ODCC-2022-08002 全流量檢測(cè)分析系統(tǒng)技術(shù)規(guī)范

11開(kāi)放數(shù)據(jù)中心標(biāo)準(zhǔn)推進(jìn)委員會(huì)版權(quán)聲明對(duì)于未經(jīng)著作權(quán)人書(shū)面同意而實(shí)施的剽竊、復(fù)制、修I編制說(shuō)明）：）：前言數(shù)字化轉(zhuǎn)型帶來(lái)融合彈性、開(kāi)放的網(wǎng)絡(luò)環(huán)境，以及多元化、專業(yè)化的業(yè)務(wù)場(chǎng)景，安全風(fēng)險(xiǎn)涉及面更廣，安全檢測(cè)精度與響應(yīng)時(shí)限要求更高，安全運(yùn)營(yíng)更為復(fù)雜。全流量分析系統(tǒng)可以通過(guò)對(duì)全部原始流量進(jìn)行 I II III 1 1 2 2 探針...............................................3 3 3 4 6 分析平臺(tái)...........................................7 7 11 12 14 14I全流量檢測(cè)分析系統(tǒng)通過(guò)對(duì)全部原始流量進(jìn)行實(shí)時(shí)采集和解析，發(fā)現(xiàn)流量中的威脅，再結(jié)合安全情報(bào)、威脅行為等綜合手段進(jìn)行威脅分析并以可視化的界面展示，實(shí)現(xiàn)網(wǎng)絡(luò)安全和數(shù)據(jù)安全已知威脅、未知威脅的發(fā)現(xiàn)及威脅溯源，一種部署于通信網(wǎng)絡(luò)中，能夠?qū)α髁窟M(jìn)行采集、解析、還原和分析等工作，全流量平臺(tái)以存儲(chǔ)為基礎(chǔ)，以數(shù)據(jù)分析為核心，以自動(dòng)化處置為輔助，通過(guò)對(duì)流量元數(shù)據(jù)進(jìn)行加工和整理，利用其大數(shù)據(jù)分析能力及多樣化的機(jī)器學(xué)習(xí)事件發(fā)生的過(guò)程及影響，以有效支撐威脅分析、追蹤、展示、處置工作，提升全流量檢測(cè)分析系統(tǒng)直連互聯(lián)網(wǎng)流量出口區(qū)域交換機(jī)，以鏡像或分光的模式將網(wǎng)絡(luò)流量導(dǎo)入并進(jìn)行威脅檢測(cè)，鏡像模式采用單向模式，鏡像口僅接收流量，不發(fā)送流量，并且不需進(jìn)行IP地址、路由等配置。一個(gè)機(jī)房?jī)?nèi)單個(gè)或多個(gè)互聯(lián)網(wǎng)出口交換機(jī)流量可利用匯聚分流設(shè)備或其他負(fù)載均衡設(shè)備進(jìn)行流量匯總、分發(fā)至多個(gè)探針?lè)?wù)器進(jìn)行威脅檢測(cè)。探針對(duì)流量進(jìn)行采集、解析、還原全流量檢測(cè)分析系統(tǒng)——分析平臺(tái)可以集中部署于互聯(lián)網(wǎng)流量中心，也可分布式部署于互聯(lián)網(wǎng)流量節(jié)點(diǎn)。分析平臺(tái)接受探針生成的日志文件并進(jìn)行日志1存儲(chǔ)，利用其機(jī)器學(xué)習(xí)引擎和規(guī)則檢測(cè)能力關(guān)聯(lián)化分析網(wǎng)絡(luò)安全事件，并可與全流量檢測(cè)分析系統(tǒng)也可以集探針與分析平臺(tái)一體化研發(fā)，其技術(shù)要求與全流量檢測(cè)分析系統(tǒng)——探針應(yīng)支持?jǐn)?shù)據(jù)解析、威脅檢測(cè)、安全反饋、樣上的非標(biāo)準(zhǔn)協(xié)議流量的解析還原，支持導(dǎo)入多個(gè)https證書(shū)進(jìn)行加密流量的解威脅檢測(cè)：支持網(wǎng)絡(luò)攻擊、惡意程序文件攻擊、挖礦、口令暴力破解、抗安全反饋：支持對(duì)威脅事件生成多維度特征的告警和日志；支持流量元數(shù)全流量檢測(cè)分析系統(tǒng)——分析平臺(tái)應(yīng)支持威脅分析、威脅追蹤、威脅展示、2對(duì)流量中的協(xié)議和會(huì)話進(jìn)行識(shí)別解析，為進(jìn)行下一步的威脅檢測(cè)以及處理功能2)支持常用協(xié)議的解析和還原，包括但不限于IP、TCP、UDP、ICMP、VLAN、MPLS、HTTP、HTTP2、WAP、SMTP、IMAP、POP3、WEBMAIL、SMB、FTP、TELNET、DNS、SSL、MYSQL、MSSQL、PostgreSQL、MongoDB、3威脅檢測(cè)功能是探針的核心，主要基于行為策略，碼流特征，包特征，威格式包括但不限于EXE、JAR、APK、CWebShell（ASP、JSP、PHP）、掃描探測(cè)隱蔽信道（DNS、HTTP、ICMP5)支持對(duì)常見(jiàn)應(yīng)用服務(wù)（HTTP、HTTPS、地批量下載郵件等事件，登錄、發(fā)送、接收、4反饋功能是探針在監(jiān)測(cè)分析后對(duì)危害嚴(yán)重或造成影響達(dá)到規(guī)模的事件進(jìn)行WEBMAIL、FTP、TELNET、MYSQL、MSSQL、ORACLE、RadiuWEBMAIL、FTP、TELNET、MYSQL、MSSQL、ORACLE、Radiu解析和上報(bào)，可根據(jù)數(shù)據(jù)分析平臺(tái)的要求靈活），5），入庫(kù)，可基于五元組、系統(tǒng)、探針設(shè)備、時(shí)還原功能主要是在分析監(jiān)控流量時(shí)對(duì)文件樣本進(jìn)行捕獲還原并記錄上報(bào)的功能。該功能主要應(yīng)用于流量處理時(shí)對(duì)于惡意程序文件流，尤其是可執(zhí)行文件在內(nèi)存加載的中進(jìn)行檢測(cè)分析，包括文件的格式、類型、大小以及MD5，惡意性或疑似惡意性等，如果符合惡意程序文件的判定規(guī)則，則直接判定為惡意樣本或黑樣本，如果為疑似惡意程序則判定為疑似樣本或灰樣本，可以將進(jìn)行事6格式包括但不限于EXE、JAR、APK、C件的能力，留存中危以上告警的原始流量及還原的判定，同時(shí)支持對(duì)文件中敏感詞、關(guān)鍵字的匹配4功能要求---分析平臺(tái)分析平臺(tái)應(yīng)支持對(duì)探針日志的接收，并對(duì)全流量威脅檢測(cè)結(jié)果進(jìn)行關(guān)聯(lián)分7分析平臺(tái)應(yīng)具備通過(guò)網(wǎng)絡(luò)流量梳理業(yè)務(wù)行為與用戶行為的能力，基于正常的業(yè)務(wù)行為與用戶行為，建立業(yè)務(wù)行為模型與用戶行為模型，基于針對(duì)正常業(yè)支持風(fēng)險(xiǎn)賬號(hào)行為分析，包括異地賬號(hào)登錄、異常時(shí)段賬號(hào)登錄、休眠賬支持?jǐn)?shù)據(jù)泄露分析，包括異常時(shí)段訪問(wèn)庫(kù)，異常時(shí)段訪問(wèn)表、庫(kù)（表）異支持多場(chǎng)景的用戶異常行為關(guān)聯(lián)分析，并支持異常行為分析場(chǎng)景開(kāi)發(fā)定制。平臺(tái)應(yīng)能夠?qū)υ嫉牧髁咳罩荆ǘ丝跀?shù)據(jù)、流量會(huì)話數(shù)據(jù)、應(yīng)用層元數(shù)據(jù)日志、文件日志等）進(jìn)行全局分析，分析方式根據(jù)日志類型進(jìn)行自動(dòng)判斷持按照頻次、大小、等于不等于、匹配不匹配、變化值/固定值、計(jì)算長(zhǎng)度等邏輯算法檢測(cè)，支持多個(gè)邏輯表達(dá)式組合，發(fā)現(xiàn)隱藏在海量流量數(shù)據(jù)中的異常通平臺(tái)應(yīng)支持網(wǎng)絡(luò)流量機(jī)器學(xué)習(xí)，能夠自動(dòng)學(xué)習(xí)建立網(wǎng)絡(luò)正常運(yùn)行基線，并線；基線數(shù)據(jù)類型包括但不限于：流量總字節(jié)數(shù)、入網(wǎng)流量、出網(wǎng)流量、總包數(shù)、tcp重傳數(shù)據(jù)包數(shù)、新建會(huì)話數(shù)量、并發(fā)會(huì)話數(shù)量；支持基線數(shù)據(jù)按時(shí)間8平臺(tái)應(yīng)支持對(duì)攻擊事件的精準(zhǔn)判斷，通過(guò)完整地還原整個(gè)攻擊事件，減少針對(duì)重保等重要場(chǎng)景，支持展示攻擊方、防守方的信息，如攻擊來(lái)源、攻擊手段、攻擊目標(biāo)、封堵處置、情報(bào)統(tǒng)計(jì)、攻擊溯源等情況；支持展示攻防對(duì)針對(duì)郵箱安全專項(xiàng)防護(hù)場(chǎng)景：應(yīng)支持對(duì)企業(yè)辦公郵箱的各類安全隱患進(jìn)行監(jiān)測(cè)分析，包括但不限于：默認(rèn)密碼及弱口令、境外地址登錄、多次異常登錄（包括多次使用錯(cuò)誤密碼，短時(shí)間多次多地登錄等行為）、異常外發(fā)、異常下載、釣魚(yú)郵件（增強(qiáng)要求）、附件安全威脅（增強(qiáng)要求）等。具體包含以下五應(yīng)具備郵箱登錄時(shí)多因子驗(yàn)證功能。支持通過(guò)郵件賬號(hào)行為算法對(duì)郵件賬號(hào)登錄、收發(fā)件等行為進(jìn)行建模，識(shí)別郵件賬號(hào)異常。支持記錄完整攻擊過(guò)程，建立攻擊者行為模型，識(shí)別暴力破解、異常登錄（包括但不限于境外地址登錄、9多次異常登錄）、境外修改密碼等賬號(hào)異常行為。具備密碼字典和密碼強(qiáng)度算應(yīng)具備通過(guò)對(duì)郵件信息提取和分析，識(shí)別郵件來(lái)源、判斷郵件轉(zhuǎn)發(fā)路徑、分析評(píng)判郵件可疑行為的能力。支持自動(dòng)化回溯信件來(lái)源和傳輸過(guò)程，并可將支持對(duì)郵件正文、主題、附件中出現(xiàn)的鏈接進(jìn)行跟蹤，提取郵件中網(wǎng)站鏈下載識(shí)別、跳轉(zhuǎn)站點(diǎn)識(shí)別等手段，識(shí)別惡意鏈接，溯源鏈接背景，反查注冊(cè)信息，結(jié)合威脅歷史記錄進(jìn)行鏈接威脅分析，防止釣魚(yú)網(wǎng)站、仿冒網(wǎng)站、跨站跳支持提取郵件正文和主題的特征，采用異常文件結(jié)構(gòu)識(shí)別技術(shù)和語(yǔ)義分析具備附件深度檢測(cè)能力，能夠針對(duì)不同文件類型的附件采用特定的檢測(cè)引擎,有效識(shí)別郵件攻擊附件中常見(jiàn)文本文檔、可執(zhí)行文件等，能夠結(jié)合沙箱行支持資產(chǎn)發(fā)現(xiàn)結(jié)果入庫(kù)時(shí)批量設(shè)置資產(chǎn)屬性信息：資產(chǎn)組、視圖、標(biāo)簽、支持失陷資產(chǎn)分析，分析資產(chǎn)失陷后產(chǎn)生的一些行為，例如病毒木馬后門(mén)持對(duì)失陷資產(chǎn)進(jìn)行判定并提供失陷資產(chǎn)的判定依據(jù)，包括但不限于失陷資產(chǎn)概要信息、攻擊結(jié)果、攻擊鏈分布階段、失陷資產(chǎn)的攻擊過(guò)程及過(guò)程判定依可快速擴(kuò)展該失陷資產(chǎn)的全部攻擊事件以及該失陷資產(chǎn)攻擊者發(fā)起的攻擊、該挖礦、蠕蟲(chóng)傳播、勒索軟件、惡意流量等場(chǎng)景，支持對(duì)各類場(chǎng)景事件的分析、4.1.8流量回溯支持事件的實(shí)時(shí)展示、事件查詢、事件過(guò)濾和事件導(dǎo)出，支持事件的分權(quán)支持重點(diǎn)事件分析：支持展示重點(diǎn)事件相關(guān)的攻擊詳情日志及相關(guān)告警日4.1.10告警展示支持對(duì)探針威脅檢測(cè)結(jié)果進(jìn)行全量告警展示，支持對(duì)分析平臺(tái)分析結(jié)果進(jìn)支持威脅態(tài)勢(shì)展示：提供威脅的實(shí)時(shí)展示能力，支持將檢測(cè)到的威脅在展支持事件展示：支持事件分類，如單類型高危攻擊事件、攻擊過(guò)程事件及場(chǎng)景關(guān)聯(lián)攻擊事件，支持展示事件列表，主要的字段包括事件結(jié)束時(shí)間、事件支持報(bào)表生成：支持手動(dòng)立即執(zhí)行、周期性自動(dòng)執(zhí)行兩種方式生成報(bào)表，支持報(bào)表查看：系統(tǒng)應(yīng)提供完善的報(bào)表，支持面向安全結(jié)論的分析報(bào)表，支持資產(chǎn)納管：支持根據(jù)資產(chǎn)的地理位置、業(yè)務(wù)系統(tǒng)、部門(mén)名稱、運(yùn)營(yíng)商支持對(duì)資產(chǎn)進(jìn)行修改/刪除、批量導(dǎo)入/導(dǎo)出/添加/修改/刪除等多種方式的對(duì)失陷資產(chǎn)進(jìn)行基于失陷類型的展示，展示最近發(fā)生時(shí)間、資產(chǎn)名稱、失陷攻擊類型、操作等，其中失陷類型至少需包括“橫向移動(dòng)”、“異常外聯(lián)”、支持多維度統(tǒng)計(jì)：支持通過(guò)統(tǒng)計(jì)圖、餅圖、列表等多個(gè)維度的資產(chǎn)統(tǒng)計(jì)，數(shù)據(jù)統(tǒng)計(jì)，展示活躍資產(chǎn)統(tǒng)計(jì)圖、資