CIS網(wǎng)絡(luò)安全智能系統(tǒng)技術(shù)白皮書(shū)

1、CIS網(wǎng)絡(luò)安全智能系統(tǒng)技術(shù)白皮書(shū)Technical White Paper 目錄 HYPERLINK l _bookmark0 1技術(shù)背景6 HYPERLINK l _bookmark1 2概念及原理6 HYPERLINK l _bookmark2 概念介紹6 HYPERLINK l _bookmark3 智能檢索6 HYPERLINK l _bookmark4 攻擊路徑可視化6 HYPERLINK l _bookmark5 事件關(guān)聯(lián)分析7 HYPERLINK l _bookmark6 流量基線異常檢測(cè)7 HYPERLINK l _bookmark7 WEB異常檢測(cè)7 HYPERLINK l

2、_bookmark8 郵件異常檢測(cè)7 HYPERLINK l _bookmark9 C&C異常檢測(cè)7 HYPERLINK l _bookmark10 隱蔽通道異常檢測(cè)7 HYPERLINK l _bookmark11 威脅判定7 HYPERLINK l _bookmark12 工作原理8 HYPERLINK l _bookmark13 系統(tǒng)體系結(jié)構(gòu)8 HYPERLINK l _bookmark14 數(shù)據(jù)采集原理8 HYPERLINK l _bookmark15 數(shù)據(jù)預(yù)處理原理8 HYPERLINK l _bookmark16 分布式存儲(chǔ)原理8 HYPERLINK l _bookmark17 分

3、布式索引原理8 HYPERLINK l _bookmark18 事件關(guān)聯(lián)分析原理9 HYPERLINK l _bookmark19 流量基線異常檢測(cè)原理9 HYPERLINK l _bookmark20 WEB異常檢測(cè)原理9 HYPERLINK l _bookmark21 郵件異常檢測(cè)原理9 HYPERLINK l _bookmark22 C&C異常檢測(cè)10 HYPERLINK l _bookmark23 隱蔽通道異常檢測(cè)原理10 HYPERLINK l _bookmark24 威脅判定原理10 HYPERLINK l _bookmark25 3業(yè)務(wù)功能10 HYPERLINK l _book

4、mark26 日志采集10 HYPERLINK l _bookmark27 Syslog日志采集11 HYPERLINK l _bookmark28 Dataflow日志采集11 HYPERLINK l _bookmark29 Netflow數(shù)據(jù)采集11 HYPERLINK l _bookmark30 流量采集11 HYPERLINK l _bookmark31 協(xié)議解析11 HYPERLINK l _bookmark32 文件還原11 HYPERLINK l _bookmark33 流量抓包12 HYPERLINK l _bookmark34 威脅檢測(cè)12 HYPERLINK l _book

5、mark35 關(guān)聯(lián)分析12 HYPERLINK l _bookmark36 流量基線異常檢測(cè)12 HYPERLINK l _bookmark37 WEB異常檢測(cè)12 HYPERLINK l _bookmark38 郵件異常檢測(cè)12 HYPERLINK l _bookmark39 C&C異常檢測(cè)12 HYPERLINK l _bookmark40 隱蔽通道異常檢測(cè)12 HYPERLINK l _bookmark41 智能檢索13 HYPERLINK l _bookmark42 數(shù)據(jù)檢索13 HYPERLINK l _bookmark43 檢索結(jié)果鉆取13 HYPERLINK l _bookmar

6、k44 威脅可視化13 HYPERLINK l _bookmark45 威脅地圖13 HYPERLINK l _bookmark46 事件顯示13 HYPERLINK l _bookmark47 多維分析13 HYPERLINK l _bookmark48 攻擊路徑可視化14 HYPERLINK l _bookmark49 大屏展示14 HYPERLINK l _bookmark50 威脅趨勢(shì)14 HYPERLINK l _bookmark51 告警通知14 HYPERLINK l _bookmark52 設(shè)備聯(lián)動(dòng)14 HYPERLINK l _bookmark53 信譽(yù)管理15 HYPERL

7、INK l _bookmark54 業(yè)務(wù)配置15 HYPERLINK l _bookmark55 關(guān)聯(lián)規(guī)則配置15 HYPERLINK l _bookmark56 流量基線配置15 HYPERLINK l _bookmark57 黑白名單配置15 HYPERLINK l _bookmark58 系統(tǒng)監(jiān)控15 HYPERLINK l _bookmark59 告警管理15 HYPERLINK l _bookmark60 日志管理15 HYPERLINK l _bookmark61 節(jié)點(diǎn)監(jiān)控16 HYPERLINK l _bookmark62 系統(tǒng)管理16 HYPERLINK l _bookmark

8、63 集群管理16 HYPERLINK l _bookmark64 全局配置16 HYPERLINK l _bookmark65 北向配置16 HYPERLINK l _bookmark66 系統(tǒng)管理員16 HYPERLINK l _bookmark67 安裝升級(jí)17 HYPERLINK l _bookmark68 知識(shí)庫(kù)管理17 HYPERLINK l _bookmark69 4應(yīng)用實(shí)施17 HYPERLINK l _bookmark70 獨(dú)立部署檢測(cè)僵尸主機(jī)場(chǎng)景17 HYPERLINK l _bookmark71 與沙箱集成檢測(cè)APT攻擊場(chǎng)景18 HYPERLINK l _bookmark

9、72 與第三方SOC/SIEM集成檢測(cè)APT場(chǎng)景18 HYPERLINK l _bookmark73 5參考文檔19CIS 技術(shù)白皮書(shū)CIS Technical White PaperKey words 關(guān)鍵詞：威脅，異常，日志，關(guān)聯(lián)分析，流量基線異常Abstract 摘 要：本文介紹了CIS系統(tǒng)的應(yīng)用背景，描述了CIS系統(tǒng)的實(shí)現(xiàn)與運(yùn)行機(jī)制，并簡(jiǎn)單介紹了CIS在實(shí)際環(huán)境中的應(yīng)用縮略語(yǔ)清單List of abbreviations：Abbreviations縮略語(yǔ)Full spelling 英文全名Chinese explanation 中文解釋CISCybersecurity Intellig

10、ent System網(wǎng)絡(luò)安全智能系統(tǒng)CIS技術(shù)白皮書(shū)技術(shù)背景安全威脅近些年來(lái)發(fā)生巨大的變化，黑客攻擊從傳統(tǒng)帶有惡作劇與技術(shù)炫耀性質(zhì)逐步向利益化、商業(yè)化轉(zhuǎn)變。APT的攻擊迅速發(fā)展起來(lái)。APT是advanced persistent threat的縮寫(xiě)，即高級(jí)持續(xù)性威脅。它是指近年來(lái),專(zhuān)業(yè)且有組織的黑客，針對(duì)重要目標(biāo)和系統(tǒng)發(fā)起的一種攻擊手段。APT攻擊和傳統(tǒng)攻擊源和動(dòng)機(jī)有著明顯的區(qū)別，APT主要來(lái)自有組織的犯罪集團(tuán)或者公司， 外國(guó)政府，目標(biāo)是高價(jià)值的信息資產(chǎn)，例如商業(yè)秘密，知識(shí)產(chǎn)權(quán)，政治軍事機(jī)密等。APT攻擊者有強(qiáng)有力的組織性和資源保證，使得APT攻擊融合了情報(bào)技術(shù)，黑客技術(shù)，社會(huì)工程等各種手段，

11、 針對(duì)有價(jià)值的信息資產(chǎn)和系統(tǒng)進(jìn)行復(fù)雜的攻擊。APT攻擊的對(duì)象，不再是信息系統(tǒng)本身，還包括可通過(guò)社會(huì)工程學(xué)攻擊的管理信息系統(tǒng)的人。而傳統(tǒng)的信息安全技術(shù)在APT攻擊面前是無(wú)效的。因?yàn)锳PT攻擊依賴(lài)0-Day、AET高級(jí)規(guī)避攻擊等多種技術(shù)手段，基于特征的檢測(cè)方法無(wú)法識(shí)別；APT攻擊大量使用社會(huì)工程學(xué)與協(xié)同攻擊，使得攻擊的每個(gè)階段都不滿足攻擊特征，攻擊中的每個(gè)事件都是合法的或者低安全威脅的。因此超過(guò)80%的企業(yè)遭受過(guò)APT攻擊，但絕大多數(shù)沒(méi)有察覺(jué)。以著名的針對(duì)伊朗核設(shè)施的震網(wǎng)APT攻擊為例，攻擊者并沒(méi)有廣泛的去傳播病毒，而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻

12、擊，以此為第一道攻擊跳板，進(jìn)一步感染相關(guān)人員的U盤(pán)，病毒以U盤(pán)為橋梁進(jìn)入“堡壘”內(nèi)部，隨即潛伏下來(lái)。病毒很有耐心的逐步擴(kuò)散，利用多種漏洞，包括多個(gè)0-Day漏洞進(jìn)行破壞，病毒更改了離心機(jī)中的發(fā)動(dòng)機(jī)轉(zhuǎn)速，這種突然的改變足以摧毀離心機(jī)運(yùn)轉(zhuǎn)能力且無(wú)法修復(fù)。在離心機(jī)失控后仍向控制室發(fā)出“工作正常”的報(bào)告，給伊朗核設(shè)施造成了極大的破壞。業(yè)界對(duì)安全威脅檢測(cè)防御的思路已經(jīng)發(fā)生了巨大的變化，認(rèn)識(shí)到需要從過(guò)去單一設(shè)備、單一方法、關(guān)注威脅單一階段、實(shí)時(shí)性進(jìn)行檢測(cè)演進(jìn)到建立縱深防御的體系，從威脅攻擊鏈的整體來(lái)看問(wèn)題，因此基于大數(shù)據(jù)技術(shù)的威脅檢測(cè)和調(diào)查分析技術(shù)孕育而生。概念及原理概念介紹智能檢索智能檢索提供了一個(gè)基于

13、關(guān)鍵字條件快速查詢的頁(yè)面，在用戶進(jìn)行調(diào)查取證分析時(shí)，可通過(guò)輸入的關(guān)鍵字條件快速檢索到相關(guān)的日志和流量元數(shù)據(jù)，并可以進(jìn)一步查看日志和流量元數(shù)據(jù)的詳細(xì)信息。攻擊路徑可視化攻擊路徑可視化提供了攻擊過(guò)程和擴(kuò)散路徑的直觀展示，可呈現(xiàn)從外部滲透、建立通道、內(nèi)部擴(kuò)散到外發(fā)數(shù)據(jù)的完整攻擊鏈和攻擊上下文信息，并支持從威脅、郵件和文件的維度展示威脅影響范圍。事件關(guān)聯(lián)分析事件關(guān)聯(lián)分析是指通過(guò)兩個(gè)或者多個(gè)事件之間的關(guān)聯(lián)、統(tǒng)計(jì)或者時(shí)序關(guān)系分析異常行為， 以便發(fā)現(xiàn)僅從分析單個(gè)事件難以發(fā)現(xiàn)的安全問(wèn)題。流量基線異常檢測(cè)流量基線異常檢測(cè)是通過(guò)比對(duì)檢測(cè)時(shí)流量和流量基線，同時(shí)結(jié)合流量基線異常策略，從而檢測(cè)網(wǎng)絡(luò)訪問(wèn)訪問(wèn)行為，發(fā)現(xiàn)違規(guī)

14、訪問(wèn)、訪問(wèn)頻次和訪問(wèn)路徑異常。WEB 異常檢測(cè)WEB異常檢測(cè)是通過(guò)對(duì)互聯(lián)網(wǎng)出口的HTTP協(xié)議流量的分析，結(jié)合沙箱的文件檢測(cè)結(jié)果檢測(cè)通過(guò)HTTP協(xié)議的外部滲透行為，基于HTTP請(qǐng)求/響應(yīng)特征發(fā)現(xiàn)Webshell訪問(wèn)。郵件異常檢測(cè)郵件異常檢測(cè)是通過(guò)對(duì)互聯(lián)網(wǎng)出口的SMTP/POP3/IMAP協(xié)議流量的分析，結(jié)合沙箱的文件檢測(cè)結(jié)果檢測(cè)通過(guò)通過(guò)郵件的外部滲透行為。C&C 異常檢測(cè)C&C異常檢測(cè)是通過(guò)對(duì)互聯(lián)網(wǎng)出口的協(xié)議流量（DNS/HTTP/3,4層協(xié)議）的分析，檢測(cè)C&C通信異常、可疑的DGA域名訪問(wèn)和HTTP周期外聯(lián)。隱蔽通道異常檢測(cè)隱蔽通道異常檢測(cè)是通過(guò)對(duì)互聯(lián)網(wǎng)出口的ICMP、DNS協(xié)議數(shù)據(jù)進(jìn)行分析

15、，檢測(cè)基于隱蔽通道的數(shù)據(jù)外發(fā)行為。威脅判定威脅判定是按照預(yù)定的行為序列模式對(duì)異常檢測(cè)模型發(fā)現(xiàn)的異常行為進(jìn)行關(guān)聯(lián)，并對(duì)存在關(guān)系的異常行為進(jìn)行打分評(píng)估，從而生成基于攻擊鏈的威脅。工作原理系統(tǒng)體系結(jié)構(gòu)可視化層支持平臺(tái)+APP架構(gòu)。智能檢索，威脅地圖都通過(guò)APP的方式呈現(xiàn)。數(shù)據(jù)采集原理數(shù)據(jù)采集包括日志采集和原始流量采集，日志采集器負(fù)責(zé)日志采集，流探針負(fù)責(zé)原始流量采集。日志采集流程包括日志接收、日志分類(lèi)、日志格式化和日志轉(zhuǎn)發(fā)。流量采集流程包括流量采集、協(xié)議解析、文件還原和流量元數(shù)據(jù)上報(bào)。數(shù)據(jù)預(yù)處理原理數(shù)據(jù)預(yù)處理負(fù)責(zé)對(duì)采集器上報(bào)的歸一化日志和流探針上報(bào)的流量元數(shù)據(jù)進(jìn)行格式化處理， 補(bǔ)充相關(guān)的上下文信息（包

16、括用戶、地理位置和區(qū)域），并將格式化后的數(shù)據(jù)發(fā)布到分布式總線。分布式存儲(chǔ)原理分布式存儲(chǔ)負(fù)責(zé)對(duì)格式化后的數(shù)據(jù)進(jìn)行存儲(chǔ)，針對(duì)不同類(lèi)型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進(jìn)行分類(lèi)存儲(chǔ)，分布式存儲(chǔ)的數(shù)據(jù)主要用于威脅檢測(cè)和威脅可視化?？紤]到可靠性和高并發(fā)性能的要求，分布式存儲(chǔ)的數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，并且可以按需擴(kuò)展存儲(chǔ)節(jié)點(diǎn)。分布式索引原理分布式索引負(fù)責(zé)對(duì)關(guān)鍵的格式化數(shù)據(jù)建立索引，為可視化調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。分布式索引采用了多實(shí)例自適應(yīng)的索引技術(shù)和時(shí)間片抽取的分層索引結(jié)構(gòu)，索引數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，提供了高可靠性和高并發(fā)索引能力，支持按需彈性擴(kuò)展索引。事件關(guān)

17、聯(lián)分析原理關(guān)聯(lián)分析主要通過(guò)挖掘事件之間的關(guān)聯(lián)和時(shí)序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。關(guān)聯(lián)分析采用了高性能的流計(jì)算引擎，關(guān)聯(lián)分析引擎直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進(jìn)行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當(dāng)多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認(rèn)為它們之間存在對(duì)應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時(shí)將匹配用到的原始日志記錄到異常事件中。流量基線異常檢測(cè)原理流量基線異常檢測(cè)主要解決網(wǎng)絡(luò)內(nèi)部的主機(jī)/區(qū)域之間（內(nèi)外區(qū)域之間、內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機(jī)之間、內(nèi)網(wǎng)主機(jī)與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機(jī)與區(qū)域之間）的異常訪問(wèn)問(wèn)題。流量基線是指網(wǎng)絡(luò)內(nèi)部主機(jī)之間、區(qū)域之

18、間或者內(nèi)外網(wǎng)之間的訪問(wèn)規(guī)則，包括指定時(shí)間段內(nèi)是否允許訪問(wèn)、訪問(wèn)的頻次范圍、流量大小范圍等。流量基線可以有兩種來(lái)源：系統(tǒng)自學(xué)習(xí)和用戶自定義配置。流量基線自學(xué)習(xí)，就是系統(tǒng)自動(dòng)統(tǒng)計(jì)一段時(shí)間內(nèi)（比如一個(gè)月）網(wǎng)絡(luò)內(nèi)部各主機(jī)、區(qū)域以及內(nèi)外網(wǎng)之間的訪問(wèn)和流量信息，以此訪問(wèn)和流量信息為基礎(chǔ)（對(duì)于流量數(shù)據(jù)，還會(huì)自動(dòng)設(shè)置合適的上下浮動(dòng)范圍），自動(dòng)生成流量基線。用戶自定義流量基線：用戶手工配置網(wǎng)絡(luò)內(nèi)部各主機(jī)、區(qū)域以及內(nèi)外網(wǎng)之間的訪問(wèn)和流量規(guī)則。流量基線異常檢測(cè)將自學(xué)習(xí)和用戶自定義的流量基線加載到內(nèi)存中，并對(duì)流量數(shù)據(jù)進(jìn)行在線統(tǒng)計(jì)和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。WEB 異常檢測(cè)原理WEB異常檢測(cè)

19、主要用于檢測(cè)通過(guò)WEB進(jìn)行的滲透和異常通信，從歷史數(shù)據(jù)中提取HTTP流量元數(shù)據(jù)，通過(guò)分析WEB請(qǐng)求數(shù)據(jù)、WEB響應(yīng)數(shù)據(jù)和WEB通信行為發(fā)現(xiàn)WEB異常訪問(wèn)。通過(guò)分析HTTP協(xié)議中的URL、User-Agent、Refer和上傳/下載的文件MD5等信息，并結(jié)合沙箱文件檢測(cè)結(jié)果，離線挖掘和檢測(cè)下載惡意文件、訪問(wèn)不常見(jiàn)網(wǎng)站和非瀏覽器流量等異常。通過(guò)從HTTP流量中提取WEB請(qǐng)求特征和WEB響應(yīng)特征，利用機(jī)器學(xué)習(xí)的算法發(fā)現(xiàn)可疑的WebShell訪問(wèn)。郵件異常檢測(cè)原理WEB異常檢測(cè)主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過(guò)分析SMTP/POP3/IMAP協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件

20、等信息，并結(jié)合沙箱文件檢測(cè)結(jié)果，離線挖掘和檢測(cè)收發(fā)件人異常、下載惡意郵件、訪問(wèn)郵件服務(wù)器、郵件正文URL異常等。C&C 異常檢測(cè)C&C異常檢測(cè)主要通過(guò)對(duì)協(xié)議流量（DNS/HTTP/TLS/3,4層協(xié)議）的分析檢測(cè)C&C通信異常。基于DNS流量的C&C異常檢測(cè)采用機(jī)器學(xué)習(xí)的方法，利用樣本數(shù)據(jù)進(jìn)行訓(xùn)練，從而生成分類(lèi)器模型，并在客戶環(huán)境利用分類(lèi)器模型識(shí)別訪問(wèn)DGA域名的異常通信，從而發(fā)現(xiàn)僵尸主機(jī)或者APT攻擊在命令控制階段的異常行為?；?,4層流量協(xié)議的C&C異常檢測(cè)根據(jù)CC通訊的信息流與正常通訊時(shí)的信息流區(qū)別，分析CC木馬程序與外部通訊的信息的特點(diǎn)，區(qū)分與正常信息流的差異，通過(guò)流量檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中

21、所存在的CC通訊信息流。對(duì)于基于HTTP流量的C&C異常檢測(cè)采用統(tǒng)計(jì)分析的方法，記錄內(nèi)網(wǎng)主機(jī)訪問(wèn)同一個(gè)目的IP+域名的所有流量中每一次連接的時(shí)間點(diǎn)，并根據(jù)時(shí)間點(diǎn)計(jì)算每一次連接的時(shí)間間隔，定時(shí)檢查每一次的時(shí)間間隔是否有變化，從而發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)周期外聯(lián)的異常行為。隱蔽通道異常檢測(cè)原理隱蔽通道異常檢測(cè)主要用于發(fā)現(xiàn)被入侵主機(jī)通過(guò)正常的協(xié)議和通道傳輸非授權(quán)數(shù)據(jù)的異常，檢測(cè)方法包括Ping Tunnel、DNS Tunnel和文件防躲避檢測(cè)。Ping Tunnel檢測(cè)是通過(guò)對(duì)一個(gè)時(shí)間窗內(nèi)同組源/目的IP之間的ICMP報(bào)文的載荷內(nèi)容進(jìn)行分析和比較，從而發(fā)現(xiàn)Ping Tunnel異常通信。DNS Tunnel檢

22、測(cè)通過(guò)對(duì)一個(gè)時(shí)間窗內(nèi)同組源/目的IP之間的DNS報(bào)文的域名合法性檢測(cè)和DNS請(qǐng)求/應(yīng)答頻率分析，從而發(fā)現(xiàn)DNS Tunnel異常通信。文件防躲避檢測(cè)通過(guò)對(duì)流量元數(shù)據(jù)中的文件類(lèi)型的分析和比較，從而發(fā)現(xiàn)文件類(lèi)型與實(shí)際擴(kuò)展名不一致的異常。威脅判定原理威脅判定根據(jù)多個(gè)異常進(jìn)行關(guān)聯(lián)、評(píng)估和判定產(chǎn)生高級(jí)威脅，為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。威脅判定按照攻擊鏈的階段標(biāo)識(shí)/分類(lèi)各種異常，并以異常發(fā)生的時(shí)間為準(zhǔn)，通過(guò)主機(jī)IP、文件MD5和URL建立異常的時(shí)序和關(guān)聯(lián)關(guān)系，根據(jù)預(yù)定義的行為判定模式判定是否高級(jí)威脅，同時(shí)根據(jù)相關(guān)聯(lián)的異常的嚴(yán)重程度、影響范圍、可信度進(jìn)行打分和評(píng)估，從而產(chǎn)生威脅事件。業(yè)務(wù)功能日志采集

23、通過(guò)優(yōu)化的多管道并發(fā)處理機(jī)制，實(shí)現(xiàn)日志/事件的高性能采集和預(yù)處理，主要功能包括：Syslog 日志采集支持采集第三方系統(tǒng)（ArcSight）和安全設(shè)備（Firehunter）的Syslog日志； 支持將采集的第三方Syslog日志格式化為系統(tǒng)統(tǒng)一的歸一化數(shù)據(jù)格式；支持將歸一化的日志轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺(tái)；支持按配置的大數(shù)據(jù)平臺(tái)接收IP輪詢發(fā)送歸一化后的Syslog日志；Dataflow 日志采集支持采集華為NGFW的Dataflow格式的IPS/AV日志；支持將采集的Dataflow格式的IPS/AV日志格式化為系統(tǒng)統(tǒng)一的歸一化數(shù)據(jù)格式； 支持將歸一化的日志轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺(tái)；支持按配置的大數(shù)

24、據(jù)平臺(tái)接收IP輪詢發(fā)送歸一化后的日志；Netflow 數(shù)據(jù)采集支持采集網(wǎng)絡(luò)/安全設(shè)備上報(bào)的Netflow數(shù)據(jù)；支持將采集的Netflow數(shù)據(jù)轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺(tái)；支持按配置的大數(shù)據(jù)平臺(tái)接收IP輪詢發(fā)送歸一化的Netflow日志；流量采集通過(guò)優(yōu)化的DPI技術(shù)高效提取原始流量的協(xié)議特性，實(shí)現(xiàn)高性能的流量數(shù)據(jù)采集和協(xié) 議還原，流量采集主要功能包括：協(xié)議解析HTTP協(xié)議解析：支持解析HTTP 0.9, 1.0, 1.1版本的應(yīng)用協(xié)議信息，包括請(qǐng)求主機(jī)名、應(yīng)答碼、Refer、User-Agent、請(qǐng)求URL、上傳/下載的文件名；郵件協(xié)議解析：支持解析SMTP/POP3/IMAP4的應(yīng)用協(xié)議信息，包括收件

25、人、發(fā)件 人、郵件主題、郵件附件名稱(chēng)、郵件正文；DNS協(xié)議解析：支持解析DNS流量的應(yīng)用協(xié)議信息，包括請(qǐng)求的域名/IP、RR類(lèi)、 RR類(lèi)型、資源記錄緩存時(shí)間、響應(yīng)延遲、資源記錄中的IPV4/IPV6地址HTTPS協(xié)議解析：配合華為防火墻（SSL Deloader），可以解析https的流量。文件還原HTTP文件還原：支持還原通過(guò)HTTP協(xié)議上傳/下載的文件還原；郵件附件還原：支持還原通過(guò)SMTP/POP3/IMAP4協(xié)議發(fā)送的郵件的附件還原流量抓包支持按照抓包規(guī)則進(jìn)行抓包，并保存成PCAP文件；威脅檢測(cè)關(guān)聯(lián)分析支持基于日志/事件的分布式在線關(guān)聯(lián)分析；支持單事件的統(tǒng)計(jì)分析和多事件的時(shí)序關(guān)聯(lián)分析。

26、流量基線異常檢測(cè)支持檢測(cè)水平掃描和垂直掃描;支持檢測(cè)主機(jī)組的端口訪問(wèn)異常；支持基于自定義的流量異常策略檢測(cè)訪問(wèn)頻次超限、流量超限； 支持檢測(cè)非白名單的違規(guī)訪問(wèn);支持檢測(cè)服務(wù)器新開(kāi)端口； 支持檢測(cè)蠕蟲(chóng)擴(kuò)散異常行為；WEB 異常檢測(cè)支持檢測(cè)WEB相關(guān)的異常行為，包括：使用原始IP訪問(wèn)HTTP服務(wù)，非瀏覽器訪問(wèn)HTTP 服務(wù)器，通過(guò)HTTP下載惡意/可疑文件和可疑的Webshell訪問(wèn)。郵件異常檢測(cè)支持檢測(cè)郵件相關(guān)的異常行為，包括：發(fā)件服務(wù)器異常，收件人異常，下載包含惡意 附件的郵件異常。C&C 異常檢測(cè)支持檢測(cè)異常的C&C通信，包括：可疑DGA域名訪問(wèn)異常，惡意C&C流量異常，HTTP 周期外聯(lián)異

27、常。隱蔽通道異常檢測(cè)支持檢測(cè)通過(guò)隱蔽通道通信的異常行為，包括： Ping Tunnel異常通信， DNS Tunnel異常通信，文件內(nèi)容躲避異常。智能檢索數(shù)據(jù)檢索支持通過(guò)關(guān)鍵字、條件表達(dá)式、時(shí)間范圍對(duì)事件和流量元數(shù)據(jù)進(jìn)行快速檢索，快速定 位到安全運(yùn)維分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持查看數(shù)量趨勢(shì)統(tǒng)計(jì)和檢索結(jié)果詳細(xì) 數(shù)據(jù)。檢索結(jié)果鉆取支持通過(guò)事件關(guān)聯(lián)流量元數(shù)據(jù)，在流量元數(shù)據(jù)檢索結(jié)果列表可以下載元數(shù)據(jù)相關(guān)的PCAP文件，方便安全運(yùn)維分析人員進(jìn)一步取證分析。威脅可視化威脅地圖通過(guò)威脅地圖直觀展示企業(yè)在全球范圍內(nèi)面的威脅和最近發(fā)現(xiàn)的威脅事件，方便安全 運(yùn)維分析人員能及時(shí)發(fā)現(xiàn)威脅；威脅地圖支持全球模

28、式和舞臺(tái)模式。舞臺(tái)模式可以將客戶關(guān)注的行政區(qū)域顯示到屏幕 中央，予以重點(diǎn)關(guān)注?？梢宰鳛槲枧_(tái)的行政區(qū)域可以細(xì)化到區(qū)縣。事件顯示支持通過(guò)普通和高級(jí)查詢條件展示符合條件的威脅事件、關(guān)聯(lián)分析事件和流量異常事 件。對(duì)于威脅事件，系統(tǒng)提供確認(rèn)按鈕，允許管理員進(jìn)行多次確認(rèn)并保留多次的異常確認(rèn)結(jié) 果。對(duì)于關(guān)聯(lián)事件，支持顯示自定義和預(yù)定義關(guān)聯(lián)規(guī)則觸發(fā)的關(guān)聯(lián)分析事件，并可以顯示觸 發(fā)關(guān)聯(lián)事件的源事件。對(duì)于流量異常事件，支持顯示自定義的流量基線異常事件，并允許管 理員進(jìn)行確認(rèn)，將誤報(bào)的流量異常事件加入到白名單。多維專(zhuān)項(xiàng)分析支持從惡意/可疑文件和惡意/可疑域名等多個(gè)維度直觀展示威脅分析的結(jié)果，幫助客戶 有效洞察企業(yè)面

29、臨的威脅?？梢酝ㄟ^(guò)滲透分析界面查看惡意文件的擴(kuò)散次數(shù)趨勢(shì)和詳細(xì)擴(kuò)散情況，包括惡意文件 下載次數(shù)和詳細(xì)擴(kuò)散路徑，并支持查看惡意文件對(duì)應(yīng)的沙箱檢測(cè)結(jié)果?？梢酝ㄟ^(guò)C&C分析頁(yè)面查看被入侵主機(jī)連接惡意域名的C&C異常通信行為的趨勢(shì)、源 主機(jī)請(qǐng)求的惡意域名等信息，對(duì)于惡意域名可以通過(guò)直觀的可視化查看源主機(jī)和網(wǎng)絡(luò)中惡意 域名的訪問(wèn)關(guān)系。情報(bào)檢索支持根據(jù)IP地址、域名、URL和文件HASH值等條件進(jìn)行情報(bào)檢索。在對(duì)威脅事件進(jìn) 行調(diào)查取證分析時(shí)，可以對(duì)威脅事件中可疑的IP/域名/URL進(jìn)行情報(bào)檢索，并根據(jù)威脅情報(bào) 檢索結(jié)果進(jìn)行攻擊確認(rèn)。攻擊路徑可視化支持從威脅、郵件和文件多個(gè)維度展示攻擊擴(kuò)散路徑和影響范圍。在

30、威脅維度的攻擊擴(kuò)散展示維度，有效呈現(xiàn)高級(jí)威脅的多個(gè)攻擊階段，包括：外部滲透階段、命令與控制階段、 內(nèi)部擴(kuò)散階段、數(shù)據(jù)竊取階段，并直觀清晰呈現(xiàn)來(lái)自不同地區(qū)的外部攻擊源/命令控制服務(wù)器和企業(yè)內(nèi)部受到危害和影響的主機(jī)。大屏展示提供大屏展示功能?？蓪⒕W(wǎng)絡(luò)安全狀態(tài)信息以圖表形式呈現(xiàn)在大屏上，便于匯報(bào)、展 示、實(shí)時(shí)監(jiān)控等。支持在屏幕比例16:9，分辨率1920*1080、2560*1440、3840*2160的大屏上進(jìn)行綜合態(tài) 勢(shì)展示。實(shí)時(shí)展示/監(jiān)控內(nèi)容包括：全網(wǎng)安全態(tài)勢(shì)、全網(wǎng)資產(chǎn)態(tài)勢(shì)和威脅事件態(tài)勢(shì)。威脅趨勢(shì)可通過(guò)dashboard展示選擇時(shí)間段的威脅趨勢(shì)，dashboard包括： 威脅度趨勢(shì)，按類(lèi)型的威

31、脅趨勢(shì)和占比。威脅報(bào)告支持生成威脅報(bào)告，威脅報(bào)告內(nèi)容包含報(bào)告概述、威脅事件分析、報(bào)告總結(jié)、附錄等。 支持威脅報(bào)告任務(wù)管理，系統(tǒng)預(yù)置日?qǐng)?bào)、周報(bào)和月報(bào)任務(wù)。支持自定義威脅報(bào)告任務(wù)，可以定義區(qū)域、統(tǒng)計(jì)時(shí)段和報(bào)告格式等條件。支持生成DOCX和PDF格式的威脅報(bào)告，可以在報(bào)告列表中下載生成的威脅報(bào)告。告警通知可以針對(duì)威脅類(lèi)型和狀態(tài)配置郵件/短信通知策略。設(shè)備聯(lián)動(dòng)在系統(tǒng)發(fā)現(xiàn)威脅后，能夠?qū)δ繕?biāo)設(shè)備、資產(chǎn)執(zhí)行指定的聯(lián)動(dòng)動(dòng)作。通過(guò)界面，可以配 置參與聯(lián)動(dòng)的設(shè)備類(lèi)型、設(shè)備以及具體的聯(lián)動(dòng)動(dòng)作。在威脅事件命中聯(lián)動(dòng)規(guī)則時(shí)，CIS就能 夠向聯(lián)動(dòng)設(shè)備下發(fā)具體聯(lián)動(dòng)要求，實(shí)現(xiàn)對(duì)重要資產(chǎn)的實(shí)時(shí)防護(hù)。CIS支持與華為防火墻設(shè)備聯(lián)動(dòng)

32、，可以根據(jù)聯(lián)動(dòng)規(guī)則的配置在檢測(cè)到指定的威脅時(shí)向NGFW下發(fā)黑名單數(shù)據(jù)，阻斷內(nèi)部主機(jī)訪問(wèn)外部的惡意主機(jī)。CIS支持與華為的安全控制器SecoManager聯(lián)動(dòng)，在數(shù)據(jù)中心場(chǎng)景，CIS可以根據(jù)聯(lián)動(dòng)規(guī)則的配置在檢測(cè)到指定的威脅時(shí)通過(guò)SecoManager向防火墻下發(fā)安全策略，從而形成有效 的安全聯(lián)動(dòng)閉環(huán)。CIS支持與華為的網(wǎng)絡(luò)控制器AC Campus聯(lián)動(dòng)，在園區(qū)場(chǎng)景，CIS可以根據(jù)聯(lián)動(dòng)規(guī)則的配置在檢測(cè)到指定的威脅時(shí)通過(guò)AC Campus隔離終端主機(jī)，從而有效遏制內(nèi)部擴(kuò)散。信譽(yù)管理CIS根據(jù)沙箱檢測(cè)結(jié)果生成信譽(yù)保存到本地信譽(yù)庫(kù)（文件信譽(yù)、URL），并提供本地信 譽(yù)庫(kù)下載接口，支持多個(gè)防火墻定期下載更新

33、，從而實(shí)現(xiàn)本地文件信譽(yù)共享。業(yè)務(wù)配置關(guān)聯(lián)規(guī)則配置支持預(yù)置關(guān)聯(lián)規(guī)則，允許用戶自定義關(guān)聯(lián)規(guī)則；支持配置關(guān)聯(lián)規(guī)則子規(guī)則；支持配置關(guān)聯(lián)列表；支持導(dǎo)入/導(dǎo)出關(guān)聯(lián)規(guī)則流量基線配置支持啟動(dòng)/停止流量訪問(wèn)白名單學(xué)習(xí)，并支持白名單學(xué)習(xí)結(jié)果顯示和確認(rèn)支持基于主機(jī)組自定義流量檢測(cè)策略，可以添加、刪除、修改和查詢流量檢測(cè)策略， 配置流量基線策略時(shí)，支持定義多條訪問(wèn)頻次或流量超限的流量控制規(guī)則。黑白名單配置支持配置黑白名單，包括添加、刪除和修改IP黑白名單、域名白名單、郵件發(fā)件人黑 白名單和郵件收件人白名單。系統(tǒng)監(jiān)控告警管理支持查看系統(tǒng)當(dāng)前告警、歷史告警，配置告警閥值、告警轉(zhuǎn)儲(chǔ)和告警通知；日志管理支持查看系統(tǒng)操作日志、

34、系統(tǒng)運(yùn)行日志和配置操作日志轉(zhuǎn)儲(chǔ)節(jié)點(diǎn)監(jiān)控支持監(jiān)控可視化管理節(jié)點(diǎn)和系統(tǒng)服務(wù)狀態(tài)；系統(tǒng)管理集群管理大數(shù)據(jù)節(jié)點(diǎn)配置:支持集群節(jié)點(diǎn)管理，包括添加、刪除和修改數(shù)據(jù)分發(fā)節(jié)點(diǎn)/檢測(cè)存 儲(chǔ)節(jié)點(diǎn)/集群控制節(jié)點(diǎn)。流探針配置：支持添加、刪除和修改流探針，并支持配置流探針的抓包規(guī)則和過(guò)濾 規(guī)則；采集器配置: 支持添加、刪除和修改采集器，并支持配置采集器的日志源和發(fā)現(xiàn)日志源；全局配置證書(shū)管理: 支持配置API KEY、導(dǎo)入CIS證書(shū)和第三方系統(tǒng)證書(shū)；敏感數(shù)據(jù)密鑰配置：支持更新郵件正文密鑰和PCAP抓包文件密鑰敏感數(shù)據(jù)權(quán)限配置：支持配置管理員對(duì)于用戶組的郵件正文訪問(wèn)權(quán)限和對(duì)于資產(chǎn)組 的PCAP文件訪問(wèn)權(quán)限；數(shù)據(jù)分發(fā)配置：支

35、持配置數(shù)據(jù)傳輸使用的通信方式。存儲(chǔ)配置：支持配置日志和流量、PCAP文件和郵件正文的存儲(chǔ)周期；License管理：支持系統(tǒng)License的顯示、導(dǎo)入和失效管理；北向配置威脅外發(fā)：支持配置威脅事件北向轉(zhuǎn)發(fā)的目的IP/端口和外發(fā)的過(guò)濾條件；告警外發(fā)：支持刪除、修改和添加告警信息北向IP地址、日志源類(lèi)型、重試次數(shù)、 超時(shí)時(shí)間、端口和用戶名；信譽(yù)查詢：支持添加、刪除和修改北向信譽(yù)查詢的賬號(hào)；通知服務(wù)器：支持配置郵件服務(wù)器的IP、端口、發(fā)件人郵箱和測(cè)試郵箱。系統(tǒng)管理員管理員：支持創(chuàng)建、刪除和修改管理員；管理員組：支持創(chuàng)建、刪除和修改管理員組；在線管理員：支持顯示在線管理員和強(qiáng)制用戶下線；安全策略：支持設(shè)

36、置用戶密碼、系統(tǒng)超時(shí)時(shí)間和登錄訪問(wèn)等策略；認(rèn)證服務(wù)器：支持配置RADIUS服務(wù)器的IP地址、端口、共享密鑰和認(rèn)證方式等信 息。安裝升級(jí)系統(tǒng)安裝：提供向?qū)桨惭b界面，幫助用戶安裝集群節(jié)點(diǎn)的軟件；系統(tǒng)擴(kuò)容：支持?jǐn)U容集群節(jié)點(diǎn)、采集器和流探針；知識(shí)庫(kù)管理知識(shí)庫(kù)管理：支持DGA家族庫(kù)、IPS特征庫(kù)、C&C惡意域名庫(kù)管理。知識(shí)庫(kù)升級(jí)：支持手工或自動(dòng)升級(jí)DGA家族庫(kù)、IPS特征庫(kù)、C&C惡意域名庫(kù)。應(yīng)用實(shí)施獨(dú)立部署檢測(cè)僵尸主機(jī)場(chǎng)景客戶痛點(diǎn)：大中型企業(yè)存在互聯(lián)網(wǎng)出口，企業(yè)的安全防范措施存在問(wèn)題，企業(yè)內(nèi)部存在僵尸主機(jī)， 企業(yè)運(yùn)維人員希望能檢測(cè)和識(shí)別內(nèi)部僵尸主機(jī)，避免關(guān)鍵信息泄露和影響業(yè)務(wù)。解決方案：客戶購(gòu)買(mǎi)CIS標(biāo)準(zhǔn)版，在互聯(lián)網(wǎng)出口部署流探針，在IT運(yùn)維區(qū)域部署CIS集群（包括采 集器、可視化管理節(jié)點(diǎn)、集群控制節(jié)點(diǎn)、數(shù)據(jù)分發(fā)節(jié)點(diǎn)和檢測(cè)/存儲(chǔ)節(jié)點(diǎn)）。部署示意圖如下：獨(dú)立部署檢測(cè)僵尸主機(jī)示意圖流探針部署