这么设计 dns 常见的 安全分类。显示出来。
dns 的安全数据,显示出来。
各种相关数据。
展示方式, 图标,饼图,柱状图等等,多屏拼接。
前端的可视化展示 方式 由 文慧 提供 或者实现。
相关的 数据,以及 数据分析,由我来提供,数据源,要展示的东西。
=======
dns 报文数据
=======
他们发现的 dns安全威胁 分类 。这些就是我们要做的 ,实现的 基础功能。
远控木马
识别访问“远控”木马的网络流量,及时发现网络内可能存在的感染木马的主机,阻断其与“远控”中心服务器、下载服务器的连接
勒索软件
识别勒索软件产生的网络流量,及时报警并阻断勒索软件的连接尝试,避免可能产生的损失
APT攻击
识别对APT攻击相关网站的访问,保证网络内部数据安全
DNS攻击
识别网络外发起的DNS攻击流量,及时阻断,保证网络DNS服务器和网络内主机的正常运行
敏感数据泄漏
发现可能存在的内部敏感数据泄漏,并追查数据流向
DGA
识别基于DGA技术生成的恶意域名,阻止未知病毒活动。
FFSN
识别Fast-Flux网络访问
DNS流量携带恶意软件
发现伪装成DNS流量的网络交互行为
非DNS协议流量
发现在53端口的非DNS流量
挖矿机
识别BitCoin挖矿行为产生的网络流量,进而发现网络内可能存在的病毒感染
暗网流量
发现Tor网络流量,预警可能存在的不规范网络行为
无效域名访问
识别对无效域名的访问,以及背后可能存在的病毒感染或攻击行为
僵木蠕
发现僵木蠕活动痕迹
勒索软件
发现勒索软件活动痕迹
网页挂马攻击
用户访问被挂马的网站,会导致在不知情的情况下自动下载并执行恶意代码。
=======
dns 流量包分析
- 僵木蠕捕获
1. 在数据包bjzh-dns-1022.pcap中发现了疑似恶意软件行为活动痕迹。沦陷主机访问c2网址ipv6microsoft.dlmix.ourdvs.com
2. 在数据包bjzh-dns-0.pcap和bjzh-dns-2021.pcap中发现疑似远控木马活动痕迹,文件哈希为:B378307724c60db1b6ffea66a30fbc7c71a150e6f0b739de0c6c95e1d97ea5cc
- 恶意代码下载
1. 在数据包bjzh-dns-2077.pcap中发现下载恶意代码的痕迹,沦陷主机访问的域名为:d.img001.com
2. 在数据包bjzh-dns-2076.pcap中发现下载恶意代码的痕迹,沦陷主机访问的域名为:d1.kuai8.com
- 勒索软件捕获
1. 在数据包bjzh-dns-1008.pcap中发现勒索软件活动痕迹,沦陷主机访问域名:nsjicml.com,iwrmorzswyk.com
- 恶意网址访问
1. 在数据包bjzh-dns-3018.pcap,bjzh-dns-3032.pcap中发现恶意网址访问痕迹,沦陷主机访问域名为:t.t70123.com
2. 在数据包bjzh-dns-2025.pcap中发现恶意网址访问痕迹,沦陷主机访问域名为:z1.zedo.com
=========
dns 数据包
的数据 展示。
=====
各种安全的 检测 手段。
=====
赵总说,让我(韩亚飞)和温慧出个设计的思路,我这样想的,就是 将常见的dns 安全问题分类显示出来。比如 群里 What we finds 这个文档 里面提及的一些 。
尽可能的将全部有用信息展示出来。并提供信息分析后的直观图。多屏拼控,显示内容自由布局组合。大屏多屏操控模式。
我目前还不知如何采集和分析相关数据。
=====
多种数据展示方式
依据不同业务数据的特点和决策关注焦点,以恰当、直观的图表,将数据指标形象化、直观化、具体化的呈现。
实时数据监控
网络运行安全状态的实时数据都可以在驾驶舱中显示,保证数据的真实性和时效性,可以真实反映网络运行的状况,为决策提供有力的依据。
多维度指标体系
多个指标维度联动交互,涵盖了网络安全监控的重点环节,包括:协议流量、攻击病毒、资源能耗、漏洞违规、服务器主机及应用等组成部分。
通过详尽的指标体系,建立专门的数据分析主题仪表盘,多维度分析数据联系,反映网络运行及安全状态,支持多维联动交互,将数据形象、直观的呈现给决策者。帮助用户全方位了解网络运行态势,并快速把握安全数据背后的规律,挖掘出数据蕴含的知识信息,从而快速发现潜在的网络威胁。
=====
信息资产组成结构展示
重点关注静态资产的威胁和脆弱性,特别是主机、数据库、服务器、中间件、网络等基础设施层面的漏洞与配置安全,对包括IDS、VDS、私有云、防火墙、主机监控等子系统运行数据进行可视化呈现,实现全网络的信息资产状态的监测与感知。
信息流动及作业机理展示
围绕信息系统的业务安全,主要针对业务和应用层面,全面评估信息系统在业务流转、业务逻辑、业务交付等环节的安全风险,深度挖掘和识别应用层存在的安全漏洞,提升信息系统和业务的可控性、可靠性、合规性。
信息资产安全事件监测
入侵检测监测、病毒检测监测、私有云监测、防火墙监测、主机监测等多种环节的监测。
===
运行状态可视化
系统集成环境监控系统,对机房的温湿度、电力系统的运行状态,网络、主机以及空间容量等信息进行实时监测,并通过可视化的方式实时反映系统的运行状态和报警信息。
IT架构可视化
系统将可视化管理范围由园区、机房等物理设施扩展至数据中心所支撑的业务、应用、系统、流程,为IT管理者提供对整个IT系统的端到端可视化手段(IT逻辑宇宙到物理宇宙),并通过开放的数据接口,集成IT管理中的各个软件系统,为IT运维管理提供统一的可视化平台。
资产可视化
利用可视化技术建立与实际机房完全一致的3D虚拟环境,其数据可基于资产管理数据库、CMDB、手工录入或批量导入,人们可以在3D场景中任意查询资产对象。
环境可视化
系统以3D虚拟仿真的形式对数据中心真实展现,从园区的外部环境、楼宇到机房内部结构和独立设备均可进行立体仿真展示,并可进行任意角度的调整及场景的切换。
通过3D虚拟现实技术,提供了一个完整的、网络化、可视化的三维虚拟环境,以可交互的界面,清晰完整展现整个数据中心运行状态。包括环境、资产、运行状态、IT架构等。
=====
网络节点态势,二三维地理空间呈现
系统支持从地理空间分布维度,对全网主机及关键节点的综合安全信息进行网络态势监控。
网络逻辑架构,二三维拓扑结构呈现
系统支持从逻辑拓扑层级结构维度,从全网的整体安全态势,到信息资产以及安全数据的检测,进行全方位态势监控。
网络节点信息详细呈现
系统支持全网各节点的信息查询,实时反映节点信息的状态,对节点信息安全进行全面监测。
实时监测,灵活告警
系统提供强大的网络威胁入侵检测系统,深入分析网络流量信息,对全网各节点进行实时监测,并支持多种图表的威胁告警方式,让威胁一目了然。还可查看告警威胁事件的详细信息,同时支持自定义告警策略,设置告警范围和阀值等策略。
APT高级威胁展示
基于APT攻击检测系统,对攻击来源、攻击目的、攻击路径进行溯源分析,同时根据安全威胁事件的来源信息和目标信息,结合GIS技术将虚拟的网络威胁和现实世界生动的结合起来,实现网络安全态势的可视化。
===
- 网络安全
检测隐藏在数据中的高级威胁。通过检测所有的网络日志、电子邮件、打印日志、设备访问日志、内部聊天记录和人力资源数据、开源和第三方数据,并从噪声信号中分离操作信号,保护网络安全。
- ===
- AVE可视化引擎
AVE™可视化引擎是可视化决策中心的核心软件平台,提供强大的可视化平台和组件库,可用于构建多种专业的数据可视化系统,以适应不同行业、场景的用途。
- 可视化渲染机/集群
是大数据可视化决策中心的核心可视化渲染硬件平台。支持集群式运行,提供优异的可视化渲染输出性能以及平稳的系统运行效果。
- 地图数据服务器
为可视化决策中心提供地图数据服务。设备集成海量地图数据&地图服务软件,提供个性化地图风格和全离线地图解决方案,满足各种范围、精度地图显示需求。
- 数据接口
支持对接业务系统、信号采集设备和多源异构数据存储,有机集成了多种数据存储服务,实现海量批处理和高速流处理,为用户决策判断提供全面的数据支持。
- 大屏幕
大屏幕作为可视化决策中心内最重要的显示输出设备,是可视化的视觉聚焦点。数字冰雹针对不同用户场景,量身打造大屏、多屏选型设计,提供顶级视觉体验。
- 交互可视化设备
包括台位、触控屏、电子沙盘等设备,数字冰雹可以为客户提供全面、高质量的触控交互产品定制方案,为多屏协同、超大面积触控等场景提供完美交互体验。
=====
就是要将你所知道的,你想要的直观方式 展示出来。
=====
http://www.forease.net/cn/products/dnscc/dataanl
查询统计 域名查询分析 域名类型分析 来源IP统计 来源地域分析
===