网络病毒监控系统安全技术要求和测试.docx
《网络病毒监控系统安全技术要求和测试.docx》由会员分享,可在线阅读,更多相关《网络病毒监控系统安全技术要求和测试.docx(55页珍藏版)》请在冰豆网上搜索。
网络病毒监控系统安全技术要求和测试
网络病毒监控系统安全技术要求和测试
1范围
本标准规泄了网络病毒监控系统的功能要求、安全要求、性能要求及安全保障要求,并给出了测试评价方法。
本标准适用于网络病毒监控系统的设讣、开发及检测。
2术语和定义
2.1
网络病毒监控系统VirusdetectionSyStem
旁路方式监听网络内的数拯包并进行分析,以发现网络中传播的病毒及英相关行为的系统。
2.2
病毒VirUS
能够影响汁算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代码,包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。
2.3
病毒捕获VirusCaPtUre
网络病毒监控系统为保留病毒或疑似病毒样本以及受感染的文件,而将从网络上捕获的相应文件存储在特定的受限制存储空间的处理方式。
2.4
内部网络internalnetwork
通过防火墙/网络病毒监控系统隔离的可信任区域或保护区域。
2.5
外部网络externalnetwork
通过防火墙/网络病毒监控系统隔离的不可信任区域或非保护区域。
2.6
线速WireSPeed
网络病毒监控系统所监控网络环境理论上能达到的最大转发速率。
2.7
负载呈PeakIOad
网络病毒监控系统在不丢包的情况下处理监控数据的能力,一般以能达到的线速(或称通过速率)
的百分比来表示。
2.8
恶意URLmaIiciousURL
指向的资源中含有病毒的URL。
2.9
加壳病毒PaCkedVirus
通过特定算法的变换,将病毒的编码进行一次或多次的压缩、加密,产生新的病毒文件。
与原病毒文件相比,文件内容发生变化,但功能保持不变。
2.10
可执行病毒样本executableVirusSamPIe
可以被激活并正常执行苴功能的病毒样本文件。
2.11
恶意网页脚本样本maIiciousWebPageSCriptVirUSSamPIe
含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。
2.12
已知病毒样本knownVirusSamPIe
网络病毒监控系统能够检测的病毒样本文件。
2.13
病毒样本库VirusSamPleSet
病毒样本文件的集合。
3缩略语
下列缩略语适用于本文件。
URL:
统一资源立位符(UniformReSOUrCeLOCatOr)
IP:
互联网协议(InternetPrOtOCOr)
TCP:
传输控制协议(TgnSmiSSiOnCOntrOIPrOtOCOr)
HTTP:
超文本传输协议(旳PerTeXtTranSferPrOtOCOI)
SMB:
服务器消息块协议(SerVerMeSSageBIOCk)
CIFS:
通用网络文件系统协议(COmmOnInternetFiIeSyStem)
IPv4:
互联网协议第4版(InternetPrOtOCOIVerSiOn4)
IPv6:
互联网协议第6版(InternetPrOtOCOIVerSiOn6)
FTP:
文件传输协议(FileTranSferPrOtOCOr)
POP3:
邮局协议第3版(POStOffiCePrOtOCOIVerSiOn3)
SMTP:
简单邮件传输协议(SimPIeMaiITranSferPrOtOCOl)
INfAP:
Internet邮件访问协议(InternetHa订ACCeSSPrOtOCOI)
HTML:
超文本标记语言(旳PerTeXtMarkUPLangUage)
XLS:
微软公司电子表格文档格式(MiCrOSOftEXCeI)
CSV:
逗号分隔的文本文件格式(COmma-SeParatedVaIUeS)
XML:
可扩展标记语言(EXtenSibleMarkUPLangUage)
Gbps:
千兆/秒(GigabitSPerSeCOnd)
KB:
千字节(KilOByte)
HTTPS:
安全超文本传输协议(HyPerteXtTranSferPrOtOCOIOVerSeCUreSOCketLayer)
IDS:
入侵检测系统(IntrUStiOnDeteCtiOnSyStem)
IPS:
入侵防御系统(IntrUStiOnPreVentiOnSyStem)
4网络病毒监控系统描述
网络病毒监控系统以旁路方式接入网络,能够实时监测网络环境中的病毒疫情发展趋势;全面检测各种网络病毒的扫描、传输、攻击等行为:
精确泄位病毒的来源;评估病毒产生的网络压力状况;并准确提供病毒类别、病毒名称等信息:
形成网络病毒的全局视图。
这种网络病毒监控系统能够检测网络内部的数据,对多种网络协议和应用协议的数据进行分析和病毒扫描,一旦发现病毒就会采取告警,并立位病毒文件及苴来源、病毒类别、病毒勺称等信息,实现病毒大规模爆发前的预警。
一些网络病毒监控系统还可以与英它安全设备进行交互,对病毒传播行为进行阻断。
网络病毒监控系统运行环境和工作模式参见附录A中A.1,A.2。
5技术要求
5.1总体说明
5.1.1技术要求分类
将网络病毒监控系统安全技术要求分为功能、安全、性能和安全保障要求四个大类。
其中,功能要求是对网络病毒监控系统应具备的功能提出具体的要求,包括安全监测能力、监控策略、响应处理、报表和统计、加密应用协议支持、故障信息告警、升级能力、协同能力等;性能要求是对网络病毒监控系统应达到的性能指标做出规定,例如负载疑;安全要求是对网络病毒监控系统自身安全和防护能力提出具体的要求,例如标识与鉴别、安全管理、审计日志等:
安全保障要求则针对网络病毒监控系统开发者和网络病毒监控系统自身提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
5.1.2安全等级
根据国内测评认证机构、测评技术和我国网络病毒监控系统产品开发现状,对网络病毒监控系统产品进行安全等级划分。
安全等级分为基本级和增强级。
安全等级划分标准主要依据产品的功能特性,对基本级产品的性能不作要求。
增强级产品除需满足基本级产品的技术要求外,还需满足增强级中列出的英他技术要求。
其中"加粗宋体字”表示所描述的要求仅适用于增强级产品。
5.2功能要求
5.2.1基本级
5.2.1.1监测能力
网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。
获取的数据包和数据流应足以进行病毒检测和分析。
5.2.1.1.2应用协议支持
产品应支持对使用以下应用协议的网络请求和响应进行病毒检测和分析:
a)HTTP协议;
b)FTP协议;
C)POP3协议;
d)SMiP协议;
e)SMB/CIFS协议。
5.2.1.1.3静态病毒检测
当处于静态菲激活的病毒在被监控网络中传播时,产品应具有相应的响应处理能力,并且对于正常的系统文件和文档不会产生误报警。
5.2.1.1.4逃避检测防护
产品应能支持识别圧缩格式的病毒文件,以此发现逃避检测的病毒传播行为。
5.2.1.1.5多种类型网络应用场景支持
为适应不同类型网络,产品应具有以下能力:
a)产品支持在纯IPv4∕IPv6网络应用场景中安装与正常使用;
b)产品支持IPv4与IPv6双协议栈,可以在IPv4与IPv6共存的网络应用场景中安装与正常使用。
5.2.1.2监控策略
5.2.1.2.1策略自定义
产品应能根据5.2.1.1中所述的要求添加、修改和删除监控策略。
5.2.1.2.2策略初始模板
产品应具备初始的监控策略,并覆盖5.2.1.1.2中所述的常见应用协议,并开启对病毒文件的检测功能。
5.2.1.3响应处理
5.2.1.3.1病毒检测
产品应能根据监控策略对病毒文件进行检测和告警。
5.2.1.3.2告警信息
产品应能对病毒传播行为提供报警功能。
报警信息应至少包括以下内容:
a)病毒传播来源地址;
b)病毒传播来源端口号;
C)病毒传播目的地址;
d)病毒传播目的端口号;
e)病毒传播协议:
f)病毒文件爼;
g)病毒名称:
h)事件发生的日期和时间。
5.2.1.3.3告警方式
产品告警应采用屏幕实时提示、邮件告警、短信告警和声音告警等一种或多种方式。
5.2.1.3.4事件记录
产品应能对病毒传播行为及时生成事件记录,事件记录应存储于掉电非易失性存储介质中,且在存储空间达到阈值时能够通知授权管理员。
5.2.1.4报表和统计
5.2.1.4.1报表生成
产品应能对事件记录进行统讣,并根据以下模板生成报表:
a)缺省报表模板;
b)自泄义报表模板。
5.2.1.4.2报表导出
产品报表应能输出成方便阅读的文件格式,至少支持以下报表文件格式中的一种或多种:
DoC.PDF.HTML、XLS、CSV、XML等。
5.2.1.4.3统计功能
产品应提供基于时间、主机地址、威胁事件类型等进行统讣的功能。
5.2.1.5故障信息告警
产品应具备软、硬件故障告警功能,能够在软件、硬件出现故障时,通过屏幕实时提示、邮件告警、短信告警、声音告警等一种或多种方式进行告警。
5.2.1.6升级能力
产品应支持手动或自动的方式进行升级,对病毒库、策略文件以及服务程序等进行更新。
5.2.2增强级
5.2.2.1监测能力
5.2.2.1.1数据收集
网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。
获取的数据包和数据流应足以进行病毒检测和分析。
5.2.2.1.2应用协议支持
产品应支持对使用以下应用协议的网络请求和响应进行病毒检测和分析:
a)HTiP协议;
b)FTP协议;
C)POP3协议;
d)SMTP协议;
e)SMB/ClFS协议:
f)其它协议。
5.2.2.1.3静态病毒检测
当处于静态非激活的病毒在被监控网络中传播时,产品应具有相应的响应处理能力,并且对于正常的系统文件和文档不会产生误报警。
5.2.2.1.4动态病毒检测
当处于动态已激活的病毒在被监控网络中传播时,产品应具有相应的响应处理能力。
5.2.2.1.5逃避检测防护
产品应能支持识別以下特殊格式的病毒文件,以此发现逃避检测的病毒传播行为:
a)压缩格式的病毒文件:
b)加壳格式的病毒文件。
5.2.2.1.6恶意URL防护
对于含有病毒、木马等恶意软件的恶意URL,产品应具有相应的响应处理能力。
5.2.2.1.7多种类型网络应用场景支持
为适应不同类型网络,产品应具有以下能力:
a)产品支持在纯IPv4∕IPv6网络应用场景中安装与正常使用;
b)产品支持IPv4与IPv6双协议栈,可以在IPv4与IPv6共存的网络应用场景中安装与正常使用。
5.2.2.2监控策略
5.2.2.2.1策略自定义
产品应能根据5.2.2.1中所述的要求添加、修改和删除监控策略。
5.2.2.2.2策略初始模板
产品应具备初始的监控策略,并覆盖5.2.2.1.2中所述的常见应用协议,并开启对病毒文件的检测功能。
5.2.2.3响应处理
5.2.2.3.1病毒检测
产品应能根据监控策略对病毒文件进行检测和告警。
5.2.2.3.2病毒捕获
产品应能根据监控策略对病毒文件进行捕获。
5.2.2.3.3恶意URL检测
产品应能根据防护策略对恶意URL的访问请求进行