各种涉及所有类型人员的招聘、雇佣、培训、开发和报酬等各种活动。人力资源管理不仅对基本和支持性活动起到辅助作用,而且支撑着整个价值链。

    企业基础制度:企业基础制度支撑了企业的价值链条。如:会计制度、行政流程等

    对于企业价值链进行分析的目的在于分析公司运行的哪个环节可以提高客户价值或降低生产成本。对于任意一个价值增加行为,关键问题在于:

    1)是否可以在降低成本的同时维持价值(收入)不变;
    2)是否可以在提高价值的同时保持成本不变;
    3)是否可以降低工序投入的同时有保持成本收入不变;
    4)更为重要的是,企业能否可以同时实现1、2、3条。

    价值链一旦建立起来,就会非常有助于准确地分析价值链各个环节所增加的价值。价值链的应用不仅仅局限于企业内部。随着互联网的应用和普及,竞争的日益激烈,企业之间组合价值链联盟的趋势也越来越明显。企业更加关心自己核心能力的建设和发展,发展整个价值链中一个环节,如研发、生产、物流等环节。

    5、STP分析:现代营销战略的核心分析工具

    STP 理论是指企业在一定的市场细分的基础上,确定自己的目标市场,最后把产品或服务定位在目标市场中的确定位置上。具体而言,市场细分是指根据顾客需求上的差异把某个产品或服务的市场划分为一系列细分市场的过程。目标市场是指企业从细分后的市场中选择出来的决定进入的细分市场,也是对企业最有利的市场组成部分。而市场定位就是在营销过程中把其产品或服务确定在目标市场中的一定位置上,即确定自己产品或服务在目标市场上的竞争地位,也叫“竞争性定位”。

    Step1:确定细分市场

    市场细分是指企业按照某种标准(如人口因素、心理因素等)将市场上的顾客划分为若干个顾客群,每个顾客群构成一个细分市场(或称子市场),并描述每个细分市场的整体轮廓。在同一个市场细分中的消费者,他们的需求和欲望极为相似;而不同市场细分的消费者,对同一产品的需求和欲望存在着明显的差别。细分标准见下图:

    细分市场

    Step2:确定目标市场选择策略

    根据企业资源或实力、产品同质性、市场同质性综合评估进行选择,一般有以下5种模式:

    目标市场选择的5种模式

    Step3:确定产品定位

    市场定位包括对企业整体形象的定位和企业产品的定位,指企业根据目标市场上的竞争状况,针对顾客对某些特征或属性的重视程度,为本企业的形象和产品塑造强有力的、于众不同的鲜明个性,并将其传递给顾客,求得顾客的认同。产品定位可以参考下图所示流程进行:

    产品定位方法

    6、4Ps营销组合模型:制定市场战略最经典的营销理论工具

    该模型认为营销活动的核心就在于制定并实施有效的市场营销组合。企业营销活动的实质是一个利用内部可控因素适应外部环境的过程,即通过对产品、价格、分销、促销的计划和实施,对外部不可控因素做出积极动态的反应,从而促成交易的实现和满足个人与组织的目标。该模型如下图所示:

    4Ps营销组合模型

    产品 (Product):是指现有产品本身及其特征(商品,质量,包装,品牌,售后服务等),另外也指要重视产品的更新换代与开发创新。要求产品有独特的卖点,把产品的功能诉求放在第一位。

    价格 (Price):是指企业制订价格的方法和竞争定价的策略,也是企业出售产品追求的经济回报。根据不同的市场定位,制定不同的价格策略,产品的定价依据是企业的品牌战略,注重品牌的含金量。

    分销 (Place):在于根据产品的性质,市场的细分和顾客的区隔研究,所采取的分销渠道、储存设施、运输设施、存货控制等,它代表企业为使产品进入和达到目标市场所组织和实施的各种活动。

    促销(Promotion):企业注重销售行为的改变来刺激消费者,以短期的行为(如让利,买一送一,营销现场气氛等等)促成消费的增长,吸引其他品牌的消费者或导致提前消费来促进销售的增长,包括广告,人员推销,营业推广与公共关系等。

    4Ps 提示企业经营者:做好营销工作,其实就是找到下面四个问题的答案

    (1)我们提供什么样的产品是市场最需要的?
    (2)什么样的定价是最适合的?
    (3)通过什么样的渠道推广我们的产品最好?
    (4)采取什么样的手段促销能达到销售目的?

    延伸:4Ps-4Cs-4Rs策略对比

    4Ps-4Cs-4Rs策略对比

    7、产品生命周期模型:描述产品和市场运作方法的有力工具

    产品生命周期曲线又称成长曲线。它是指新产品研制成功后,从投入市场开始发展到成长、成熟以至衰退被淘汰为止的整个市场产品销售过程的全部时间。产品生命周期可划分为四个阶段:投入期,成长期,成熟期,衰退期。该模型如下图所示:

    产品生命周期模型

    产品在其生命周期中如何变化以及它如何影响战略:

    产品生命周期变化及战略影响

    产品生命周期是一个很重要的概念,它和企业制定产品策略以及营销策略有着直接的联系。管理者要想使他的产品有一个较长的销售周期,以便赚取足够的利润来补偿在推出该产品时所做出的一切努力和经受的一切风险,就必须认真研究和运用产品的生命周期理论,此外,产品生命周期也是营销人员用来描述产品和市场运作方法的有力工具。

    8、服务质量差距模型:服务质量简单有效的分析工具

    服务质量差距模型(5GAP模型)是专门用来分析质量问题的根源,可以作为服务组织改进服务质量和营销的基本框架,有助于分析服务质量问题产生的原因并帮助管理者了解应当如何改进服务质量。顾客差距(差距5)即顾客期望与顾客感知的服务之间的差距——这是差距模型的核心。要弥合这一差距,就要对以下四个差距进行弥合:差距1 ——不了解顾客的期望;差距2——未选择正确的服务设计和标准;差距3——未按标准提供服务;差距4——服务传递与对外承诺不相匹配。该模型如下图所示:

    服务质量差距模型

    差距1是质量感知差距:该差距是指服务企业不能准确地感知顾客服务预期;
    差距2是质量标准差距:该差距是指服务提供者所制定的服务标准与公司管理层所认知的顾客的服务预期不一致而出现的差距;
    差距3是服务传递差距:该差距是指服务生产与传递过程没有按照企业所设定的标准来进行而产生的差距;
    差距4是市场沟通差距:该差距是指市场宣传中所做出的承诺与企业实际提供的服务不一致而产生的差距;
    差距5是感知服务质量差距:该差距是指顾客所感知的或者实际体验的服务质量与其所预期的不一致而产生的差距。

    而这5个差距中,前4个是导致服务质量缺陷的主要因素,第5个是由顾客感知的服务与期望的服务所形成的。

    9、服务利润链:服务管理最经典、最有效的分析工具

    服务利润链的基本逻辑是:企业获利能力的强弱主要是由顾客忠诚度决定顾客忠诚是由顾客满意决定的;顾客满意是由顾客认为所获得的价值大小决定的;价值大小最终要由工作富有效率.对公司忠诚的员工来创造:而员工对公司的忠诚 取决于其对公司是否满意、满意与否主要应视公司内部是否给予了高质量的内在服务。简言之,客户的满意度最终是由员工的满意度决定的。该模型如下图所示:

    服务利润链

    该模型的核心内容是顾客价值等式,顾客价值=(为顾客创造的服务效用+服务过程质量)/(服务的价格+获得服务的成本),该等式和内部员工及外部顾客都有关系。 

    服务利润链模型的评价工具往往是采用平衡计分卡,对每个元素进行记录和评价,再形成一个整体的评价,注意的是局部和整体的控制和协调。

    展开全文
    yili_sha11 2019-09-05 09:15:39
  • 基于网络安全相关的开源项目技术预研分析报告 1 1. 预研背景 3 2. 预研目的和意义 3 3. 预研目标 3 4. 预研技术描述 3 4.1 态势感知或安全运营中心-OSSIM 3 4.1.1 OSSIM简介 3 4.1.2 OSSIM的功能 4 4.1.3 ...

    目  录

    基于网络安全相关的开源项目技术预研分析报告 1

    1. 预研背景 3

    2. 预研目的和意义 3

    3. 预研目标 3

    4. 预研技术描述 3

    4.1 态势感知或安全运营中心-OSSIM 3

    4.1.1 OSSIM简介 3

    4.1.2 OSSIM的功能 4

    4.1.3 OSSIM的架构 6

    4.1.4 OSSIM各个模块之间的关系 7

    4.1.5 OSSIM关联引擎 8

    4.1.6 OSSIM部署 11

    4.2 入侵检测防御技术-Snort/Security Onion 11

    4.2.1 Snort 11

    4.2.1.1 Snort简介 11

    4.2.1.2 Snort原理 12

    4.2.1.3 Snort工作过程 12

    4.2.1.4 Snort部署 14

    4.2.1.5 Snort不足 14

    4.2.2 Security Onion 15

    4.2.2.1 Security Onion简介 15

    4.2.2.2 Security Onion核心组件 15

    4.2.2.3 Security Onion分析工具 17

    4.2.2.4 Security Onion部署方案 20

    4.2.2.5 Security Onion的使用 21

    4.2.2.6 Security Onion总结 22

    4.3 防火墙-PFSense/OPNSense 23

    4.3.1 PFSense 23

    4.3.1.1 PFSense简介 23

    4.3.1.2 PFSense核心功能 23

    4.3.2 OPNSense 24

    4.3.2.1 OPNSense简介 24

    4.3.2.2 OPNSense与PFSense的功能差异 24

    4.3.2.3 OPNSense与PFSense的性能差异 26

    4.3.2.4 OPNSense与PFSense的对比结果 26

    4.4 Web应用防火墙或WAF-ModSecurity+OpenResty 27

    4.4.1 ModSecurity 27

    4.4.1.1 ModSecurity简介 27

    4.4.1.2 ModSecurity核心功能 27

    4.4.1.3 ModSecurity核心规则集(CRS) 28

    4.4.1.4 ModSecurity劣势 29

    4.4.1.5 OpenResty简介 29

    4.4.2 OpenResty 29

    4.4.2.1 OpenResty应用场景 29

    4.4.2.2 OpenResty功能 30

    4.4.3 ModSecurity+OpenResty+WASP CRS=OpenWAF 31

    4.5 威胁情报技术-MISP/OpenCTI 32

    4.5.1 MISP 32

    4.5.1.1 MISP简介 32

    4.5.1.2 MISP核心功能 33

    4.5.2 OpenCTI 36

    4.5.2.1 OpenCTI简介 36

    4.5.2.2 OpenCTI核心功能 36

    4.6 漏洞扫描技术-OpenVAS/W3af 38

    4.6.1 OpenVAS 38

    4.6.1.1 OpenVAS简介 38

    4.6.1.2 OpenVAS组件 39

    4.6.1.3 OpenVAS基本应用 40

    4.6.2 W3af 42

    4.6.2.1 W3af简介 42

    4.6.2.2 W3af插件 42

    4.6.2.3 W3af基本应用 43

    4.7 堡垒机技术-JumpServer 45

    4.7.1 JumpServer简介 45

    4.7.2 JumpServer核心功能 45

    4.8 蜜罐技术-T-Pot/HFish 48

    4.8.1 T-Pot 48

    4.8.1.1 T-Pot简介 48

    4.8.1.2 T-Pot组件 49

    4.8.2 HFish 54

    4.8.2.1 HFish简介 54

    4.8.2.2 HFish原理 54

    4.8.2.3 HFish特点 55

    4.8.2.4 HFish功能 55

    5. 预研技术对比 56

    6. 预研技术预计投入资源 58

    7. 总结 58



    1. 预研背景

    本次预研是对现有的关于开源的网络安全产品技术的研究



    1. 预研目的和意义

    本次预研通过了解现有市面上开源网络安全产品的相关技术、功能、架构、原理等,提供技术产品路径的可行性判断及达到快速商业化的目的,为XX网络安全业务由安全集成转向自主研发打下夯实的基础。



    1. 预研目标

    通过本次技术预研,对各种网络安全类型相关的开源项目(态势感知或安全运营中心-OSSIM、入侵检测防御技术-Snort/Security Onion、防火墙-PFSense/OPNSense、Web应用防火墙-ModSecurity/OpenResty、威胁情报技术-MISP/OpenCTI、漏洞扫描技术-OpenVAS/W3af、堡垒机技术-JumpServer、蜜罐技术-Tpot/Hfish)的研究,分析出落地到项目中的可行性、各类产品的差异性、自主研发时需要投入的各类资源等



    1. 预研技术描述


      1. 态势感知或安全运营中心-OSSIM
        1.  OSSIM简介

    OSSIM(OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alienvault公司开发,是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日志),满足在安全监控和日志存储方面的审计和合规需求。

        1.  OSSIM的功能 

    开源安全信息管理平台OSSIM解决了如下的问题: 1将nagios、Snort、OSSEC、Ntop、OpenVAS等开源软件无缝的结合在一起。2、OSSIM系统安装部署极为方便3、实现了多平台,多架构的的日志统一收集分析

    OSSIM定位于一个集成解决方案,其目标并不是要开发一个新的系统,而是利用丰富的,强大的各种程序,包括:

    常见的安全软件类的:

    入侵检测模块:

      Snort,Snare,OSSEC,等入侵检测系统

    扫描和渗透模块:

      Nessus:系统漏洞扫描和分析软件

      NMap:最早是Linux下的网络扫描和嗅探工具包。

      还用像P0f,Pads等。

    监控模块:

      Tcptrack(TCP会话实时监控)

      Nagios(主机及服务可用性监控)

      Ntop

    还有像Spade(异常检测引擎),OpenVAS(漏洞扫描),Arpwatch(MAC异常检测)等开源软件

      OSSIM虽然名字中含有SIM,其实它并不是一个SIM,因为它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估,报警与处理。

    它具有入侵检测,漏洞扫描,资产管理,安全监控,日志分析,流量分析等功能。

        1.  OSSIM的架构 

    uploading.4e448015.gif

    正在上传…重新上传取消

    第一层,数据采集层:使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后传入核心层。

    第二层,属于核心处理层,主要实现对各种数据的深入加工处理,包括运行监控、安全分析、风险评估、关联分析、资产管理、脆弱性管理、事件管理、报表管理等。

    第三层,属于数据展现层,主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、综合分析的统一展示,形式上以图形化方式展示给用户。

        1.  OSSIM各个模块之间的关系

      OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言,从软件层面上看OSSIM框架系统包括五大模块:Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块。

    看一下这几个模块的流程。

    ①Agent至Server:来自各个传感器的安全事件被对应Agent格式化后,以加密字符串传给Server。

    ②Server至Agent:发送有关请求命令(request command),以字符串方式向Agent传送,主要是要求Agent完成插件的启动停止及获取信息等。

    ③Server至Frameworkd:发送请求命令,要求Frameworkd针对Alarm采取相应操作,例如执行外部程序或发出Email来通知管理员。

    ④Frameworkd至Server:发送请求命令至Server。要求Server通知Agent对插件(Plugins)进行启动、停止等操作。

    ⑤Framework至Frameworkd:发送请求命令,要求Frameworkd启动OpenVas扫描进程。

    ⑥Frameworkd至Framework:传送OpenVas扫描结果在前端页面中显示。

    ⑦Database至Agent和Server:向Agent和Server提供数据。

    ⑧Server至Database:Server需要将Events、Alarms等数据存入数据库并建立索引或更新操作。

    ⑨Database至Frameworkd:在Frameworkd中的Openvas扫描和动作需要调用数据库里的数据。

    ⑩Frameworkd至Database:在Frameworkd执行过程中将Openvas扫描结果存入数据库。

    ⑾Database至Framework:前端页面显示需要调用数据库的告警事件。

    ⑿Framework至Database:用户参数设置信息需要存入数据库。

        1.  OSSIM关联引擎

    关联引擎(Server)是OSSIM安全集成管理系统的核心部分,它支持分布式运行,负责将Agents传送来的归一化安全事件进行关联分析,并对网络资产进行安全评估。工作流程如下:

    Ossim使用了两种关联引擎进行安全行为的关联分析,分别是基于事件序列的关联方法和启发式的关联方法。

    事件关联是将大量的安全事件过滤,压缩,归一化处理后,在提取最重要的的安全事件。

    有了好的事件处理机制,还要有好的关联方法,而且不止一种关联方法。从这个图可以看到,大量标准化处理的事件被送入关联引擎之后,它们会经历事件分类处理,聚合,交叉关联,启发关联等多种关联方法,系统会根据数据库中的安全事件进行统计分类,找出经常导致安全事件的发源地和经常被攻击的端口,在这些阶段都会产生事件告警。

     交叉关联:它是最常见的数据关联方式,是指事件与目标漏洞之间的关联。通过将入侵检测系统snort产生的告警信息与漏洞扫描工具nessus规则进行交叉关联。综合评估威胁程度的方法。可以将安全事件与网络拓扑、系统开放的服务、设备存在的漏洞进行关联匹配,以分析攻击成功的可能性。利用这种关联方法可以在OSSIM系统中关联规则检测到某些威胁,并实现自动响应(比如发出告警等)。

        1.  OSSIM部署

    采用分布式的方式:

    有一个服务器service将所有传感器传输过来的数据进行处理,进行展示。需要在每一个需要监视的部分放置sensor探针,进行数据的收集,以及归一化处理,将处理好的数据发送service。



      1. 入侵检测防御技术-Snort/Security Onion
        1.  Snort
          1.  Snort简介

    在1998年,Martin Roesch用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天,Snort已发展成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。Snort目前最新版本已更新至2.9.16。

    Snort有三种工作模式:嗅探器数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

          1.  Snort原理

    Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。

    Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。

          1.  Snort工作过程

    Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包,抓包时需将网卡设置为混杂模式,根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包;然后将捕获的数据包送到包解码器进行解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式。在这一过程包解码器将其解码成Snort认识的统一的格式;之后就将数据包送到预处理器进行处理,预处理包括能分片的数据包进行重新组装,处理一些明显的错误等问题。预处理的过程主要是通过插件来完成,比如Http预处理器完成对Http请求解码的规格化,Frag2事务处理器完成数据包的组装,Stream4预处理器用来使Snort状态化,端口扫描预处理器能检测端口扫描的能力等;对数据包进行了解码,过滤,预处理后,进入了Snort的最重要一环,进行规则的建立及根据规则进行检测。规则检测是Snort中最重要的部分,作用是检测数据包中是否包含有入侵行为。例如规则alert tcp any any ->202.12.1.0/24 80(msg:”misc large tcp packet”;dsize:>3000;)这条规则的意思是,当一个流入202.12.1.0这个网段的TCP包长度超过3000B时就发出警报。规则语法涉及到协议的类型、内容、长度、报头等各种要素。处理规则文件的时候,用三维链表来存规则信息以便和后面的数据包进行匹配,三维链表一旦构建好了,就通过某种方法查找三维链表并进行匹配和发生响应。规则检测的处理能力需要根据规则的数量,运行Snort机器的性能,网络负载等因素决定;最后一步就是输出模块,经过检测后的数据包需要以各种形式将结果进行输出,输出形式可以是输出到alert文件、其它日志文件、数据库UNIX域或Socket等。

          1.  Snort部署

    Snort的部署非常灵活,很多操作系统上都可以运行,可以运行在windows、linux等操作系统上。用户在操作系统平台选择上应考虑其安全性,稳定性,同时还要考虑与其它应用程序的协同工作的要求。如果入侵检测系统本身都不稳定容易受到攻击,就不能很好的去检测其它安全攻击漏洞了。在Linux与Windows操作系统相比较之下,Linux更加健壮,安全和稳定。Snort的运行,主要是通过各插件协同工作才使其功能强大,所以在部署时选择合适的数据库,Web服务器,图形处理程序软件及版本也非常重要。Snort部署时一般是由传感器层、服务器层、管理员控制台层三层结构组成。传感器层层就是一个网络数据包的嗅探器层,收集网络数据包交给服务器层进行处理,管理员控制台层则主要是显示检测分析结果。部署Snort时可根据企业网络规模的大小,采用三层结构分别部署或采用三层结构集成在一台机器上进行部署,也可采用服务器层与控制台集成的两层结构。

          1.  Snort不足

    Snort入侵检测系统适应多种平台,源代码开放,使用免费,受众多用户喜爱,但也有不少缺点。Snort之所以说他是轻量型就是说他的功能还不够完善,比如与其它产品产生联动等方面还有待改进;Snort由各功能插件协同工作,安装复杂,各软件插件有时会因版本等问题影响程序运行;Snort对所有流量的数据根据规则进行匹配,有时会产生很多合法程序的误报。

        1.  

          Security Onion
          1.  

            Security Onion简介

    Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书或者也可能是被动的,如事件响应和网络取证其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。

          1.  

            Security Onion核心组件

    Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下:

    • 完整数据包捕获;
    • 基于网络和主机的入侵检测系统(HIDS和NIDS);
    • 强大的分析工具

    完整数据包捕获通过netsniff-ng完成netsniff-ng能捕获到所有传感器看到的和存储的流量(安全Onion有一个内置机制可在磁盘满容量之前清除旧数据)。完整的数据包捕获就像摄像机,但更好,它不仅能告诉我们数据的流向还能知道他们携带的内容(Exp的Payload-通过系统漏洞进行攻击在目标系统下执行远程代码或命令钓鱼邮件和文件泄露等)。

    基于网络和基于主机的入侵检测系统分别分析网络流量和主机系统,并为检测的事件和活动提供日志和警报数据。Security Onion提供了多个IDS选项,包括NIDS及HIDS

    • NIDS

    对于基于网络流量的检测,主要提供了规则驱动及分析驱动两种驱动方式。

    规则驱动的NIDS:Security Onion提供了Snort(http://snort.org/)或Suricata(http://suricata-ids.org/)的选择。基于规则查看网络流量中是否存在于已知的恶意、异常或其他可疑流量相匹配的指纹和标识符。

    分析驱动的NIDS:对于分析驱动的网络入侵检测,Security Onion提供了网络安全监控的神器—Bro,也称为Bro IDS(http://bro-ids.org/)。与基于规则的IDS在数据中大海捞针不同。Bro会监控网络活动并记录所有连接、DNS请求、检测到的网络服务和软件、SSL证书以及HTTP、FTP、IRC SMTP、SSH、SSL和Syslog,它提供了一个真实的深度和可视性,可以显示网络上的数据和事件。此外,Bro包含许多常见协议的分析器,默认情况下,它能根据Team Cymru的恶意软件哈希注册表项目检查MD5文件下载的总和。除了日志记录和流量分析器之外,Bro框架还提供了一种可拓展的实时分析网络数据的方式。最近与REN-ISAC的CIF(集体智慧框架)(http://csirtgadgets.org/collective-intelligence-framework/)提供的网络活动与最新社区情报源的实时关联。以便用户在访问已知的恶意IP、域名或URL的时候,及时发出警报。输入框架允许您我们可以将数据提供给Bro,也可以编写脚本。文件分析框架提供了与协议无关的文件分析,允许我们在文件通过网络时进行捕获,并自动将文件传递给沙箱或使用文件共享进行防病毒扫描。Bro具有很强的灵活性。

    • HIDS

    对于基于主机的入侵检测,Security Onion为Windows,Linux和Mac OS提供了免费的开源HIDS方案—OSSEC(http://www.ossec.net/)。OSSEC可执行日志分析、文件完整性检查、策略监控、rookit检测,并实时报警和主动响应。我们可以将基于主机的事件和基于网络的事件关联起来,来识别是否有成功攻击的事件。

          1.  

            Security Onion分析工具

    通过完整数据包捕获,以及IDS日志和Bro数据,我们拥有了大量数据。Security Onion也集成了以下工具去理解分析这些数据。

    • Sguil(http://sguil.sourceforge.net/)是“网络安全监控分析人员的控制台”。提供对收集的事件数据和上下文的可视性做验证检测。Sguil提供了一个可以用于查看Snort、Suricata和OSSEC的警报、Bro HTTP事件和被动实时资产检测系统(PRADS)警报的单一GUI(使用tcl/tk编写)。更重要的是,Sguil允许我们直接将警报转换为数据包捕获(通过Wireshark或NetworkMiner)或触发警报的完整会话记录。因此,我们不必只看到与警报关联的单个数据包,而留下一些无法回答的问题,例如“现在做什么?”或“接下来发生了什么?”,我们可以查看所有关联的流量并实际回答这些问题。另外,Sguil允许分析人员查询捕获的所有数据包,而不仅仅是涉及警报的数据包,因此我们可以关联可能未触发任何警报但仍可能与恶意或不需要的活动相关联的流量。最后Sguil允许分析人员执行与警报相关的反向DNS和whois查询IP地址。Sguil是主要的Security Onion工具,可以为告警提供最多的环境。

    • Squert (http://www.squertproject.org/),是Sguil数据库的Web应用程序接口。虽然它既不是实时(或接近实时)的接口,也不是Sguil的替代品,但它允许查询Sguil数据库并为数据提供多种可视化选项,如时间序列表示、加权和逻辑分组结果集和IP地理位置映射。

    • ELSA企业日志搜索和存档( https://code.google.com/p/enterprise-log-search-and-archive/),是一个基于Syslog-NGMysql和Sphinx全文搜索的集中式syslog框架。它提供了一个完全异步的基于Web的查询页面,可以对日志进行规范化处理。并且可以像搜索网页一样方便快捷地为任意字符串搜索数十亿个字符串。它还包括用于分配查看日志的权限以及基于电子邮件的警报,预定查询和图表的工具。ELSA是一个强大的搜索工具,可以让您轻松梳理Security Onion收集到的大部分以及我们转发给它的任何其他系统日志源,使我们可以查看可发送给ELSA的任何相关系统日志数据

          1.  

            Security Onion部署方案

    Security Onion建立在分布式客户端-服务器模型上。Security
    Onion 的“sensor(传感器)”是客户端, “server”就是服务器。服务器和传感器组件可以在单个物理机器或虚拟机上运行,也可以将多个传感器分布在整个基础架构中,并配置为向指定服务器报告。分析人员从客户端工作站(通常是虚拟机安装)连接到服务器以执行查询和检索数据。

    以下是Security Onion的三种部署方案:

    独立部署:一个独立安装包括运行服务器和传感器组件和相关的处理都在单个物理或虚拟机的。独立安装可以有多个网络接口来监视不同的网段。独立安装是监控可从一个位置访问的网络的最简单和最方便的方法。

    服务器 - 传感器部署:服务器-传感器安装包括运行服务器组件的单台机器,其中一台或多台独立机器运行传感器组件并向服务器报告。传感器运行所有嗅探过程并存储关联的数据包捕获、IDS警报以及Sguil和ELSA的数据库。分析人员从一台单独的客户端机器连接到服务器,并将发送到服务器的所有查询分发到相应的传感器,并将请求的信息返回给客户端。该模型通过将大量收集的数据保留在传感器上,直到分析人员的客户请求为止,从而减少网络流量。服务器和传感器之间的所有流量都被加密,客户端和服务器之间的所有流量都被加密。

    混合部署:混合安装由独立安装组成,该独立安装还具有一个或多个独立传感器,可向独立计算机的服务器组件报告。

    Snort:200~300Mbps时开始丢包,500Mbps时无法工作(不推荐使用该引擎)

    Suricata:能承受的流量比snort高,结合PFring可以承受很高的流量。

    • 部署要点

    一般情况下,Security Onion的功能非常多。同时开启多个功能会非常消耗性能。部署的地点是首先要明确你要保护什么,想要获得什么情报。推荐的部署地点是出口线路、机密服务器到普通网络之间的线路。

    • 规则配置

    Suricata可以使用ET和GPL等检测规则。但是后期需要信息安全工程师进行持续优化以及自定义。规则可以简单分为官方规则和自定义规则。官方规则是由一些专业的安全人员写出来的。一般如果不是对安全原理研究得特别深的情况下,不用去动他。自定义规则可以在官方规则基础上根据自己的需要进行修改。

          1.  Security Onion总结

    通过对Security Onion的研究,我们拥有完整的数据包捕获、Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测和OSSEC基于主机的入侵检测,一旦运行Security Onion安装程序,所有这些都会立即启动。这些具有各种依赖性和复杂性的不同系统可以无缝地运行在一起,否则需要数小时,数天或数周来自行组装和集成。曾经看似不可能完成的任务现在与Windows系统一样容易安装。

    虽然Security Onion的安全配置比较简单,网上也有大量的资料。但是由于Security Onion集成了很多IDS组件,部分我们也用不到,都开启的话会非常消耗性能。建议还是应该根据自身的需求,选择更适合自身的某个方案,做深入的研究。例如Nids可以选择Snort、Suricata、Bro其中的一种,HIDS可以选择Ossec。



      1. 防火墙-PFSense/OPNSense
        1.  PFSense
          1.  PFSense简介

    PFSense是一个基于FreeBSD架构的软件防火墙,通常会被安装在多网卡的主板上作为路由器或者防火墙去使用。往往这些硬件都比较廉价,PFSense具有商业防火墙的大部分功能,管理上非常简单,可以支持通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。PFSense部署在企业边缘网络上一般可以抵挡500Mbps的互联网流量。

          1.  PFSense核心功能

    PFSense防火墙具有防火墙的基本状态监测包过滤功能,同时还支持NAT模式部署、流量管理、流量监控、上网行为管理、双机热备、负载均衡、VPN等重要功能。在管理维护方面支持相关性能的查看和报告生成功能,同时还可以被网络管理平台通过SNMP进行集中管理。在开源防火墙市场中,PFSense占有领先的地位。因PFSense安装及使用功能较多,如需更详细的了解请参考:
    目录 | 鐵血男兒的BLOG

        1.  OPNSense
          1.  OPNSense简介

    OPNsense是一款基于FreeBSD 10的年轻防火墙操作系统,它开始作为PFSense的一个分支,几乎所有的代码都被重写了,只保留了一小部分仍然与PFSense共享,并解决了许多PFSense的内核问题。但它的核心功能与PFSense没有很大的区别。

          1.  OPNSense与PFSense的功能差异

    特征

    OPNsense®

    PFSense®

    防火墙

    状态检查

    状态检查

    基于Web的图形界面

    基于Phalcon PHP框架的Bootstrap

    *从2.3迁移到Bootstrap

    安装安装向导

    可配置仪表板

    IPv4和IPv6支持

    无线接入点

    无线客户端支持

    设置和筛选/隔离多个

    -

    接口(LAN)DMZ等)

    流量管理

    状态表控件

    NAT

    冗余/高可用性

    多WAN支持

    服务器入站负载平衡

    是(虚拟服务器设置)

    网络诊断工具

    [ping]

    [跟踪路由]

    [通过GUI进行端口测试]

    更多与包]如nmap

    V-P-N

    [IPsec(包括第2阶段NAT)]

    [Openv-p-n]

    [L2TP]

    是(tramite插件)

    是(tramite插件)

    [PPPoE的]

    是(tramite插件)

    是(tramite插件)

    [PPTP]

    有(不认为安全)

    无(因不确定而被删除)

    RRD图

    否(系统健康)

    实时接口流量图

    动态DNS

    入网门户

    DHCP服务器和中继(IPv4和IPv6)

    命令行shell访问

    局域网唤醒

    内置数据包捕获/嗅探器

    备份和恢复fw配置

    通过Web GUI编辑文件

    虚拟接口:

    [VLAN]

    [LAGG / LACP]

    是/是

    是/是

    [GIF]

    [GRE]

    [PPPoE / PPTP / L2TP / PPP WAN]

    是/是/是/是

    是/是/是/是

    [QinQ]和网桥]

    缓存DNS转发器/解析器

    可以运行在许多虚拟化环境中。

    代理服务器

    使用插件

    IPS

    是(基于Suricata:已包括在内)

    SNORT(EXTRA PACKAGE)

    IDS

    是(基于Suricata:已包括在内)

    SNORT(EXTRA PACKAGE)

    安全更新

    每周

    不定期发布修补版本

          1.  OPNSense与PFSense的性能差异

    为了有另一个比较,通过文件传输测试一些系统性能,选择在两个防火墙入口级别后面连接的两台主机之间进行文件传输测试。测试结果表明,从Host1到Host2的流量通过不同连接方式(OpenV-P-N、通过v-p-n IPSec通过直接路由)连接两个防火墙系统,在这两个防火墙系统为所有测试注册了几乎相同的性能。测试过程中记录了以Mbps报告的表达值:

    吞吐量

    OPNsense®

    PFSense®

    文件传输OpenV-P-N

    40-42 Mbps

    40-42 Mbps

    文件传输直接(路由)

    150-330Mbps

    150-330Mbps

    文件传输V-P-N IPSec

    150Mbps

    150Mbps

          1.  OPNSense与PFSense的对比结果

    在网络上通过阅读这两个项目的优点和缺点,两者之间的竞争对于项目和用户都是有利的无论选择何种方式,都会是一个好产品。除了已经描述的微小差异之外,防火墙现在非常相似,系统性能几乎是相同的,都是从同一个操作系统派生的。在硬件兼容性方面,我们没有注意到特别的差异以及特性90%是相同的。从图形上看,OPNSense比PFSense更好,菜单更加直观。但从经验及优秀社区来看PFSense拥有更好的声誉,最终到底如何选择,需对两者做深入研究及更深入的测试再做结论。



      1. Web应用防火墙或WAF-ModSecurity+OpenResty
        1.  

          ModSecurity
          1.  

            ModSecurity简介

    ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx。作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录,同时也是nginx官方推荐的WAF

          1.  

            ModSecurity核心功能
    • SQL Injection (SQLi):阻止SQL注入
    • Cross Site Scripting (XSS):阻止跨站脚本攻击
    • Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
    • Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
    • Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
    • PHP Code Injectiod:阻止PHP代码注入
    • HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
    • HTTPoxy:阻止利用远程代理感染漏洞进行攻击
    • Shellshock:阻止利用Shellshock漏洞进行攻击
    • Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
    • Scanner Detection:阻止黑客扫描网站
    • Metadata/Error Leakages:阻止源代码/错误信息泄露
    • Project Honey Pot Blacklist:蜜罐项目黑名单
    • GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断


          1.  ModSecurity核心规则集(CRS)

    ModSecurity CRS项目的目标是提供一个容易的“可插入”组通用攻击检测规则提供一个基本水平的保护任何web应用程序。

        ModSecurity CRS提供保护如果以下攻击/威胁类别:

    • HTTP协议保护
    • 实时黑名单查询
    • HTTP拒绝服务的保护
    • 通用网络攻击防护
    • 错误检测和隐藏
          1.  

            ModSecurity劣势

    不支持检查响应体的规则,如果配置中包含这些规则,则会被忽略,nginx的的sub_filter指令可以用来检查状语从句重写响应数据,OWASP中相关规则是95X(https://f2ex.cn/modsecurity-crs-3-list/)。不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制,不支持在审计日志中包含请求和响应主体(v3.0.3以下不支持)。

          1.  

            OpenResty简介

    OpenResty是一个通过Lua扩展Nginx实现的可伸缩的Web平台,内部集成了大量精良的Lua库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态Web应用、Web服务和动态网关。功能和nginx类似,就是由于支持lua动态脚本,所以更加灵活,可以实现鉴权、限流、分流、日志记录、灰度发布等功能。OpenResty通过Lua脚本扩展nginx功能,可提供负载均衡、请求路由、安全认证、服务鉴权、流量控制与日志监控等服务。

        1.  

          OpenResty
          1.  

            OpenResty应用场景
    • Web服务器

    进行一些业务逻辑处理,甚至进行耗CPU的模板渲染,一般流程:mysql/redis/http获取数据、业务处理、产生JSON/XML/模板渲染内容,比如京东的列表页/商品详情页。

    • Web防火墙

    可以进行IP/URL/UserAgent/Referer黑名单、限流等功能。

    • 接入网关 

    实现如数据校验前置、缓存前置、数据过滤、API请求聚合、认证管理、负载均衡、流量控制、灰度发布、降级、监控等功能。

          1.  

            OpenResty功能
    • 鉴权:基于接入应用进行授权验证
    • 安全防护:只有授权的应用才能访问对应的api,ip黑名单机制。 扩展:可根据设备id,地理位置,敏感数据二次检验等
    • 限流:防止外界系统对当前系统的过渡调用,导致服务超载,影响核心业务的使用
    • 动态配置更新:运行时变更API、分组、组件等配置,自动同步、及时生效
    • 服务路由(rewrite):识别请求参数和路径转发上游API服务
    • 高可用:支持集群化,避免单点故障
    • 高性能:网关无状态,支持横向扩展,运行时弱依赖持久层,最大化提升网关整体性能
    • 熔断(待定):后端服务出现调用超时或者异常,系统自动熔断该服务
    • 健康检查(待定):针对已经被熔断的服务api,动态检测健康状态,若健康则修复已被熔断的api
    • 灰度发布:产品支持让指定部分客户端应用使用新版本API,其他应用继续使用以前的API,当新版本的API逐渐稳定后,所有用户能平滑过渡到新版本的API。使用灰度发布能够及早获得用户的意见反馈,完善产品功能,提升产品质量。让用户参与产品测试,加强与用户互动,降低产品升级所影响的用户范围
    • 缓存:缓存api后端服务返回的数据,降低后端服务的压力
    • 分布式缓存:当系统api缓存量大时  可使用redis等集群提高系统响应
    • 日志记录:以指定的维度存入日志系统,方便自定义审计和统计
    • 超时控制:通过API配置访问超时时间,超时后立即返回,避免工作线程长时间等等
    • 服务编排:将多个后端服务聚合成一个API暴露,减小客户端开发复杂度,快速生产新的API
    • 管理中心:API网关后台管理中心简洁明了,方便API网关管理员对API进行管理,数据面板方便了解系统运行情况
    • 监控中心:监控中心对API运行情况一目了然,通过分析API异常告警辅助系统运维


        1. ModSecurity+OpenResty+WASP CRS=OpenWAF

    OpenWAF是基于openresty的Web应用防护系统(WAF),他基于nginx_lua API分析HTTP请求信息。OpenWAF由行为分析引擎和规则引擎两大功能引擎构成。其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。

    规则引擎的启发来自modsecurityfreewaf(lua-resty-waf),将ModSecurity的规则机制用lua实现。基于规则引擎可以进行协议规范,自动工具,注入攻击,跨站攻击,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。

    行为分析引擎包含基于频率的模糊识别,防恶意爬虫,人机识别等防探测模块,防CSRF,防CC,防提权,文件上传防护等防攻击模块,cookie防篡改,防盗链,自定义响应头,攻击响应页面等防信息泄露模块。

    除了两大引擎之外,还包含统计,日志,攻击响应页面,接入规则等基础模块。除了已有的功能模块,OpenWAF还支持动态修改配置, 动态添加第三方模块,使得在不重启引擎中断业务的条件下,升级防护。

    OpenWAF:https://gitee.com/liaoshaojun/OpenWAF#chinese-mailing-list



      1. 威胁情报技术-MISP/OpenCTI
        1.  

          MISP
          1.  

            MISP简介

    MISP开源威胁情报和共享平台(https://github.com/MISP/MISP)是一个开源软件解决方案,用于收集、存储、分发和共享网络安全指标网络安全事件分析恶意软件分析的威胁。MISP由事件分析人员、安全和ICT专业人员或恶意软件逆向人员设计,用于支持他们的日常操作,以有效地共享结构化信息。

    MISP的目标是促进安全社区内外的结构化信息共享MISP提供了支持信息交换的功能,还支持网络入侵检测系统(NIDS)、LIDS和日志分析工具消耗这些信息。

          1.  

            MISP核心功能

    (1)一个有效的IOC和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。

    (2)从恶意软件、攻击活动或分析中自动找到属性和指标之间的关系。关联引擎包括属性之间的关联和更高级的关联,如模糊哈希关联(如ssdeep)或CIDR块匹配。每个属性还可以启用或禁用关联。

    (3)一个灵活的数据模型,其中复杂的对象可以表达和连接在一起,以表达威胁情报,事件或连接的元素。

    (4)内置的共享功能,以方便使用不同模型的分布数据共享。MISP可以自动同步不同MISP实例之间的事件和属性。高级过滤功能可用于满足每个组织的共享策略,包括灵活的共享组容量和属性级分发机制。

    (5)一个直观的用户界面,供最终用户创建、更新和协作的事件和属性/指标。一个图形界面,可以在事件及其相关性之间无缝导航。事件图功能,用于创建和查看对象和属性之间的关系。高级过滤功能和警告列表,以帮助分析人员贡献事件和属性,并限制误报的风险。

    (6)以结构化格式存储数据(允许出于各种目的自动使用数据库),并广泛支持网络安全指标以及金融领域的欺诈指标。

    (7)导出:生成IDS、OpenIOC、纯文本、CSV、MISP XML或JSON输出,以便与其他系统(网络IDS、主机IDS、自定义工具)、缓存格式(用于取证工具)、STIX (XML和JSON) 1和2、NIDS导出(Suricata、Snort和Bro/Zeek)或RPZ区域集成。可以通过misp模块轻松添加许多其他格式。

    (8)导入:大批量导入、批量导入、从OpenIOC、GFI沙箱、ThreatConnect CSV、MISP标准格式或STIX 1.1/2.0导入。许多其他格式很容易通过misp模块添加。

    (9)灵活的免费文本导入工具,以方便将非结构化的报告集成到MISP中。

    (10)一个温和的系统在事件和属性上进行协作,允许MISP用户对属性/指标提出更改或更新。

    (11)数据共享:使用MISP与其他方和信任组自动交换和同步。

    (12)灵活的API集成MISP与您自己的解决方案。MISP与PyMISP捆绑在一起,PyMISP是一个灵活的Python库,用于获取、添加或更新事件属性、处理恶意软件样本或搜索属性。一个详尽的restSearch API,可以方便地搜索MISP中的指示器,并将它们导出为MISP支持的所有格式。

    (13)可调整的分类法,根据您自己的分类方案或现有的分类对事件进行分类和标记。分类法可以是MISP本地的,也可以在MISP实例之间共享。

    (14)与现有的威胁角色、恶意软件、RAT、勒索软件或MITRE ATT&CK捆绑在一起的叫做MISP galaxy的情报词汇表。

    (15)Python中的扩展模块,使用自己的服务扩展MISP或激活已经可用的MISP模块。

    16)MISP中的实时发布-订阅通道,自动获取ZMQ(例如,MISP -dashboard)或Kafka发布中的所有更改(例如,新事件、指示器、视图或标记)。

    17)交换信息可以更快地检测出目标攻击,提高检测率,同时减少误报。我们也避免逆向类似的恶意软件,因为我们很快就知道其他团队或组织已经分析了特定的恶意软件。

        1.  

          OpenCTI
          1.  

            OpenCTI简介

    OpenCTI (https://www.opencti.io/en/)即 Open Cyber Threat Intelligence Platform,开放网络威胁情报平台。它的创建是为了构建、存储、组织和可视化有关网络威胁的技术和非技术信息。

    它使用基于 STIX2 标准的知识模式来执行数据的结构化。并被设计为现代 Web 应用程序,包括 GraphQL API 和面向 UX 的前端。此外,OpenCTI 可以与其他工具和应用程序集成,如 MISP、TheHive、MITRE ATT 和 CK 等。

    OpenCTI 平台的首要目的是为强大的知识管理数据库提供一个强制架构,专为网络威胁情报和网络运营量身定做通过多种工具和查看功能,分析师可以通过在实体和关系之间的平台上旋转来探索整个数据集。关系具有拥有多个上下文属性的可能性,因此很容易为给定实体提供多个级别的上下文。

    • 数据可视化

    OpenCTI 使分析师能够轻松地可视化任何实体及其关系。提供多种视图以及基于动态小部件的分析系统。例如,用户能够比较两种不同入侵的相关信息。将来,OpenCTI 路线图包括开发完整的调查能力,使分析师能够通过在统一空间中转向实体来探索整个知识图。

    • 可观察和指标上下文

    OpenCTI目标是创建一个综合工具,允许用户利用技术(如 TTP 和可观察到的)和非技术信息(如建议的归因、受害情况等),同时将每条信息链接到其主要来源(报告、MISP 事件等)。所有指标都与威胁有关,所有信息都与分析人员充分了解情况、观察者对威胁、信息来源和恶意行为评分的作用有关。



      1. 漏洞扫描技术-OpenVAS/W3af
        1.  

          OpenVAS
          1.  

            OpenVAS简介

    OpenVAS(https://www.openvas.org/)是类似Nessus的综合型漏洞扫描器,可以用来识别远程主机、Web应用存在的各种漏洞。Nessus曾经是业内开源漏洞扫描工具的标准,在Nessus商业化不再开放源代码后,在它的原始项自中分支出openVAS开源项目。经过多年的发展,openVAS已成为当前最好用的开源漏洞扫描工具,功能非常强大,甚至可以与一些商业的漏洞扫描工具媲美。OpenVAS使用NVT(Network Vulnerabilty Test网络漏洞测试)脚本对多种远程系统(包括Windows、Linux、UNix以及Web应用程序等)的安全问题进行检测。现基于B/S架构进行工作,执行扫描并提供扫描结果。

          1.  

            OpenVAS组件

    • 服务器层组件:

    openvas-scanner(扫描器):负责调用各种漏洞检测插件,完成实际的扫描操作。

    openvas-manager(管理器):负责分配扫描任务,并根据扫描结果生产评估报告。

    openvas-administrator(管理者):负责管理配置信息,用户授权等相关工作。

    • 客户层组件:

    openvas-cli(命令行接口):负责提供从命令行访问OpenVAS服务层程序。

    greenbone-security-assistant(安装助手):负责提供访问OpenVAS服务层的Web接口,便于通过浏览器来建立扫描任务,是使用最简便的客户层组件。

    Greenbone-Desktop-Suite(桌面套件):负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。

          1.  

            OpenVAS基本应用

    新建任务,Scans->Tasks:

    点击上图圈红图标->New Task或者快速开始,点击魔法棒图标->Task Wizard,输入扫描主机主机名或ip即可:

    服务器和网关也同样进行扫描:

    等到扫描任务完成后,即可导出报告:

    漏洞报告列表:

     选择上图下载按钮,下载XML、CSV等格式的报告。报告中包含ip、主机名、端口号、漏洞等级、CVE编号、探测方法、影响、解决办法等。

        1.  

          W3af
          1.  

            W3af简介

    w3af(http://w3af.org/)(Web Application Attack and Audit Framework)是一个Web应用程序攻击和审计框架。它的目标是创建一个易于使用和扩展、能够发现和利用Web应用程序漏洞的主体框架。w3af的核心代码和插件完全由Python编写。项目包含多种类型的插件,这些插件可以检测SQL注入、跨站脚本、本地和远程文件包含等漏洞。

          1.  W3af插件

    核心模块负责进程的调度和插件的使用,插件部分负责查找并攻击Web安全漏洞。常用的插件包含:发现模块(discovery)、审计模块(audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)、修改模块(mangle)、入侵模块(evasion)、破解模块(bruteforce)

    • 发现模块:查找HTTP信息,并探测服务器、数据库、Web应用防火墙等,最重要的插件是webSpider。
    • 审计模块:用来探测漏洞的模块,如SQLi、XSS等
    • 搜索模块:用来捕获HTTP请求与应答过程中的一些关注信息(IP、Email、信用卡信息、个人信息等)。
    • 攻击模块:读取前面扫描所获取的扫描信息,通过该类模块中的各种插件来攻击安全漏洞。
          1.  W3af基本应用

    安装成功后进入图形界面,点击full_audit这一步是为了配置扫描模式:

    选择导出报告的文件类型:

    在Target里面输入你想要测试的网站:

    扫描完之后就可以进入到w3af的目录里面去查看导出的报告。



      1. 堡垒机技术-JumpServer
        1.  

          JumpServer简介

    JumpServer(https://www.jumpserver.org/index.html) 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。 JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。

        1.  

          JumpServer核心功能

    身份认证
    Authentication

    登录认证

    资源统一登录与认证

    LDAP/AD 认证

    RADIUS 认证

    OpenID 认证(实现单点登录)

    CAS 认证 (实现单点登录)

    钉钉认证 (扫码登录)

    企业微信认证 (扫码登录)

    MFA认证

    MFA 二次认证(Google Authenticator)

    RADIUS 二次认证

    登录复核

    用户登录行为受管理员的监管与控制

    登录限制

    用户登录来源 IP 受管理员控制(支持黑/白名单)

    账号管理
    Account

    集中账号

    管理用户管理

    系统用户管理

    统一密码

    资产密码托管

    自动生成密码

    自动推送密码

    密码过期设置

    批量改密

    定期批量改密

    多种密码策略

    多云纳管

    对私有云、公有云资产自动统一纳管

    收集用户

    自定义任务定期收集主机用户

    密码匣子

    统一对资产主机的用户密码进行查看、更新、测试操作

    授权控制
    Authorization

    多维授权

    对用户、用户组、资产、资产节点、应用以及系统用户进行授权

    资产授权

    资产以树状结构进行展示

    资产和节点均可灵活授权

    节点内资产自动继承授权

    子节点自动继承父节点授权

    应用授权

    实现更细粒度的应用级授权

    MySQL 数据库应用、RemoteApp 远程应用

    动作授权

    实现对授权资产的文件上传、下载以及连接动作的控制

    时间授权

    实现对授权资源使用时间段的限制

    特权指令

    实现对特权指令的使用(支持黑白名单)

    命令过滤

    实现对授权系统用户所执行的命令进行控制

    文件传输

    SFTP 文件上传/下载

    文件管理

    实现 Web SFTP 文件管理

    工单管理

    支持对用户登录请求行为进行控制

    访问控制

    登录资产复核(通过 SSH/Telnet 协议登录资产)

    命令执行复核

    组织管理

    实现多租户管理与权限隔离

    安全审计
    Audit

    操作审计

    用户操作行为审计

    会话审计

    在线会话内容监控

    在线会话内容审计

    历史会话内容审计

    录像审计

    支持对 Linux、Windows 等资产操作的录像进行回放审计

    支持对 RemoteApp、MySQL 等应用操作的录像进行回放审计

    指令审计

    支持对资产和应用等操作的命令进行审计

    文件传输

    可对文件的上传、下载记录进行审计

    数据库审计
    Database

    连接方式

    命令方式

    Web UI方式

    支持的数据库

    MySQL

    Oracle

    MariaDB

    PostgreSQL

    功能亮点

    语法高亮

    SQL格式化

    支持快捷键

    支持选中执行

    SQL历史查询

    支持页面创建 DB, TABLE

    会话审计

    命令记录

    录像回放



      1. 蜜罐技术-T-Pot/HFish
        1.  

          T-Pot
          1.  

            T-Pot简介
    1. Pot 蜜罐(https://github.security.telekom.com/)是德国电信下的一个社区蜜罐项目,是一个基于 Docker 容器的集成了众多针对不同应用蜜罐程序的系统,目前发行的最高版本是 2020 年 6 月 30 发布的 T-Pot 20.06,根据官方的介绍,每年都会发布一个新的版本。我们可以在同一台设备上运行多个蜜罐进程,每个蜜罐占用的空间较小并限制在蜜罐自己的环境中运行。

    上图就是T-Pot的组成部分,T-Pot 可以理解成是这么多系统的一个整合。

          1.  

            T-Pot组件
    • adbhoney:为TCP/IP上的安卓调试桥而设计的低交互蜜罐,该项目的目的是提供一个低交互蜜罐,旨在捕捉攻击者正在攻击端口5555的受害者;
    • ciscoasa:提供的一个低交互作用的蜜罐,能够检测到CVE-2018-0101,一个DoS和远程代码执行漏洞;
    • conpot:Conpot 是一个低交互式的工业控制系统的蜜罐,内置了一系列常见的工业控制协议,并且易于修改和拓展,尽其所能的欺骗攻击者,以获得攻击者的最终目的;

    项目地址:Conpot

    监听端口:1025 50100

    • cowrie:基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件;

    项目地址:http://www.micheloosterhof.com/cowrie/

    监听端口:2222 2223

    • dionaea:Dionaea 是一系列基于 Python 语言开发、libemu 作为 Shellcode 分析的蜜罐系统,支持多种不同协议(blackhole、epmap、ftp、http、memcache、mirror、mqtt、mssql、mysql、pptp、sip、smb、tftp、upnp),运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理,如果有 shellcode 则进行仿真执行;程序会自动下载 shellcode 中指定或后续攻击命令指定下载的恶意文件;

    项目地址:GitHub - DinoTools/dionaea: Home of the dionaea honeypot

    监听端口:21 42 69/udp 8081 135 443 445 1433 1723 1883 1900/udp 3306 5060/udp 5061/udp

    • elasticpot:模拟elastcisearch RCE漏洞的蜜罐,通过伪造函数在/,/search, /nodes的请求上回应脆弱ES实例的JSON格式消息;

    项目地址:GitHub - schmalle/ElasticpotPY: Elasticsearch honeypot written in Python with Bottle framework

    监听端口:9200

    • elk-stack:ELK架构,可以同时实现日志收集、日志搜索和日志分析的功能;
    • ewsposter:数据分析工具ewsposter,将蜜罐数据进行关联。
    • glastopf:低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具,通过对漏洞利用方式进行归类,针对某一类的利用方式返回对应的合理结果,以此实现低交互。
    • honeytrap:观察针对TCP或UDP服务的攻击,作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令。
    • eMobility:eMobility 是一个高交互式的蜜罐,针对的是下一代的交通基础设施(充电桩系统),用于收集攻击者的动机和方法,系统主要包括中央充电系统、充电点以及模拟的用户交易。

    项目地址:https://github.com/dtag-dev-sec/emobility

    监听端口:8080

    • Glastopf:Glastopf 是一个 Python 语言开发的 Web 蜜罐,能提供各种基于漏洞类型的模拟。

    项目地址:https://github.com/mushorg/glastopf

    监听端口:80

    • HoneyTrap:HoneyTrap 是一个低交互式的蜜罐,通过监听 NFQUEUE 用户态数据包,相当与就监听了所有其他未监听的端口,主要功能用于观察攻击者的行为,同时也可以解析攻击的字符串,并且进行相应的下载保存。

    项目地址:GitHub - armedpot/honeytrap: Last download from git://git.carnivore.it/honeytrap.git of Honytrap by Tillmann Werner

    监听端口:NFQUEUE

    • Rdpy:Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,同时也提供 RDP 的蜜罐,用于记录 RDP 的过程。

    项目地址:https://github.com/citronneur/rdpy

    监听端口:3389

    • vnclowpot:是一个低交互式的 VNC 蜜罐,主要用于记录 VNC 的认证过。

    项目地址:GitHub - magisterquis/vnclowpot: Low-interaction VNC honeypot with a static challenge.

    监听端口:5900

    项目地址:https://github.com/awhitehatter/mailoney

    监听端口:25

    项目地址:GitHub - OISF/suricata: Suricata git repository maintained by the OISF

    •  p0f:p0f 利用一系列复杂的流量指纹识别,被动的来识别 TCP/IP 通信的对方信息,例如可以识别出对方的系统、在线时间等。

    项目地址:p0f v3

    • vnclowpot:vnc服务的低交互蜜罐。
    • Wetty:web端的SSH控制台。
    • Elastic-Search:Elastic Search 一个性能十分强大的全文搜索引擎,他可以快速的进行海量数据的查询,在 T-Pot 的实际应用中,各个蜜罐所产生的日志都会导入到 Elastic Search 中,因此可以使用 Elastic Search 来进行检索,同时也可以使用他对数据进行各种复杂条件的查询和导出等。

    项目地址:Elasticsearch: The Official Distributed Search & Analytics Engine | Elastic

    监听端口:64298(本地,可以通过 64297 端口的 web 服务使用)

    • Logstash:Logstash 用于接收从蜜罐传递过来的日志,然后对数据进行过滤和格式化后交由 Elastic Search 进行存储和建立索引。

    项目地址:Logstash: Collect, Parse, Transform Logs | Elastic

    • Kibana:Kibana 用于对进行数据的可视化查询,支持以柱状图、线状图、饼图、旭日图等等输出各种图形,也能通过时间序列对蜜罐日志某个特征的趋势进行分析。

    项目地址:Kibana: Explore, Visualize, Discover Data | Elastic

    监听端口:64296(本地,可以通过 64297 端口的 web 服务使用)

        1.  

          HFish
          1.  

            HFish简介

    HFish (https://hfish.io)是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录攻击手段,实现防护自主化。不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet等,同时提供 了API 接口,使用者可以随意扩展蜜罐模块 ( WEB、PC、APP ),Hfile使用 Golang + SQLite 开发,使用者可以在 Win + Mac + Linux 上快速部署一套蜜罐平台,当前官网最新版本是v2.5.0。

          1.  

            HFish原理

    HFish由管理端(server)和节点端(client)组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。

          1.  

            HFish特点
    • 安全可靠:主打低中交互蜜罐,简单有效;
    • 蜜罐丰富:支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务,支持用户制作自定义Web蜜罐;
    • 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出;
    • 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
    • 跨平台:支持Linux x32/x64/ARM、Windows x32/x64平台;
          1.  

            HFish功能

    HFile主要包含攻击信息的查看、扫描感知、攻击来源信息的查看、账号资产被攻击信息、情报系统的对接、蜜罐服务的添加、节点的管理等功能

    攻击列表

    扫描感知



    1. 预研技术对比

    名称

    优点

    缺点

    入侵检测防御技术

    Snort

    数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合

    功能插件协同工作,安装复杂,各软件插件有时会因版本等问题影响程序运行;Snort对所有流量的数据根据规则进行匹配,有时会产生很多合法程序的误报

    Security Onion

    功能较为强大,有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测和OSSEC基于主机的入侵检测。

    由一系列开源组件组合而成,部署较为复杂,学习较为困难

    防火墙

    PFSense

    支持NAT模式部署、流量管理、流量监控、上网行为管理、双机热备、负载均衡、VPN等重要功能,但从经验及优秀社区来看PFSense拥有更好的声誉

    待深入研究

    OPNSense

    与PFSense有着相同的功能,都是从同一个操作系统派生的,菜单更加直观

    待深入研究

    WEB防火墙

    ModSecurity

    通过CRS核心规则集的配置可以有效的阻止常用的WEB攻击

    待深入研究

    OpenResty

    实现如数据校验前置、缓存前置、数据过滤、API请求聚合、认证管理、负载均衡、流量控制、灰度发布、降级、监控等功能

    待深入研究

    威胁情报技术

    MISP

    OpenCTI

    漏洞扫描技术

    OpenVAS

    基于WEB与主机的漏洞扫描服务,技术十分成熟,可以与市面的一些商业的漏扫工具相媲美

    待深入研究

    W3af

    客户端扫描工具,集成了一些常用的扫描模块为WEB服务提供漏洞扫描

    待深入研究

    蜜罐技术

    T-Pot

    HFish



    1. 预研技术预计投入资源



    1. 总结

    通过本次预研,对相关各类开源安全产品的功能、原理、特点有了初步的掌握及了解,如需更深入的了解各个产品的功能,还需进一步更深入的进行研究。在开源产品的选型上,安全运营产品可选择OSSIM进行深入研究;入侵检测防御技术可选择Security Onion进行深入研究;防火墙技术可选择OPNSense进行深入研究;WEB应用防火墙可选择OpenWAF进行深入研究;威胁情报技术可选择OPENCTI进行深入研究;漏洞扫描数据可选择OpenVAS进行深入研究;堡垒机技术可选择JumpServer进行深入研究;WEB应用蜜罐技术可选择HFish进入深入研究,其他应用蜜罐技术可选择T-Pot进行深入研究。

    展开全文
    sx0522 2021-11-10 10:05:53
  • 全球及中国网络安全行业项目投资调研及十四五前景展望分析报告2021-2027 【修订日期】:2021年10月 【搜索鸿晟信合研究院查看官网更多内容!】 第一章 网络安全基本概述 1.1 网络安全概念界定 1.1.1 网络安全定义...

    全球及中国网络安全行业项目投资调研及十四五前景展望分析报告2021-2027
    【修订日期】:2021年10月
    【搜索鸿晟信合研究院查看官网更多内容!】 
    第一章 网络安全基本概述
     1.1 网络安全概念界定
     1.1.1 网络安全定义
     1.1.2 网络安全特征
     1.1.3 网络安全模型
     1.2 网络安全体系结构
     1.2.1 安全服务
     1.2.2 安全机制
     1.2.3 安全管理
     1.3 网络安全产品介绍
     1.3.1 网络安全产品分类
     1.3.2 网络安全产品特点
     1.3.3 网络安全产品定价
     第二章 2021-2021年全球网络安全行业发展分析
     2.1 2021-2021年全球网络安全产业发展分析
     2.1.1 网络安全状况
     2.1.2 产业规模分析
     2.1.3 产业结构分析
     2.1.4 产品市场格局
     2.1.5 产业区域分布
     2.1.6 安全支出预测
     2.1.7 产业发展趋势
     2.2 2021-2021年全球网络安全产业技术投入分析
     2.2.1 强化网络安全威慑能力
     2.2.2 网络数据跨境流动投入
     2.2.3 网络安全人才培养投入
     2.2.4 强化网络安全资金支持
     2.3 美国网络安全产业发展状况
     2.3.1 政策环境分析
     2.3.2 人才培养战略
     2.3.3 网络安全预算
     2.3.4 经验借鉴分析
     2.4 澳大利亚网络安全产业发展分析
     2.4.1 政策环境分析
     2.4.2 网络安全现状
     2.4.3 资金投入分析
     2.4.4 产业发展规划
     2.5 其他国家网络安全产业的发展
     2.5.1 欧盟
     2.5.2 英国
     2.5.3 新加坡
     2.5.4 以色列
     2.5.5 越南
     第三章 2021-2021年中国网络安全行业发展环境分析
     3.1 政策环境
     3.1.1 政策发展回顾
     3.1.2 重点政策汇总
     3.1.3 相关政策解读
     3.1.4 相关行业标准
     3.1.5 等级保护制度
     3.1.6 数据安全法颁布
     3.1.7 网络安全审查办法
     3.1.8 网络安全漏洞管理
     3.1.9 网络安全发展规划
     3.2 经济环境
     3.2.1 全球经济运行情况
     3.2.2 中国宏观经济概况
     3.2.3 中国对外经济分析
     3.2.4 中国工业运行情况
     3.2.5 经济转型升级态势
     3.2.6 国内宏观经济展望
     3.3 互联网环境
     3.3.1 互联网接入环境分析
     3.3.2 网民规模及结构状况
     3.3.3 互联网应用发展情况
     3.3.4 移动互联网接入流量
     3.4 新兴技术应用在网络安全领域的特点
     3.4.1 人工智能
     3.4.2 区块链
     3.4.3 量子信息技术
     3.4.4 5G
     3.4.5 物联网
     3.4.6 隐私计算
     第四章 2021-2021年中国网络安全行业发展分析
     4.1 中国互联网网络安全形势分析
     4.1.1 互联网网络安全总体状况
     4.1.2 网民网络安全事件发生状况
     4.1.3 网站安全和信息安全漏洞
     4.1.4 网络安全相关举报和受理
     4.1.5 互联网网络安全监测分析
     4.1.6 互联网网络安全威胁分析
     4.2 中国网络安全行业发展现状综合分析
     4.2.1 市场规模分析
     4.2.2 市场结构分析
     4.2.3 市场竞争格局
     4.2.4 企业布局动态
     4.2.5 人才队伍建设
     4.2.6 国际合作进展
     4.2.7 商业模式分析
     4.3 中国网络安全企业发展现状分析
     4.3.1 企业数量规模
     4.3.2 企业收入水平
     4.3.3 企业业务类型
     4.3.4 上市企业情况
     4.4 中国部分省市网络安全产业区域布局分析
     4.4.1 北京市
     4.4.2 上海市
     4.4.3 浙江省
     4.4.4 广东省
     4.4.5 山东省
     4.4.6 山西省
     4.5 中国网络安全行业发展面临的挑战
     4.5.1 国内网络安全风险挑战
     4.5.2 网络安全监管力度不够
     4.5.3 网络安全产业发展问题
     4.5.4 “新基建”带来的新挑战
     4.5.5 网络安全技术体系短板
     4.6 中国网络安全行业发展对策建议
     4.6.1 建立“新基建”下网络安全新体系
     4.6.2 强化关键信息基设施安全保障能力
     4.6.3 推进网络安全核心技术自主创新
     4.6.4 加大新技术网络安全研究力度
     4.6.5 提升网络安全产业整体实力
     4.6.6 加快网络安全人才队伍建设
     第五章 2021-2021年云安全行业发展分析
     5.1 云安全相关概述
     5.1.1 云安全含义
     5.1.2 云安全本质
     5.1.3 云安全特点
     5.1.4 云安全产品
     5.1.5 云安全技术
     5.1.6 云安全策略
     5.2 2021-2021年全球云安全行业发展分析
     5.2.1 云计算市场分析
     5.2.2 云安全监管环境
     5.2.3 云安全市场规模
     5.2.4 云安全市场现状
     5.2.5 云安全竞争格局
     5.2.6 云安全企业布局
     5.2.7 云安全事件动态
     5.3 2021-2021年中国云安全行业业发展分析
     5.3.1 云计算市场分析
     5.3.2 云安全市场特点
     5.3.3 云安全市场规模
     5.3.4 云安全市场参与者
     5.3.5 云安全发展趋势
     5.4 中国云安全典型企业分析
     5.4.1 阿里云
     5.4.2 华为云
     5.4.3 金山私有云
     第六章 2021-2021年工控安全行业发展分析
     6.1 工控安全相关概述
     6.1.1 工控安全基本介绍
     6.1.2 工控安全主要分类
     6.1.3 工控系统安全重要性
     6.2 工业控制系统发展综述
     6.2.1 工业控制系统含义
     6.2.2 工业控制系统特点
     6.2.3 ICS体系结构分析
     6.2.4 ICS安防状况分析
     6.2.5 ICS系统潜在风险
     6.2.6 ICS安全防护问题
     6.2.7 ICS实施安防策略
     6.3 2021-2021年工控安全行业发展状况分析
     6.3.1 工控安全政策法规
     6.3.2 工控安全市场规模
     6.3.3 典型工控安全事件
     6.3.4 工控系统安全漏洞
     6.3.5 联网工控设备分布
     6.3.6 工控系统攻击分析
     6.3.7 工控安全发展潜力
     6.4 典型工控安全解决方案
     6.4.1 电力工控安全
     6.4.2 制造业工控安全
     6.4.3 市政工控安全
     第七章 2021-2021年大数据安全行业发展分析
     7.1 大数据安全相关概述
     7.1.1 大数据安全概念界定
     7.1.2 大数据安全问题挑战
     7.1.3 大数据安全保障框架
     7.1.4 大数据安全防护体系
     7.2 2021-2021年全球大数据安全行业发展分析
     7.2.1 大数据安全行业相关政策
     7.2.2 大数据安全市场发展规模
     7.2.3 大数据安全行业发展形势
     7.2.4 大数据安全行业典型事件
     7.2.5 大数据安全行业面临挑战
     7.2.6 大数据安全行业发展展望
     7.3 2021-2021年中国大数据安全行业发展分析
     7.3.1 政策环境分析
     7.3.2 行业发展现状
     7.3.3 市场规模分析
     7.3.4 行业市场特点
     7.3.5 行业竞争分析
     7.3.6 典型安全事件
     7.3.7 发展前景展望
     7.4 贵州省大数据安全行业发展分析
     7.4.1 大数据企业发展布局状况
     7.4.2 大数据安全发展状况分析
     7.4.3 大数据安全发展具体举措
     7.4.4 大数据安全认证机构设立
     7.5 大数据安全关键技术发展状况分析
     7.5.1 设备系统安全技术
     7.5.2 密码学及隐私保护算法
     7.5.3 认证和访问控制技术
     7.5.4 高可靠数据保护技术
     7.5.5 数据安全管理技术
     7.5.6 人工智能技术
     7.6 大数据安全典型厂商
     7.6.1 中国联通
     7.6.2 蚂蚁集团
     7.6.3 百度
     7.6.4 天翼云
     7.7 大数据安全解决方案
     7.7.1 安全问题
     7.7.2 防护思路
     7.7.3 方案设计
     7.7.4 解决方案
     第八章 2021-2021年物联网安全行业发展分析
     8.1 物联网安全相关概述
     8.1.1 物联网基本介绍
     8.1.2 物联网安全分类
     8.1.3 物联网安全特征
     8.1.4 物联网安全防御体系
     8.2 2021-2021年全球物联网安全行业发展分析
     8.2.1 物联网行业发展分析
     8.2.2 物联网连接设备分析
     8.2.3 物联网安全发展环境
     8.2.4 物联网安全事件回顾
     8.2.5 物联网安全市场规模
     8.3 2021-2021年中国物联网安全行业发展分析
     8.3.1 物联网行业发展分析
     8.3.2 物联网安全市场规模
     8.3.3 物联网安全用户规模
     8.3.4 物联网安全风险分析
     8.3.5 物联网安全发展展望
     8.4 物联网安全防护策略分析
     8.4.1 瞄准内生安全
     8.4.2 加速新技术的应用
     8.4.3 建立泛在化部署体系
     8.4.4 加强全方位安全防护
     8.4.5 强化供应链安全
     第九章 2021-2021年移动安全行业发展分析
     9.1 移动互联网综述
     9.1.1 移动互联网基本概述
     9.1.2 移动互联网发展现状
     9.1.3 移动互联网发展特点
     9.1.4 移动互联网安全重要性
     9.1.5 移动互联网主要问题
     9.1.6 移动互联网防范措施
     9.1.7 移动互联网发展趋势
     9.2 2021-2021年中国移动安全行业发展分析
     9.2.1 移动安全市场规模
     9.2.2 移动安全市场特点
     9.2.3 移动安全威胁类型
     9.2.4 移动安全典型事件
     9.2.5 移动安全发展趋势
     9.3 移动应用安全发展状况分析
     9.3.1 移动应用发展概况
     9.3.2 移动应用安全现状
     9.3.3 移动应用安全领域
     9.3.4 移动应用安全挑战
     9.3.5 移动应用安全防护
     9.3.6 移动应用安全加固
     9.4 移动支付安全发展状况分析
     9.4.1 移动支付基本概述
     9.4.2 移动支付行业现状
     9.4.3 移动支付用户规模
     9.4.4 移动支付安全现状
     9.4.5 移动支付安全建议
     第十章 2021-2021年工业互联网安全行业发展分析
     10.1 工业互联网发展综述
     10.1.1 工业互联网基本含义
     10.1.2 工业互联网政策环境
     10.1.3 工业互联网产业规模
     10.1.4 工业互联网产业生态
     10.1.5 工业互联网平台分析
     10.1.6 工业互联网网络建设
     10.1.7 工业互联网创新发展
     10.1.8 工业互联网发展展望
     10.2 工业互联网安全行业发展综述
     10.2.1 工业互联网安全内涵
     10.2.2 工业互联网安全形势
     10.2.3 与传统工业信息安全的关系
     10.2.4 工业互联网安全相关政策
     10.3 工业互联网安全防护需求分析
     10.3.1 海量和异构工业设备接入及设备资源受限
     10.3.2 不同架构工业云协调运维和快速部署
     10.3.3 工业微服务多样化和多服务复杂协同
     10.3.4 工业应用协同工作和开放定制
     10.3.5 工业数据多源异构和大规模访问与共享
     10.4 2021-2021年中国工业互联网安全行业发展分析
     10.4.1 行业发展状况
     10.4.2 市场规模分析
     10.4.3 市场发展特点
     10.4.4 发展问题分析
     10.4.5 发展建议分析
     10.4.6 发展趋势分析
     10.4.7 行业发展展望
     10.5 2021-2021年中国工业互联网安全现状
     10.5.1 工业主机安全风险
     10.5.2 工控设备安全风险
     10.5.3 数控设备安全风险
     10.5.4 工业机器人安全风险
     10.5.5 工业物联网设备安全风险
     10.6 工业互联网安全解决方案案例分析
     10.6.1 工业互联网数据安全解决方案
     10.6.2 轨道交通行业安全解决方案
     10.6.3 汽车制造行业安全解决方案
     10.6.4 电子制造企业安全解决方案
     10.6.5 风电集控中心安全解决方案
     10.6.6 城市污水处理安全解决方案
     第十一章 2021-2021年网络安全行业下游应用分析
     11.1 电信业
     11.1.1 政策环境分析
     11.1.2 电信网络安全需求
     11.1.3 电信网络安全状况
     11.1.4 电信运营商安全布局
     11.1.5 电信业网络安全问题
     11.1.6 电信网络安全防范措施
     11.2 金融业
     11.2.1 金融业政策环境分析
     11.2.2 金融业网络安全状况
     11.2.3 金融业网络安全策略
     11.2.4 金融业网络安全趋势
     11.3 电子政务
     11.3.1 电子政务政策环境分析
     11.3.2 电子政务运行状况分析
     11.3.3 电子政务网络安全问题
     11.3.4 电子政务网络安全威胁
     11.3.5 电子政务安全运营体系
     11.3.6 电子政务主要防范措施
     11.4 能源行业
     11.4.1 能源行业政策环境分析
     11.4.2 能源行业典型安全事件
     11.4.3 电力网络安全威胁分析
     11.4.4 电力系统网络安全层面
     11.4.5 电力网络安全应对策略
     11.4.6 能源网络安全发展建议
     11.5 快递行业
     11.5.1 快递行业发展状况
     11.5.2 信息安全状况分析
     11.5.3 信息安全特点分析
     11.5.4 信息安全应对策略
     第十二章 网络安全技术分析
     12.1 防火墙技术
     12.1.1 防火墙基本概述
     12.1.2 防火墙主要类型
     12.1.3 防火墙基本特性
     12.1.4 防火墙主要功能
     12.1.5 防火墙技术分析
     12.1.6 大型企业防火墙
     12.2 身份认证技术
     12.2.1 基本概述
     12.2.2 安全风险
     12.2.3 组合认证
     12.3 数据加密技术
     12.3.1 基本概述
     12.3.2 技术应用
     12.4 入侵检测技术分析
     12.4.1 基本概述
     12.4.2 主要类型
     12.4.3 面临困境
     12.4.4 发展方向
     12.5 访问控制技术
     12.5.1 计算机网络访问控制
     12.5.2 自主访问控制技术
     12.5.3 强制访问控制技术
     12.5.4 角色访问控制技术
     第十三章 2021-2021年网络安全行业国外重点企业经营分析
     13.1 雷神科技公司(Raytheon Technologies Corp.)
     13.1.1 企业发展概况
     13.1.2 2021年企业经营状况分析
     13.1.3 2021年企业经营状况分析
     13.1.4 2021年企业经营状况分析
     13.2 思科系统公司(Cisco Systems, Inc.)
     13.2.1 企业发展概况
     13.2.2 2021财年企业经营状况分析
     13.2.3 2020财年企业经营状况分析
     13.2.4 2021财年企业经营状况分析
     13.3 派拓网络(PaloAlto Networks)
     13.3.1 企业发展概况
     13.3.2 2021财年企业经营状况分析
     13.3.3 2020财年企业经营状况分析
     13.3.4 2021财年企业经营状况分析
     13.4 洛克希德?马丁公司(Lockheed Martin)
     13.4.1 企业发展概况
     13.4.2 2021财年企业经营状况分析
     13.4.3 2020财年企业经营状况分析
     13.4.4 2021财年企业经营状况分析
     13.5 Check Point软件技术有限公司
     13.5.1 企业发展概况
     13.5.2 2021年企业经营状况分析
     13.5.3 2021年企业经营状况分析
     13.5.4 2021年企业经营状况分析
     13.6 火眼(Fire eye)
     13.6.1 企业发展概况
     13.6.2 2021年企业经营状况分析
     13.6.3 2021年企业经营状况分析
     13.6.4 2021年企业经营状况分析
     第十四章 2018-2021年网络安全行业国内重点企业经营分析
     14.1 启明星辰信息技术集团股份有限公司
     14.1.1 企业发展概况
     14.1.2 经营效益分析
     14.1.3 业务经营分析
     14.1.4 财务状况分析
     14.1.5 核心竞争力分析
     14.1.6 公司发展战略
     14.1.7 未来前景展望
     14.2 深信服科技股份有限公司
     14.2.1 企业发展概况
     14.2.2 经营效益分析
     14.2.3 业务经营分析
     14.2.4 财务状况分析
     14.2.5 核心竞争力分析
     14.2.6 公司发展战略
     14.2.7 未来前景展望
     14.3 成都卫士通信息产业股份有限公司
     14.3.1 企业发展概况
     14.3.2 经营效益分析
     14.3.3 业务经营分析
     14.3.4 财务状况分析
     14.3.5 核心竞争力分析
     14.3.6 公司发展战略
     14.3.7 未来前景展望
     14.4 北京神州绿盟信息安全科技股份有限公司
     14.4.1 企业发展概况
     14.4.2 经营效益分析
     14.4.3 业务经营分析
     14.4.4 财务状况分析
     14.4.5 核心竞争力分析
     14.4.6 公司发展战略
     14.5 蓝盾信息安全技术股份有限公司
     14.5.1 企业发展概况
     14.5.2 经营效益分析
     14.5.3 业务经营分析
     14.5.4 财务状况分析
     14.5.5 核心竞争力分析
     14.5.6 公司发展战略
     14.5.7 未来前景展望
     14.6 新华三集团
     14.6.1 企业发展概况
     14.6.2 网络安全布局
     14.6.3 产品矩阵布局
     14.6.4 企业发展成就
     14.6.5 企业项目动态
     14.6.6 企业战略布局
     14.7 安天科技股份有限公司
     14.7.1 企业发展概况
     14.7.2 企业融资动态
     14.7.3 企业产品优势
     14.7.4 企业合作动态
     14.8 三六零安全科技股份有限公司
     14.8.1 企业发展概况
     14.8.2 网络安全布局
     14.8.3 经营效益分析
     14.8.4 业务经营分析
     14.8.5 财务状况分析
     14.8.6 核心竞争力分析
     14.8.7 公司发展战略
     14.8.8 未来前景展望
     第十五章 中国网络安全行业项目投资案例深度解析
     15.1 任子行网络安全项目
     15.1.1 项目基本情况
     15.1.2 项目投资必要性
     15.1.3 项目投资可行性
     15.1.4 项目实施主体
     15.1.5 项目投资概算
     15.1.6 项目经济效益
     15.2 森根科技无线网络安全治理平台研发及产业化项目
     15.2.1 项目基本情况
     15.2.2 项目投资概算
     15.2.3 项目实施进度
     15.2.4 项目审批情况
     15.2.5 环境保护分析
     15.2.6 项目经济效益
     15.3 蓝盾大安全研发与产业化基地项目
     15.3.1 项目基本情况
     15.3.2 项目实施背景
     15.3.3 项目投资计划
     15.3.4 项目投资价值
     15.3.5 项目建设方案
     15.3.6 项目实施主体
     15.3.7 项目经济效应
     15.4 启明星辰网络安全领域项目投资分析
     15.4.1 济南安全运营中心建设项目
     15.4.2 杭州安全运营中心建设项目
     15.4.3 昆明安全运营中心和网络安全培训学院建设项目
     15.4.4 郑州安全运营中心和网络培训学院建设项目
     第十六章 2021-2027年中国网络安全行业投资潜力分析
     16.1 全球网络安全行业投融资状况分析
     16.1.1 主要上市企业市值
     16.1.2 行业整体投融资情况
     16.1.3 行业投融资类型分布
     16.1.4 细分领域投融资分布
     16.1.5 行业投融资特点分析
     16.2 中国网络安全行业投融资状况分析
     16.2.1 行业投资规模
     16.2.2 行业投资金额
     16.2.3 融资阶段分布
     16.2.4 细分赛道分析
     16.2.5 融资事件汇总
     16.3 中国网络信息安全行业投资价值评估分析
     16.3.1 投资价值综合评估
     16.3.2 市场机会矩阵分析
     16.3.3 进入市场时机判断
     16.4 中国网络信息安全行业投资壁垒分析
     16.4.1 竞争壁垒
     16.4.2 技术壁垒
     16.4.3 资金壁垒
     16.4.4 政策壁垒
     16.5 2021-2027年网络信息安全行业的投资建议
     16.5.1 项目投资建议
     16.5.2 行业风险提示
     第十七章 2021-2027年中国网络安全行业发展前景及趋势预测分析
     17.1 中国网络安全行业发展前景展望
     17.1.1 网络安全行业发展趋势
     17.1.2 网络安全技术发展趋势
     17.1.3 网络安全行业变革趋势
     17.1.4 “十四五”网络安全发展机会
     17.1.5 “十四五”网络安全前景展望
     17.2 2021-2027年中国网络安全产业预测分析
     17.2.1 2021-2027年中国网络安全产业影响因素分析
     17.2.2 2021-2027年中国网络安全市场规模预测

    图表目录

    图表1 网络安全模型图
     图表2 OSI参考模型和TCP/CP参考模型协议对应关系
     图表3 网络安全产品的基本分类
     图表4 端点安全结构图
     图表5 网络安全结构图
     图表6 应用安全结构图
     图表7 数据安全结构图
     图表8 身份与访问管理结构类
     图表9 安全管理结构图
     图表10 云的结构图
     图表11 大数据结构图
     图表12 物联网结构图
     图表13 移动结构图
     图表14 产品主要技术特点
     图表15 产品主要应用场景
     图表16 产品主要应用场景
     图表17 产品主要应用场景
     图表18 产品主要应用场景
     图表19 软件开发流程
     图表20 竞争导向的企业定价流程
     图表21 网络安全产品定价方法总结
     图表22 2014-2021年全球网络安全产业规模及增速
     图表23 2017-2021年全球网络安全产品/服务市场占比
     图表24 2021年全球网络安全服务市场规模及增长情况
     图表25 2021年全球网络安全产品市场规模及增长情况
     图表26 2021年全球网络安全产业区域分布情况
     图表27 2011-2021年美国“网络威慑”立场的演变历程
     图表28 美国网络安全预算数据表(按机构预算额排名)
     图表29 美国网络安全预算数据表(按机构预算增降幅排名)
     图表30 英国发布的国家级网络安全战略
     图表31 2017-2021年网络安全领域政策汇总
     图表32 等级保护发展历程(一)
     图表33 等级保护发展历程(二)
     图表34 信息系统的安全保护等级由两个定级要素决定
     图表35 等级保护的等级划分准则及各类信息系统定级
     图表36 等级保护的对象演变
     图表37 将“云大物智移”纳入保护对象
     图表38 等保体系大升级(增加一批新的等保技术标准)
     图表39 等保2.0制度下防御体系升级
     图表40 等保2.0与等保1.0的变化(一)
     图表41 等保2.0与等保1.0的变化(二)
     图表42 2015-2021年国内生产总值及其增长速度
     图表43 2015-2021年三次产业增加值占国内生产总值比重
     图表44 2015-2021年万元国内生产总值能耗降低率
     图表45 2016-2021年国内生产总值及其增长速度
     图表46 2016-2021年三次产业增加值占国内生产总值比重
     图表47 2021年GDP初步核算数据
     图表48 2015-2021年中国货物进出口总额
     图表49 2016-2021年货物进出口总额
     图表50 2021年货物进出口总额及其增长速度
     图表51 2021年主要商品出口数量、金额及其增长速度
     图表52 2021年主要商品进口数量、金额及其增长速度
     图表53 2021年对主要国家和地区货物进出口金额、增长速度及其比重
     图表54 2021年外商直接投资(不含银行、证券、保险领域)及其增长速度
     图表55 2021年对外非金融类直接投资额及其增长速度
     图表56 2018-2021年规模以上工业增加值增速(月度同比)
     图表57 2021年规模以上工业企业主要财务指标(分行业)
     图表58 2016-2021年全部工业增加值及增长速度
     图表59 2021年主要工业产品产量及其增长速度
     图表60 2021年互联网接入设备使用情况
     图表61 2015-2021年网民人均每周上网时长
     图表62 2017-2021年100Mbps及以上固定互联网宽带接入用户数占比
     图表63 2014-2021年光纤宽带用户规模及占比
     图表64 2018-2021年蜂窝物联网终端用户数
     图表65 2016-2021年网民规模和互联网普及率
     图表66 2016-2021年手机网民规模及其占网民比例
     图表67 2021年网民各类互联网用户规模和使用率
     图表68 2021年手机网民各类手机互联网应用用户规模和使用率
     图表69 2014-2021年移动互联网接入流量
     图表70 网民遭遇各类网络安全问题的比例
     图表71 网民遭遇各类网络诈骗问题的比例
     图表72 2021-2021年中国境内被篡改网站数量
     图表73 2021-2021年中国境内被篡改政府网站数量
     图表74 2021-2021年中国境内被植入后门的网站数量
     图表75 2021-2021年中国境内被植入后门的政府网站数量
     图表76 2021-2021年国家信息安全漏洞共享平台收集整理信息系统安全漏洞数量
     图表77 2021-2021年国家信息安全漏洞共享平台收集整理信息系统高危漏洞数量
     图表78 2021-2021年CNCERT接收到网络安全事件报告数量
     图表79 2021-2021年全国各级网络举报部门受理举报数量
     图表80 2021年恶意程序境外传播源占比分布情况
     图表81 2021年我国受恶意程序攻击的IP地址占比分布情况
     图表82 2016-2021年境内感染计算机恶意程序的主机数量统计
     图表83 2021年我国境内感染计算机恶意程序主机数量占比按地区分布
     图表84 2021年僵尸网络的规模分布
     图表85 2016-2021年移动互联网恶意程序捕获数量
     图表86 2021年移动互联网恶意程序数量占比按行为属性统计
     图表87 2016-2021年CNVD收录的安全漏洞数量对比
     图表88 2021年CNVD收录的安全漏洞数量占比按影响对象分类统计
     图表89 2016-2021年CNVD子漏洞库收录情况对比
     图表90 2021年境内被篡改网站数量占比按顶级域名分布
     图表91 2021年监测发现的联网工业设备数量占比按类型统计
     图表92 2021年监测发现的重点行业联网监控管理系统的漏洞威胁统计
     图表93 2021年监测发现的重点行业联网监控管理系统的类型占比统计
     图表94 2021年区块链相关领域发生安全事件数量占比按领域分布
     图表95 威胁的主要表现形式
     图表96 2015-2023年中国网络安全市场规模及增速
     图表97 2021年中国网络安全市场结构划分
     图表98 2017-2021年中国网络安全行业集中度
     图表99 2021年中国网络安全行业主要企业市占率
     图表100 网络安全企业的三种商业模式特点
     图表101 中国网络安全产业链供给关系
     图表102 2021年网络安全企业类型及数量
     图表103 2021年网络安全企业区域的分布
     图表104 2021年上市网络安全公司营收情况
     图表105 2021年上市网络安全公司毛利率
     图表106 2017-2021年全能型厂商研发支出情况
     图表107 2017-2021年专精型厂商研发支出情况
     图表108 2017-2021年专精型厂商研发支出情况
     图表109 2021年A股上市企业级上市网络安全企业总市值变化
     图表110 2020-2021年上市网络安全企业数量及总市值对比
     图表111 2021年我国上市网络安全企业市值情况
     图表112 流入上海地区流量地区分布图
     图表113 上海地区流出流量地区分布图
     图表114 2021年浙江省木马或僵尸程序受控主机IP数量分布
     图表115 2021年浙江省木马或僵尸程序控制服务器IP数量分布
     图表116 2021年浙江省被篡改网站的数量分布
     图表117 2021年浙江省被植入后门网站的数量分布
     图表118 2021年浙江省网络安全优秀案例入围名单
     图表119 2021年浙江省网络安全优秀产品
     图表120 云端数据处理流程
     图表121 需要考虑的因素
     图表122 设计信息保护需考虑因素
     图表123 应用安全设计框架
     图表124 2016-2021年全球云计算市场规模及增速
     图表125 2016-2027年全球云安全市场规模统计
     图表126 2016-2021年中国公有云市场规模及增速
     图表127 2016-2021年中国私有云市场规模及增速
     图表128 2016-2021年中国公有云细分市场规模及增速
     图表129 2016-2021年中国云安全市场规模及其预测
     图表130 重点云平台提供商自身安全服务数量和第三方安全服务数量
     图表131 工业信息安全分类
     图表132 工控安全分类(按保护对象)
     图表133 工业控制系统与传统信息系统的安全性对比分析
     图表134 现代ICS系统体系结构
     图表135 2017-2021年中国工控安全市场规模和增长率
     图表136 2010-2021年工控漏洞走势图
     图表137 2021年工控系统行业漏洞危险等级饼状图
     图表138 2021年工控系统行业厂商漏洞数量柱状图
     图表139 国内各地区工控设备暴露数量
     图表140 国内工控协议暴露数量和占比
     图表141 蜜罐国内外攻击量
     图表142 各协议攻击量占比
     图表143 各国蜜罐攻击IP排名
     图表144 2020-2022年中国工控安全市场规模和增长率
     图表145 火电厂电力监控系统的网络架构图
     图表146 X/Y/Z号机组SIS系统横向边界防护图
     图表147 M/N号机组SIS系统横向边界防护图
     图表148 风电场监控系统的逻辑架构图
     图表149 风电场监控系统安全分区示意图
     图表150 核电站安全防护图
     图表151 卷烟厂网络架构图
     图表152 数据采集服务器或OPC服务器双网卡隔离
     图表153 交换设备隔离
     图表154 防火墙隔离
     图表155 卷烟厂安全防护图
     图表156 车厂安全防护图
     图表157 自来水厂安全防护图
     图表158 城市燃气安全防护图
     图表159 大数据安全保障框架
     图表160 大数据安全技术框架
     图表161 以数据为中心的安全防护要素组成
     图表162 主动防御的大数据协同安全防护体系
     图表163 大数据协同安全防护流程
     图表164 2005-2021年被盗数据记录数量
     图表165 以数据为中心的数据安全标准
     图表166 通用个人信息保护系列标准
     图表167 行业领域数据安全标准
     图表168 2016-2021年中国大数据安全市场规模及预测
     图表169 各大网络安全厂商数据安全产品与服务
     图表170 2017-2021年各大厂商数据安全收入占整体网络安全收入占比
     图表171 贵州大数据企业50强名单(排名不分先后)
     图表172 贵州省大数据企业三个单项奖名单(排名不分先后)
     图表173 贵州省大数据企业三个单项奖名单(排名不分先后)续
     图表174 灾难恢复能力等级划分
     图表175 信息安全技术 网络安全等级保护灾备技术分级保护需求
     图表176 中国联通数据安全体系总体框架
     图表177 蚂蚁数据安全复合治理管理模式
     图表178 蚂蚁集团数据安全四重保障图
     图表179 百度数据安全治理工作路线
     图表180 百度数据安全治理三步走
     图表181 百度数据安全治理实践
     图表182 天翼云数据安全治理实践路标图
     图表183 天翼云数据安全治理能力
     图表184 天翼云数据安全技术体系
     图表185 大数据安全平台的安全问题
     图表186 物联网结构
     图表187 物联网应用系模型
     图表188 物联网各层面临的安全问题
     图表189 物联网安全3T+1M架构
     图表190 2020-2027年全球物联网市场分地区年复合增长率
     图表191 2021-2027年全球主流咨询公司物联网连接数预测
     图表192 2021-2027年中国物联网连接数
     图表193 2016-2021年中国物联网安全市场规模与增长
     图表194 2021年中国物联网安全用户占比情况
     图表195 2016-2021年中国移动安全市场规模与增长
     图表196 2017-2021年中国移动终端安全市场规模
     图表197 2021-2021年全国移动应用及小程序概况
     图表198 细分领域App数量及占比
     图表199 App属地分布
     图表200 应用分发渠道App数量统计
     图表201 常见App安全漏洞统计
     图表202 存在安全漏洞的App属地分布
     图表203 存在高危漏洞的App类型分布
     图表204 恶意程序类型统计
     图表205 个人信息合规问题分布
     图表206 服务器配置类安全问题统计
     图表207 服务器安全漏洞统计
     图表208 单个组件安全隐患占比
     图表209 Android平台营地应用程序的结构
     图表210 中国移动应用常见攻击类型
     图表211 加固应用区域分布图
     图表212 加固应用行业占比情况
     图表213 2016-2021年中国移动支付用户规模
     图表214 工业互联网体系架构
     图表215 2021-2021年工业互联网相关政策汇总
     图表216 中国工业互联网产业生态体系构建
     图表217 2017-2021年中国工业互联网平台与工业软件产业存量规模
     图表218 2021年中国跨行业、跨领域工业互联网平台清单
     图表219 2017-2021年中国工业互联网网络产业存量规模
     图表220 中国工业互联网标识发展进程
     图表221 工业互联网安全产业范围
     图表222 工业互联网安全、工业信息安全和工控安全的关系及其发展演进
     图表223 2017-2021年国家工业互联网安全政策
     图表224 工业互联网数据安全防护框架
     图表225 2017-2021年中国工业互联网安全产业存量规模
     图表226 2021年工业互联网安全领域投融资分布
     图表227 2021年病毒类型统计
     图表228 2021年病毒感染地域分布
     图表229 2021年勒索软件感染地域分布
     图表230 2021-2021年勒索软件感染地域对比统计
     图表231 2000-2021年CNVD收录的工控系统漏洞数量分布图
     图表232 2021年四大漏洞库平台收录的工控系统漏洞类型分布图
     图表233 2021年四大漏洞库平台收录的工控系统漏洞危险等级图
     图表234 2021年各工控设备厂商漏洞数据统计
     图表235 2021年四大漏洞库平台收录的工控漏洞涉及行业分布
     图表236 数控行业的技术分布
     图表237 2014-2021年物联网设备漏洞趋势
     图表238 物联网设备漏洞危险分级
     图表239 物联网设备漏洞类型
     图表240 核心数据强制加密保护模式
     图表241 终端数据智能防泄漏保护模式
     图表242 多种系统集成模式
     图表243 智能制造数据安全云平台功能框架示意图
     图表244 虚拟安全网络子系统
     图表245 加密数据存储体系结构
     图表246 带关键字检索的公钥加密方案
     图表247 用户异常行为检测子系统功能
     图表248 问题处理及安全防护示意图
     图表249 工业数据智能安全云平台总体架构
     图表250 电子文件外出使用安全管控系统拓扑图
     图表251 制造基地安全部署示意图
     图表252 主动安全部署策略示意图
     图表253 某风电集控中心网络拓扑图
     图表254 城市污水处理厂控制系统安全防护体系部署图
     图表255 2021年诈骗呼叫、诈骗短信系统处置情况
     图表256 2021年互联网账号处置情况
     图表257 涉诈域名IP接入分布情况
     图表258 2021年受理诈骗电话、诈骗短信用户举报情况
     图表259 诈骗类型占比情况
     图表260 2021年我国金融业网络安全相关标准
     图表261 主要金融机构未来三年网络安全主要投入领域
     图表262 2003-2021年中国电子政务发展指数值及排名变化情况
     图表263 2003-2021年中国在线政务指数值变化情况
     图表264 2003-2021年中国通信基础设施和人力资本指数值变化情况
     图表265 2013-2021年中国快递服务企业业务收入及增速
     图表266 2021年中国快递业务收入结构
     图表267 2021年中国地区快递业务收入结构
     图表268 三种防火墙的对比分析
     图表269 总体网络拓扑
     图表270 办公网网络拓扑
     图表271 生产网网络拓扑
     图表272 防火墙拓扑结构
     图表273 身份认证技术基本分类
     图表274 身份认证方式对比分析
     图表275 单项认证方式综合对比分析
     图表276 组合认证模式综合推荐指数
     图表277 2018-2021年雷神综合收益表
     图表278 2018-2021年雷神分部资料
     图表279 2018-2021年雷神收入分地区资料
     图表280 2021-2021年雷神科技公司综合收益表
     图表281 2021-2021年雷神科技公司分部资料
     图表282 2021-2021年雷神科技公司收入分地区资料
     图表283 2020-2021年雷神科技公司综合收益表
     图表284 2020-2021年雷神科技公司分部资料
     图表285 2020-2021年雷神科技公司收入分地区资料
     图表286 2018-2021财年思科系统公司综合收益表
     图表287 2018-2021财年思科系统公司分部资料
     图表288 2018-2021财年思科系统公司收入分地区资料
     图表289 2021-2020财年思科系统公司综合收益表
     图表290 2021-2020财年思科系统公司分部资料
     图表291 2021-2020财年思科系统公司收入分地区资料
     图表292 2020-2021财年思科系统公司综合收益表
     图表293 2020-2021财年思科系统公司分部资料
     图表294 2020-2021财年思科系统公司收入分地区资料
     图表295 2018-2021财年派拓网络综合收益表
     图表296 2018-2021财年派拓网络收入分地区资料
     图表297 2021-2020财年派拓网络综合收益表
     图表298 2021-2020财年派拓网络收入分地区资料
     图表299 2020-2021财年派拓网络综合收益表
     图表300 2020-2021财年派拓网络收入分地区资料
     图表301 2018-2021财年洛克希德马丁公司综合收益表
     图表302 2018-2021财年洛克希德马丁公司分部资料
     图表303 2018-2021财年洛克希德马丁公司收入分地区资料
     图表304 2021-2020财年洛克希德马丁公司综合收益表
     图表305 2021-2020财年洛克希德马丁公司分部资料
     图表306 2021-2020财年洛克希德马丁公司收入分地区资料
     图表307 2020-2021财年洛克希德马丁公司综合收益表
     图表308 2020-2021财年洛克希德马丁公司分部资料
     图表309 2020-2021财年洛克希德马丁公司收入分地区资料
     图表310 2018-2021年Check Point软件科技综合收益表
     图表311 2018-2021年Check Point软件科技分部资料
     图表312 2018-2021年Check Point软件科技收入分地区资料
     图表313 2021-2021年Check Point软件科技综合收益表
     图表314 2021-2021年Check Point软件科技分部资料
     图表315 2021-2021年Check Point软件科技收入分地区资料
     图表316 2020-2021年Check Point软件科技综合收益表
     图表317 2018-2021年火眼综合收益表
     图表318 2018-2021年火眼收入分地区资料
     图表319 2021-2021年火眼综合收益表
     图表320 2021-2021年火眼收入分地区资料
     图表321 2020-2021年火眼综合收益表
     图表322 2020-2021年火眼收入分地区资料
     图表323 2018-2021年启明星辰信息技术集团股份有限公司总资产及净资产规模
     图表324 2018-2021年启明星辰信息技术集团股份有限公司营业收入及增速
     图表325 2018-2021年启明星辰信息技术集团股份有限公司净利润及增速
     图表326 2021-2021年启明星辰信息技术集团股份有限公司营业收入分行业、产品、地区
     图表327 2018-2021年启明星辰信息技术集团股份有限公司营业利润及营业利润率
     图表328 2018-2021年启明星辰信息技术集团股份有限公司净资产收益率
     图表329 2018-2021年启明星辰信息技术集团股份有限公司短期偿债能力指标
     图表330 2018-2021年启明星辰信息技术集团股份有限公司资产负债率水平
     图表331 2018-2021年启明星辰信息技术集团股份有限公司运营能力指标
     图表332 2018-2021年深信服科技股份有限公司总资产及净资产规模
     图表333 2018-2021年深信服科技股份有限公司营业收入及增速
     图表334 2018-2021年深信服科技股份有限公司净利润及增速
     图表335 2021-2021年深信服科技股份有限公司营业收入分行业、产品、地区
     图表336 2018-2021年深信服科技股份有限公司营业利润及营业利润率
     图表337 2018-2021年深信服科技股份有限公司净资产收益率
     图表338 2018-2021年深信服科技股份有限公司短期偿债能力指标
     图表339 2018-2021年深信服科技股份有限公司资产负债率水平
     图表340 2018-2021年深信服科技股份有限公司运营能力指标
     图表341 2018-2021年成都卫士通信息产业股份有限公司总资产及净资产规模
     图表342 2018-2021年成都卫士通信息产业股份有限公司营业收入及增速
     图表343 2018-2021年成都卫士通信息产业股份有限公司净利润及增速
     图表344 2021-2021年成都卫士通信息产业股份有限公司营业收入分行业、产品、地区
     图表345 2018-2021年成都卫士通信息产业股份有限公司营业利润及营业利润率
     图表346 2018-2021年成都卫士通信息产业股份有限公司净资产收益率
     图表347 2018-2021年成都卫士通信息产业股份有限公司短期偿债能力指标
     图表348 2018-2021年成都卫士通信息产业股份有限公司资产负债率水平
     图表349 2018-2021年成都卫士通信息产业股份有限公司运营能力指标
     图表350 2018-2021年北京神州绿盟信息安全科技股份有限公司总资产及净资产规模
     图表351 2018-2021年北京神州绿盟信息安全科技股份有限公司营业收入及增速
     图表352 2018-2021年北京神州绿盟信息安全科技股份有限公司净利润及增速
     图表353 2021-2021年北京神州绿盟信息安全科技股份有限公司营业收入分行业、产品、地区
     图表354 2018-2021年北京神州绿盟信息安全科技股份有限公司营业利润及营业利润率
     图表355 2018-2021年北京神州绿盟信息安全科技股份有限公司净资产收益率
     图表356 2018-2021年北京神州绿盟信息安全科技股份有限公司短期偿债能力指标
     图表357 2018-2021年北京神州绿盟信息安全科技股份有限公司资产负债率水平
     图表358 2018-2021年北京神州绿盟信息安全科技股份有限公司运营能力指标
     图表359 2018-2021年蓝盾信息安全技术股份有限公司总资产及净资产规模
     图表360 2018-2021年蓝盾信息安全技术股份有限公司营业收入及增速
     图表361 2018-2021年蓝盾信息安全技术股份有限公司净利润及增速
     图表362 2021-2021年蓝盾信息安全技术股份有限公司营业收入分行业、产品、地区
     图表363 2018-2021年蓝盾信息安全技术股份有限公司营业利润及营业利润率
     图表364 2018-2021年蓝盾信息安全技术股份有限公司净资产收益率
     图表365 2018-2021年蓝盾信息安全技术股份有限公司短期偿债能力指标
     图表366 2018-2021年蓝盾信息安全技术股份有限公司资产负债率水平
     图表367 2018-2021年蓝盾信息安全技术股份有限公司运营能力指标
     图表368 新华三网络安全业务发展历史
     图表369 新华三网络安全产品矩阵
     图表370 安天资产安全运维平台
     图表371 2018-2021年三六零安全科技股份有限公司总资产及净资产规模
     图表372 2018-2021年三六零安全科技股份有限公司营业收入及增速
     图表373 2018-2021年三六零安全科技股份有限公司净利润及增速
     图表374 2021年三六零安全科技股份有限公司主营业务分行业、地区
     图表375 2018-2021年三六零安全科技股份有限公司营业利润及营业利润率
     图表376 2018-2021年三六零安全科技股份有限公司净资产收益率
     图表377 2018-2021年三六零安全科技股份有限公司短期偿债能力指标
     图表378 2018-2021年三六零安全科技股份有限公司资产负债率水平
     图表379 2018-2021年三六零安全科技股份有限公司运营能力指标
     图表380 森根科技无线网络安全治理平台研发及产业化项目投资概算
     图表381 森根科技无线网络安全治理平台研发及产业化项目实施进度安排
     图表382 森根科技无线网络安全治理平台研发及产业化项目经济效益
     图表383 项目投资计划明细(一)
     图表384 项目投资计划明细(二)
     图表385 项目体系图
     图表386 网络综合态势预警平台建设内容
     图表387 体系图
     图表388 济南安全运营中心建设内容
     图表389 济南安全运营中心项目投资估算表
     图表390 杭州安全运营中心建设内容
     图表391 杭州安全运营中心项目投资估算表
     图表392 昆明安全运营中心项目建设内容
     图表393 昆明安全运营中心和网络培训学院项目投资估算表
     图表394 郑州安全运营中心项目建设内容
     图表395 郑州安全运营中心项目投资估算表
     图表396 2018-2021年全球主要上市公司整体市值
     图表397 2021年国内外网络安全投融资事件数量分布情况
     图表398 2021年国内外网络安全投融资额度分布情况
     图表399 2021年国内外网络安全投融资类型分布情况
     图表400 2021年细分领域投融资事件分布情况
     图表401 2021年细分领域投融资额度分布情况
     图表402 2021年我国网络安全领域非上市投融资交易基本情况
     图表403 2021年网络安全领域超亿元融资事件
     图表404 2021年我国网络安全融资事件阶段分布
     图表405 2021年我国网络安全行业融资事件汇总
     图表406 投资价值综合评估
     图表407 网络信息安全产业市场机会整体评估表
     图表408 市场机会矩阵:网络信息安全产业
     图表409 市场时机评级
     图表410 产业生命周期:信息安全产业
     图表411 进入壁垒评估
     图表412 投资机会箱:网络信息安全产业
     图表413 网络安全技术发展方向
     图表414 2021-2027年中国网络安全市场规模预测

    展开全文
    HSXH1 2021-10-30 14:22:08
  • 这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。第一篇文章主要分享Linux系统下针对性的APT攻击及技术要点,并简单总结溯源...

    这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。第一篇文章主要分享Linux系统下针对性的APT攻击及技术要点,并简单总结溯源部分APT组织的方法。

    在这里插入图片描述


    关于Windows系统的APT攻击已经写了很多文章,这也许并不奇怪。由于Windows的流行,我们发现它是最适合攻击的平台。与此同时,人们普遍认为Linux是一种默认安全的操作系统,不会受到恶意代码的影响。毫无疑问,Linux并没有面临Windows系统多年来所遭遇的病毒、蠕虫和木马。但这并不意味着不存在,Linux确实也存在恶意软件——包括PHP后门(backdoors)、rootkit和exp代码(exploit code)。

    此外,数据可能会误导人。运行Linux服务器的战略重要性使它们成为各种攻击者的目标。如果攻击者能够攻击运行Linux的服务器,他们不仅可以访问存储在服务器上的数据,还可以访问连接到服务器上运行Windows或macOS的端点。同时,Linux计算机更有可能不受保护,因此这种情况很可能不会引起注意。当2014年 “心脏出血”(Heartbleed)和“Shellshock”漏洞 首次被报道时,有两个主要的担忧是,受感染的Linux服务器可能成为攻击者进入公司网络的通道,并且可以使攻击者访问敏感的公司数据。

    卡巴斯基全球研究与分析团队(GReAT)定期发布有关高级持续威胁(APT)活动的摘要,该摘要基于我们在APT私人报告中详细讨论的威胁情报研究。 在本报告中,我们重点介绍APT威胁参与者针对Linux资源的目标。



    Barium

    卡巴斯基安全团队在2013年首次撰写了有关 Winnti APT集团(又名APT41或Barium) 的文章,当时他们主要针对游戏公司以获取其财务利润。与此同时,他们扩大了自己的业务,开发了大量的新工具,并致力于更复杂的目标。

    • MESSAGETAP是该小组使用的Linux恶意软件,用于选择性地拦截来自电信运营商基础设施的SMS消息。据FireEye称,该组织在短信网关系统(SMS )上部署了这种恶意软件,作为渗透isp和电信公司以建立网络行动的一部分。
    • 该恶意软件会从网络流量中解析并提取SMS消息数据,包括短信内容、IMSI号、来源和目的地电话号,恶意软件在SMS消息内容中搜索keywordVec列表中的关键字,将IMSI编号与imsiMap列表中的编号进行比较,然后将提取的电话号码与phoneMap列表中的编号进行比较。

    在这里插入图片描述

    最近,我们发现了另一种怀疑的Barium / APT41工具,它是用编程语言Go(也被称为Golang)编写的,该工具为Linux机器实现了动态的,受C2控制的数据包破坏/网络攻击工具。虽然它是否是为系统管理任务而开发的工具或者是否是APT41工具集的一部分还不清楚,但是它提供的功能也可以通过其他系统管理工具来实现,这一事实表明其目的不好的。而且,它在磁盘上的名称相当普通,与它的功能无关,这再次表明它可能是一个用于执行某些类型的破坏性攻击的工具。更多关于这个工具的细节可以在我们的报告中找到。

    APT41溯源
    C&C、数字证书、域名、电子邮件,主要针对电子游戏公司。通过分析受感染PC的样本和行为,发现恶意代码将辅助程序ff.exe 下载到受感染计算机上的Config.Msi文件夹中,此代码在硬盘上搜索 HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档以及文本文件(.txt)。在ff.exe_中发现了调试行为,从而进行溯源。它们并没有立即引起注意,因为在编辑器中看起来像这样,但在进行详细分析后发现,该文本为中文简体GBK编码。同时,在恶意程序CmdPlus.dll插件的组件之一中也发现了ZW。

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述



    Cloud Snooper

    2020年2月,Sophos发布了一份报告,描述了一组恶意工具,该报告将其归因于一种之前未知的威胁行为——云窥探者(Cloud Snooper)。其核心是一个面向服务器的Linux内核rootkit,该内核钩子连接netfilter流量控制功能,以支持穿越防火墙的隐蔽C2(命令和控制)通信。我们分析并描述了rootkit的用户区同伴后门,称为“Snoopy”,并能够设计检测和扫描方法来大规模识别rootkit。同时,还发现了更多的样本以及亚洲的目标服务器。我们相信这个进化的工具集可能至少从2016年就已经在开发中了。

    • 攻击者采用了独特的技术组合来逃避检测,能让恶意软件无视防火墙与C2服务器自由通信。 此次攻击虽然在AWS上发生,但并不是AWS本身的问题,攻击者滥用合法流量(例如普通Web流量)来承载C2流量,这种方法可以绕过大多防火墙的限制。该恶意软件被命名为Cloud Snooper,受感染的系统同时运行Linux和Windows EC2实例。鉴于攻击的复杂性和对APT工具的使用,该恶意软件背后的可能是APT组织团伙在运营。

    • 推荐资料:Cloud Snooper Attack Bypasses AWS Security Measures

    在这里插入图片描述
    在这里插入图片描述



    Equation

    我们在2015年发现了方程式组织(Equation Group)。这是一个非常复杂的威胁组织,可以追溯到2001年,也许早在1996年就参与了多次CNE(计算机网络利用)行动。多年来,该威胁组织与其他强大的APT团体进行了互动或合作。例如Stuxnet和Flame。

    • Equation group
    • Stuxnet
    • Flame

    该小组拥有强大的武器库,我们发现的包括:

    • EQUATIONLASER
    • EQUATIONDRUG
    • DOUBLEFANTASY
    • TRIPLEFANTASY
    • FANNY
    • GRAYFISH

    在这里插入图片描述

    方程式组织的创新不限于Windows平台,该小组的POSIX兼容代​​码库允许在其他平台上进行并行开发。2015年,我们发现了针对Linux的早期DOUBLEFANTASY恶意软件。该植入程序收集系统信息和凭证,并提供对受感染计算机的通用访问。

    在这里插入图片描述

    溯源
    Equation Group使用的其他C&C似乎早在1996年就已注册,这可能表明该组已经活跃了将近20年。该小组本身为其工具和植入物有许多代号,包括SKYHOOKCHOW、UR、KS、SF、STEALTHFIGHTER、DRINKPARSLEY和GROK等。对于一个这样的精英团体来说,这似乎令人难以置信,一位开发人员犯了一个不可原谅的错误,即在其中一个恶意软件样本中保留其用户名“ RMGREE5 ”,如工作文件夹的路径“C:\users\rmgree5\”。同时, Fann蠕虫使用的LINK漏洞(Microsoft公告MS09-025修补的漏洞)如下:

    在这里插入图片描述
    在这里插入图片描述



    HackingTeam

    HackingTeam是一家意大利信息技术公司,它向世界各地的政府、执法机构和企业出售入侵软件。不幸的是,他们在2015年遭到了黑客攻击,并遭受了一次严重的数据泄露,受害者是一位名叫菲尼亚斯·菲舍(Phineas Phisher)的活动人士。随后,包括源代码和客户信息在内的400GB被盗公司数据被泄露,使得这些工具被世界各地的攻击者获取、改造和使用,比如DancingSalome(又名Callisto)。泄露的工具包括:

    • 对Adobe Flash的0day攻击CVE-2015-5119
    • 能够提供远程访问、键盘记录、常规信息记录和过滤的复杂平台
    • 绕过流量加密直接从内存中检索Skype音频和视频帧的功能
    • RCS远程控制系统恶意软件(又名Galileo、Da Vinci、Korablin、Morcut和Crisis),包含多个组件,即Windows、macOS和Linux的桌面代理

    参考资料:Spyware. HackingTeam

    通过电子邮件发送的所有Mac OS X恶意文件都有指向名为“guido”的文件夹中文件链接,并且一个用户的linkedin.com资料表明他是HackingTeam的前开发人员,他的名字也叫Guido。

    在这里插入图片描述

    在这里插入图片描述



    Lazarus

    在2018年底,我们发现了一个以前未知的恶意框架,并在内部将其命名为MATA。该框架用于定位韩国、印度、德国和波兰的商业公司。虽然我们找不到与任何其他已知角色重叠的代码,但卡巴斯基威胁归因引擎显示出与Manuscrypt代码相似之处,它是Lazarus(又名Hidden Cobra)使用过的复杂恶意软件。与Lazarus开发的早期恶意软件一样,此框架包括Windows后门。但是,我们还发现了一个Linux变体,我们认为它是为网络设备设计的。

    • MATA框架不仅针对Windows系统,而且针对Linux和macOS系统

    在这里插入图片描述

    在这里插入图片描述

    2020年6月,我们分析了与拉撒路行动AppleJeus和TangoDaiwbo活动有关的macOS新样本,这些macOS被用于金融和间谍攻击。样本已经上传到VirusTotal,上传的文件还包括一个Linux恶意软件变种,其功能与macOS TangoDaiwbo恶意软件类似。这些样本证实了我们两年前强调的一个进展——该组织正在积极开发非Windows恶意软件。

    参考文章:MATA: Multi-platform targeted malware framework

    溯源
    MATA恶意框架与Lazarus的关联,MATA协调器使用两个唯一的文件名c_2910.cls和k_3872.cls,这些文件名以前仅在几种Manuscrypt变体中能看到,包括在US-CERT出版物中提到的样本。

    在这里插入图片描述
    此外,MATA使用全局配置数据,包括随机生成的会话ID、基于日期的版本信息、休眠间隔以及多个C2和C2服务器地址。我们已经看到Manuscrypt变体与MATA框架共享相似的配置结构。这个旧的Manuscrypt变体是一个活动的后门,它具有类似的配置数据,例如会话ID、睡眠间隔、C2地址的数量、受感染的日期和C2地址,它们不相同,但是结构相似。

    在这里插入图片描述



    Sofacy

    Sofacy(又名APT28, Fancy Bear, STRONTIUM, Sednit和Tsar团队)是一个非常活跃和高产的APT威胁行动者。从它的大量零日部署到它的创新广泛的恶意软件集合,Sofacy是我们监控的顶级组织之一。在该组织的武器装备中,有一种工具是SPLM(也被称为CHOPSTICK和XAgent),这是一种第二阶段的工具,有选择地用于对付世界各地的目标。

    多年来,Sofacy已经为多个平台开发了模块,包括在2016年被检测为“Fysbis”的Linux模块,并在Windows、macOS、iOS和Linux上看到的一致成果表明,相同的开发人员或小型核心团队正在修改和维护代码。

    在这里插入图片描述



    The Dukes

    The Dukes是一个复杂的威胁组织,最早由美国在2013年记录在案,但他们的工具被用于攻击可以追溯到2008年。该组织负责针对乌克兰、格鲁吉亚以及西方国家和目标,北约和个人。同时,该组织被认为是2016年美国MZD大会的幕后黑手。Dukes的工具集包括一套全面的恶意软件,这些恶意软件实现了相似的功能,但使用几种不同的编程语言进行了编码。该组织的恶意软件和活动包括:PinchDuke、GeminiDuke、CosmicDuke、MiniDuke、CozyDuke、OnionDuke、SeaDuke、HammerDuke和CloudDuke。其中至少有一个SeaDuke包含Linux变体。

    MiniDuke恶意软件:将使用Twitter(用户不知道)并从预制帐户中查找特定的推文,这些帐户由MiniDuke的命令和控制(C2)操作员创建,并且这些推文还维护特定的标签。标签为后门标记了加密的URL,然后URL提供对C2的访问,C2提供潜在的命令以及通过GIF文件将其他后门加密传输到系统上。

    在这里插入图片描述



    The Lamberts

    Lamberts是一个高度复杂的威胁组织,据称拥有庞大的恶意软件库,包括被动的、网络驱动的后门,模块化后门,收集工具和用于进行破坏性攻击的wipers。我们创建了一种配色方案,以区分针对全球不同受害者的各种工具的时间表。

    在这里插入图片描述

    2017年,我们发布了Lamberts家族概述,进一步的更新(GoldLambert、SilverLambert、RedLambert、BrownLambert)将提供给我们威胁情报报告的客户。各种Lamberts变体的焦点肯定是Windows,但是,我们为Windows的Green Lambert创建的签名也触发了功能与Windows版本相似的macOS变体。此外,我们还确定了针对Windows和Linux编译的SilverLambert后门示例。

    在这里插入图片描述



    Tsunami backdoor

    海啸(又名Kaiten)是一个UNIX后门,自2002年首次在野外发现以来,被多个威胁者使用。其源代码几年前就公开了,现在有70多个变种。源代码可以在各种嵌入式设备上顺畅地编译;还有针对ARM、MIPS、Sparc和思科4500/PowerPC的版本。

    海啸仍然是基于Linux的路由器、DVR和不断增加的物联网设备的威胁。2016年,Linux Mint黑客使用了Tsunami的变体,其中一个未知的威胁因素破坏了Linux Mint发行版ISO,使其包含后门。我们还观察到使用Tsunami后门以手术方式针对Linux上的许多加密货币用户。



    Turla

    Turla(又名Uroboros、Venomous Bear和Waterbug)是一个多产的俄语组织,以其秘密的渗透策略而闻名,比如利用劫持的卫星连接、在政府网站上挖洞、秘密通道后门、rootkits和欺骗策略。像其他APT组织一样,该威胁组织多年来也对其工具集进行了重大更改。直到2014年,我们看到的Turla使用的每个恶意软件样本都是针对32位或64位版本的Windows设计的。

    在这里插入图片描述

    然后在2014年12月,我们发布了有关Turla工具库中Linux组件Penguin Turla的报告。这是一个后门,不需要提升特权,即管理员或root权限。即使有人对系统的访问受到限制,后门也可以拦截传入的数据包并在保持隐身性的同时运行系统攻击者的命令。 它也很难被发现,因此,如果将其安装在受感染的服务器上,则可能会长时间不被注意。对Penguin Turla的进一步研究表明,其起源可以追溯到1990年代中期的月光迷宫行动。今年5月,来自Leonardo的研究人员发表了有关Penguin_x64的报告,这是 Penturin Turla Linux 后门的先前未记录的变体。根据此报告,我们生成了可大规模检测Penquin_x64感染主机的网络探针,使我们能够在2020年7月之前在欧洲和美国发现几十个受感染服务器。我们相信,根据GNU/Linux工具的公开文档,Turla可能已经对Penguin进行了改造,使其能够执行传统情报收集之外的操作。

    在这里插入图片描述



    Two-Sail Junk

    2020年1月,一个水坑(watering hole)被发现,该水坑利用完整的远程iOS漏洞链部署了功能丰富的植入物LightSpy。根据登陆页面的内容,该网站似乎是为XG用户设计的。目前,在我们能把这个活动和一个已知的组织联系起来之前,我们已经把这个植入物背后的威胁者命名为Two-Sail Junk。然而,尽管我们的公开报告聚焦于iOS的植入程序,但这个项目比之前想象的更广泛,它也支持Android的植入,并可能也支持Windows、Linux和MacOS的植入。

    LightSpy iOS植入组件的布局和通信如下图所示:

    在这里插入图片描述

    最初的水坑站点(hxxps://appledaily.googlephoto[.]vip/news[.]html)于2020年1月10日设计,旨在通过复制粘贴HTML来模仿XG知名报纸《苹果日报》。原始内容:

    在这里插入图片描述

    从2月18日开始,攻击者开始利用一系列不可见的iframe将潜在受害者从诱饵重定向到漏洞利用站点以及预期的合法新闻站点。

    在这里插入图片描述



    WellMess

    2020年3月,我们开始积极跟踪与恶意软件WellMess相关的新C2服务器,这意味着潜在的大规模新活动浪潮。该恶意软件最初是在2018年7月被JPCERT记录下来的,从那以后就偶尔活跃起来。有传言暗示可能与CozyDuke(又名APT29)有关,还有猜测称目前的活动主要集中在医疗保健行业,尽管我们无法证实这两种说法。

    • WellMess是一种用.NET和Go(Golang)编写的远程访问木马,可以交叉编译以与Windows和Linux兼容


    WildNeutron

    我们在2015年与Symantec的同事Morph或Butterfly一起首次发布了有关WildNeutron的信息。该群体在2012至2013年对Twitter、Microsoft、Apple和Facebook的攻击中脱颖而出,是我们所见到的最难以捉摸、最神秘和最活跃的群体之一。他们的武器库包括许多有趣且创新的工具,例如LSA后门或IIS插件,以及基于0day的部署和物理部署。毫不奇怪,在几种已知的攻击中,WildNeutron也使用了定制的Linux后门。

    溯源
    在该组织的某些样本示例中,加密的配置包括罗马尼亚语字符串,该字符串用于标记C&C通信的结束。有趣的是,“ La revedere”在罗马尼亚语中是“再见”。除此之外,我们发现了另一个非英语字符串,这是俄语单词Успешно(“ uspeshno”->“ successfully”)的拉丁语转录。执行C2命令后,将此字符串写入管道。

    在这里插入图片描述



    Zebrocy

    Zebrocy是自2015年以来一直在跟踪的自定义恶意软件。使用该恶意软件的组织最初是Sofacy的子集,但与其他APT组也有相似之处和重叠之处。该小组已经开发了多种语言的恶意软件,包括Delphi、AutoIT、.NET、C#、PowerShell和Go。Zebrocy主要针对国内和偏远地区的中亚政府相关组织。该组织广泛使用鱼叉式网络钓鱼来破坏Windows端点。但是,它的后门配置为通过端口80与IP分配的Web服务器主机直接通信。并且该小组似乎更喜欢Linux作为其基础架构的一部分,特别是在Debian Linux上运行的Apache 2.4.10。

    在这里插入图片描述



    保护Linux系统的建议

    Linux系统不受保护的主要原因之一是:对使用Linux而不是更流行(且更具针对性)的Windows会产生一种错误的安全感。尽管如此,我们希望上述所有观点足以说服您,让您开始认真地保护基于Linux的计算机。

    • 第一个建议是维护一个可信任的软件源列表
      就像Android或iOS应用推荐的方法一样——只安装官方存储库中的应用程序。在Linux世界中,我们享受更多的自由:例如,即使你在使用Ubuntu,你也不会被限制在Canonical自己的存储库中。任何.deb文件甚至GitHub的应用程序源代码,都可以为您服务。但请明智地选择这些来源。不要盲目地遵循“从我们的服务器上运行这个脚本来安装”这样的指令;或者“curl https://install-url | sudo bash”,这是一个安全噩梦。

    • 请注意从这些受信任存储库获取应用程序的安全方式
      更新应用程序的通道必须使用HTTPS或SSH协议加密。除了您对软件资源及其交付渠道的信任之外,及时地进行更新也非常重要。大多数现代Linux风格都能够为您完成这一点,但是一个简单的cron脚本将帮助您保持更多的保护,并在开发人员发布所有补丁时立即获得它们。

    • 接下来我们建议检查与网络相关的设置
      使用像“netstat -a”这样的命令,您可以过滤掉您主机上所有不必要的打开端口。请避免使用您不需要或不使用的网络应用程序来最小化您的网络占用。此外,强烈建议从您的Linux发行版适当地设置防火墙,以过滤流量并存储主机的网络活动,不直接上网也是个好主意,可以通过NAT。

    • 为了继续使用与网络相关的安全规则,建议至少使用密码保护本地存储的SSH密钥
      在更多的“偏执”模式下,您甚至可以将密钥存储在外部受保护的存储中,例如来自任何受信任供应商的令牌。在连接的服务器端,现在为SSH会话设置多因素身份验证并不难,比如发送到手机的消息或身份验证程序等其他机制。

    • 保存和分析网络活动日志
      到目前为止,我们的建议涵盖了软件来源、应用程序交付渠道、避免不必要的网络占用和加密密钥的保护。对于监视在文件系统级别找不到的威胁,我们推荐的另一个方法是保存和分析网络活动日志。您可以安装和使用带外网络tap来独立地监视和分析Linux系统的网络通信。

    • 定期监控主配置文件以及系统二进制文件的完整性,以防文件病毒
      作为威胁模型的一部分,您需要考虑这样一种可能性,即尽管有上述所有措施,攻击者仍可能破坏您的保护。根据攻击者在系统中的持久性考虑下一个保护步骤。他们可能会做出改变,以便能够在系统重启后自动启动木马。因此,您需要定期监控主配置文件以及系统二进制文件的完整性,以防文件病毒。

    • 设备的物理安全性也很重要
      如果您的笔记本电脑最终落入攻击者的手中,并且您没有采取措施保护它免受攻击,那么您对网络和系统级强化的关注程度也无关紧要。您应该考虑全盘加密和安全引导机制以实现物理安全。一种更像间谍的方法是将防篡改安全带放置在最关键的硬件上。

    • 专用Linux安全解决方案,可以简化保护任务
      网络威胁保护检测恶意和钓鱼网站;网络威胁保护检测传入流量中的网络攻击;行为分析检测恶意活动,而设备控制允许管理连接的设备并访问它们。

    • 使用Docker容器
      容器的感染是一个非常现实的问题,容器化本身并不能提供安全性。一些容器与主机之间是完全隔离的,但不是它们中存在网络和文件系统接口,并且在大多数情况下,物理世界和容器化世界之间存在桥梁。为了防止供应链攻击,可以使用容器,图像以及本地和远程存储库的On-Access扫描(OAS)和On-Demand扫描(ODS)。名称空间监视、灵活的基于掩码的扫描范围控制和扫描容器的不同层的能力有助于实施安全的开发最佳实践。

    我们把这些建议分成了合理的部分。请记住,除了应用我们提到的所有措施外,您还应该定期审计和检查所有生成的日志和任何其他消息。否则你可能会错过被打扰的迹象。最后一个想法,对于安全狂热者来说,是采取积极的措施——不时地提供系统渗透测试。



    总结

    写到这里,这篇文章就介绍完毕,主要翻译了卡巴斯基的Linux中APT攻击的报告,并融合了自己的理解及相关资料,希望这系列翻译文章对您有所帮助。学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章,深知自己很菜,得努力前行。

    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    在这里插入图片描述

    (By:Eastmount 2020-09-14 星期一 晚上11点写于武汉 http://blog.csdn.net/eastmount/ )

    展开全文
    Eastmount 2020-09-14 20:50:13
  • GIR_Tina 2021-12-20 14:22:03
  • qq_45590334 2020-12-30 19:10:33
  • HSXHYJY88 2021-10-30 16:04:29
  • tutucoo 2018-12-07 00:21:10
  • Eastmount 2020-11-19 16:31:49
  • ALone_wm 2019-05-15 14:39:31
  • liumiaocn 2020-11-05 07:15:45
  • hongtaq156136 2019-03-04 11:23:33
  • Eastmount 2020-09-22 17:07:35
  • zhangjiexiao 2018-04-15 17:50:46
  • Eastmount 2020-07-28 20:43:12
  • qq_43747119 2019-02-21 14:21:33
  • dhlj4509 2019-09-24 11:56:42
  • w_g3366 2019-09-07 09:03:12
  • Eastmount 2021-03-10 23:39:28
  • zhangbijun1230 2018-08-26 09:27:30
  • Fly_hps 2018-10-18 14:07:52
  • Eastmount 2021-03-06 21:17:28
  • Eastmount 2020-05-05 13:49:19
  • liumiaocn 2019-03-12 06:17:31
  • Eastmount 2021-03-01 23:22:46
  • WONGZIMING 2019-11-07 19:18:18

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 114,541
精华内容 45,816
关键字:

安全分析报告内容