赛迪科工分享：建立校园终端安全检测和治理体系（一）

2023年6月14日，“北京赛迪工业和信息化工程监理中心有限公司”（简称“赛迪监理”）正式更名为“北京赛迪科技工程有限公司”（简称“赛迪科工”）。

本期赛迪科工为大家分享：建立校园终端安全检测和治理体系（一）

制定技术方案，从病毒的监测、分析、处置、溯源的闭环处置等进行规划和设计，部署和使用有针对性的治理工具，包括流量探针、日志审计平台、大数据威胁分析平台、服务器安全管理系统、终端安全管理系统，以及网络安全专家服务。从而构建整套校园终端安全检测和治理体系。

1、监测与分析

在学校数据中心出口部署APT流量探针设备和基于大数据分析的态势感知安全平台，基于大数据分析技术和人工智能算法，对校园网内海量数据进行威胁情报检测、可疑病毒变种样本分析、未知病毒异常外联行为检测、病毒传播过程分析等。包括：

（1）全流量分析检测：利用各种检测手段对双向全流量进行深度解析，发现流量中已知的或未知的恶意攻击，如：基于web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击，以及0day攻击，并且能发现和定位僵尸主机、受控主机，进行预警。

（2）0day检测：能够在网络中出现攻击时主动发现攻击，并进行预警。

（3）恶意文件检测：对网络中传输的文件进行分离和检测，检测方式包含病毒引擎检测、静态分析、动态沙箱分析，发现病毒、木马、蠕虫等已知和未知恶意文件传播行为。

（4）常规检测：通过解码所有进入的请求，检查请求是否合法或合乎规定。仅允许通过正确的格式或RFC遵从的请求，已知的恶意请求将被阻断。例如：跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入、命令注入和协议错误攻击等。

（5）行为检测：基于高级行为检测能力，识别用户的行为特点，区别机器行为和人工渗透行为，分析出普通的扫描器扫描、大量数据获取(拖库行为)、手工渗透等大量的基于行为特征分析。

（6）文件检测：通过WEB上传和下载的文件进行检测，包括：WEBSHELL检测、可执行文件检测、非执行文件检测(office、pdf、flash等大量可能被利用直接攻击客户端的文件)。

（7）异常流量检测：对检测对象的会话特征进行多维度监控统计，根据正常的网络行为建立模型，分析检测对象多个异常参数的关联关系，判断是否有异常行为产生。包括DGA域名访问、远程控制行为、挖矿行为、漏洞利用、暴力破解、隐蔽信道传输及弱口令利用等异常流量的检测。

（8）扫描探查检测：对端口扫描、服务扫描、Web扫描、扫描器指纹检测等扫描探查检测。漏洞利用检测：对SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等漏洞利用检测。异常主机和账号检测：对端口异常、主机对外扫描、主机对外攻击等主机异常检测；对登录异常、暴力破解、行为异常等账号异常检测。

（9）日志审计：将校园内网络设备、安全设备、服务器、应用系统日志收集到日志审计平台，进行标准化处理，监控资产的运行状况。通过引擎进行多维度、跨设备、细粒度的关联分析，透过事件的表象还原事件背后的信息，从而发现各种安全威胁、异常行为事件。

（未完待续）

（内容节选自《大数据背景下的校园终端安全》，：张志军，文章收录于《数字化用户》杂志，版权归原所有。北京赛迪科技工程有限公司）

来源：赛迪科工