安全感知平臺項(xiàng)目建設(shè)方案

XX單位

安全感知平臺項(xiàng)目建設(shè)方案

目錄

1項(xiàng)目概況........................................................................1

1.1項(xiàng)目名稱..........................................................................1

1.2編制依據(jù)..........................................................................1

1.3項(xiàng)目立項(xiàng)依據(jù)......................................................................2

1.4項(xiàng)目建設(shè)的必要性..................................................................3

1.5項(xiàng)目建設(shè)目標(biāo)......................................................................4

1.6總投資估算........................................................................5

2需求分析........................................................................5

2.1信息化和安全建設(shè)現(xiàn)狀分析..........................................................5

2.2行業(yè)現(xiàn)狀和攻防對抗需求分析........................................................6

2.2.1傳統(tǒng)威脅有增無減，新型威脅層出不窮............................................6

2.2.2已有檢測技術(shù)難以應(yīng)對新型威脅...................................................7

2.2.3未知威脅檢測能力已經(jīng)成為標(biāo)配..................................................8

2.3現(xiàn)有安全體系的不足分析.............................................................8

2.3.1看不清自身業(yè)務(wù)邏輯............................................................9

2.3.2看不見潛藏威脅隱患............................................................10

2.3.3缺乏整體安全感知能力..........................................................11

3方案理念.......................................................................13

3.1看清業(yè)務(wù)邏輯.....................................................................13

3.2看見潛在威脅.....................................................................14

3.3看懂安全風(fēng)險....................................................................15

3.4輔助分析決策.....................................................................16

4解決方案.......................................................................16

4.1方案概述..........................................................................16

4.2安全感知系統(tǒng).....................................................................17

4.2.1系統(tǒng)架構(gòu)......................................................................17

4.2.2部署拓?fù)?.....................................................................18

4.2.3組件實(shí)現(xiàn)......................................................................19

4.2.4主要功能.....................................................................28

4.3監(jiān)測響應(yīng)服務(wù)......................................................................41

4.3.1安全事件監(jiān)測、預(yù)警和通報.....................................................41

4.3.2安全事件應(yīng)急響應(yīng)處置.........................................................42

4.3.3重要時期信息安全保障.........................................................44

4.3.4常規(guī)駐場值守服務(wù).............................................................44

5方案價值和主要技術(shù)優(yōu)勢.........................................................44

5.1全網(wǎng)業(yè)務(wù)資產(chǎn)可視化...............................................................44

5.2全網(wǎng)訪問關(guān)系可視化...............................................................45

5.3多維度威脅檢測能力...............................................................47

5.4安全風(fēng)險告警和分析...............................................................48

5.5全局視角態(tài)勢可感知...............................................................49

6價格估算表.....................................................錯誤!未定義書簽。

2

1項(xiàng)目概況

1.1項(xiàng)目名稱

XX市局網(wǎng)絡(luò)安全態(tài)勢感知項(xiàng)目

1.2編制依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》

《“十三五”國家信息化規(guī)劃》(國發(fā)(2016)73號)

《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)

《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-

2006)

《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2003)

《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-

2006)

《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2005)

《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干

意見》

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》

《市、縣兩級機(jī)關(guān)“云上、智能防控”第一戰(zhàn)略建設(shè)第一批任

務(wù)清單》(浙公辦(2017)157號)

1.3項(xiàng)目立項(xiàng)依據(jù)

習(xí)近平總書記在2016年“419講話”中提出“全天候全方位感

知網(wǎng)絡(luò)安全態(tài)勢”，將網(wǎng)絡(luò)安全的思維模式從單純強(qiáng)調(diào)防護(hù)，轉(zhuǎn)變

到注重預(yù)警、檢測、響應(yīng)的格局，安全能力從“防范”為主轉(zhuǎn)向

“持續(xù)檢測和快速響應(yīng)”，實(shí)時防御將以威脅為中心，以數(shù)據(jù)為驅(qū)

動解決安全問題。

2016年12月27日，國務(wù)院全文刊發(fā)了《“十三五”國家信息化

規(guī)劃》，再次強(qiáng)調(diào)了態(tài)勢感知的重要性，“十大任務(wù)”中的最后一

項(xiàng)，“完善網(wǎng)絡(luò)空間治理體系和健全網(wǎng)絡(luò)安全保障體系”，再次提

出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”。

2017年6月1日正式實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》，明確

指出國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，相關(guān)部門應(yīng)加強(qiáng)

網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全

檢查信息，采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措

施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月；。

2017年7月28日，XX省廳下發(fā)《市、縣兩級機(jī)關(guān)“云上、智能防

控”第一戰(zhàn)略建設(shè)第一批任務(wù)清單》（浙公辦（2017）157號）文件

要求，開展網(wǎng)（含視頻專網(wǎng)）網(wǎng)絡(luò)流量還原取證系統(tǒng)建設(shè)，通過流

量鏡像方式記錄關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)流量數(shù)據(jù)，能夠在網(wǎng)（含視頻

專網(wǎng)）發(fā)生異常網(wǎng)絡(luò)攻擊和入侵后，能夠通過倒查還原網(wǎng)絡(luò)流量數(shù)

據(jù)及時進(jìn)行準(zhǔn)確定位和取證，流量還原審計數(shù)據(jù)應(yīng)保存6個月以上；

2

1.4項(xiàng)目建設(shè)的必要性

隨著網(wǎng)絡(luò)信息化工作的不斷深入，信息主導(dǎo)警務(wù)的趨勢日益明

顯，信息通信網(wǎng)同外部接入單位之間的數(shù)據(jù)交換量逐漸增大，網(wǎng)絡(luò)

的攻擊、入侵、病毒、木馬等各種類型的安全威脅日益增大，信息

通信網(wǎng)上信息的完整性、安全性面臨的挑戰(zhàn)越來越多。

1、安全事件分析難度大，安全威脅處理陷入困局

隨著通信網(wǎng)絡(luò)的不斷延伸與擴(kuò)展，網(wǎng)絡(luò)中的設(shè)備數(shù)量和服務(wù)類型

也越來越多，網(wǎng)絡(luò)中的關(guān)鍵安全設(shè)備和業(yè)務(wù)服務(wù)器產(chǎn)生了大量的安

全事件日志，安全運(yùn)維人員面對這些數(shù)量亙大、彼此割裂的安全信

息，操作著各種產(chǎn)品自身的控制臺界面和告警窗口，工作效率極

低，難以發(fā)現(xiàn)真正的安全隱患。

2、網(wǎng)絡(luò)攻擊越來越復(fù)雜，安全問題難以檢測

云計算技術(shù)的發(fā)展將IT資產(chǎn)不斷向虛擬化遷移，業(yè)務(wù)的增刪查

改變化大，IT業(yè)務(wù)向互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、公有云的演進(jìn)為攻擊者

提供了更多的攻擊向量，安全邊界變得越發(fā)模糊，而傳統(tǒng)的安全防

御模式還停留在網(wǎng)絡(luò)與應(yīng)用系統(tǒng)，導(dǎo)致看不清資產(chǎn)變化，看不清業(yè)

務(wù)訪問關(guān)系，更看不清內(nèi)部的橫向攻擊、異常訪問與違規(guī)操作，黑

客一旦突破邊界以后，往往利用合法用戶身份滲透內(nèi)部其他業(yè)務(wù)系

統(tǒng)，竊取核心數(shù)據(jù),

3、貫徹落實(shí)政策文件要求，全面加強(qiáng)信息安全建設(shè)

3

根據(jù)習(xí)近平主席“419講話”精神和《網(wǎng)絡(luò)安全法》等相關(guān)政策

文件要求，結(jié)合我局安全建設(shè)需求，形成一套符合我局防御、監(jiān)測

、響應(yīng)為一體的安全體系，對于全面推進(jìn)我局安全建設(shè)具有指導(dǎo)意

義。一方面消除高危安全隱患，提高抵御攻擊能力，從整體上提高

安全防護(hù)與監(jiān)測水平；另一方面，通過建立快速的事件響應(yīng)與處理

機(jī)制，配合專業(yè)安全專家團(tuán)隊(duì)，防止因?yàn)轫憫?yīng)能力不足導(dǎo)致安全威

脅擴(kuò)散，提升響應(yīng)速度，提升響應(yīng)效果，形成最佳實(shí)踐。

1.5項(xiàng)目建設(shè)目標(biāo)

本項(xiàng)目的建設(shè)目標(biāo)是：強(qiáng)化XX市局網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警能

力，主要解決當(dāng)前網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)測預(yù)警能力薄弱、數(shù)據(jù)來源

單一等問題，進(jìn)一步提高網(wǎng)突發(fā)安全事件監(jiān)測和預(yù)警能力，實(shí)現(xiàn)市

級結(jié)點(diǎn)和地市結(jié)點(diǎn)安全風(fēng)險的監(jiān)測、預(yù)警、通報、整改、反饋、分

析等工作的閉環(huán)管理C

通過部署監(jiān)測管理平臺、網(wǎng)絡(luò)安全監(jiān)測探針等，實(shí)現(xiàn)有效發(fā)現(xiàn)

未知威脅攻擊，達(dá)到從局部安全提升為全局安全、從單點(diǎn)預(yù)警提升

為協(xié)同預(yù)警、從模糊管理提升為量化管理的效果。實(shí)現(xiàn)以下效果：

＞從防御層次向“持續(xù)檢測、快速響應(yīng)”步進(jìn)，打造一站式的

“預(yù)防，檢測，響應(yīng)，加固”的四維服務(wù)，真正做到“安全

態(tài)勢可感知、安全威脅可預(yù)警、異常行為可監(jiān)控、安全價值

可呈現(xiàn)”

4

＞對現(xiàn)有業(yè)務(wù)系統(tǒng)核心資產(chǎn)進(jìn)行識別，梳理用戶與資產(chǎn)的訪問

關(guān)系；

＞對繞過邊界防御的進(jìn)入到內(nèi)網(wǎng)的攻擊進(jìn)行檢測，以彌補(bǔ)靜態(tài)

防御的不足，第一時間發(fā)現(xiàn)已發(fā)生的安全事件；

＞對內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)的檢測，發(fā)現(xiàn)潛

在風(fēng)險以降低可能的損失；

＞對業(yè)務(wù)資產(chǎn)存在的脆弱性進(jìn)行持續(xù)檢測，及時發(fā)現(xiàn)業(yè)務(wù)上線

以及更新產(chǎn)生的漏洞及安全隱患；

＞對全市網(wǎng)的風(fēng)險進(jìn)行可視化的呈現(xiàn)，看到全網(wǎng)的風(fēng)險以實(shí)現(xiàn)

有效的安全處置；

1.6總投資估算

本項(xiàng)目總投資估算110萬元，其中軟硬件設(shè)備投資105萬，集成

和服務(wù)費(fèi)5萬。

2需求分析

2.1信息化和安全建設(shè)現(xiàn)狀分析

內(nèi)網(wǎng)建設(shè)是業(yè)務(wù)信息化建設(shè)的先導(dǎo)工程，XX市局按照部和省廳

的網(wǎng)絡(luò)安全和信息化發(fā)展的工作要求，結(jié)合本地的業(yè)務(wù)建設(shè)規(guī)模和

特色，以統(tǒng)籌協(xié)調(diào)全市機(jī)關(guān)單位全面提升網(wǎng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)、安全建

設(shè)、業(yè)務(wù)建設(shè)為目標(biāo)，構(gòu)建XX市體系信息化建設(shè)，已建成警用地理

平臺、城市視頻監(jiān)控系統(tǒng)、警務(wù)綜合平臺、綜合查詢等關(guān)鍵業(yè)務(wù)系

5

統(tǒng)系統(tǒng)。從2013年開展網(wǎng)網(wǎng)絡(luò)信息安全保障體系的規(guī)劃設(shè)計及建設(shè)

工作，目前項(xiàng)目各項(xiàng)建設(shè)工作進(jìn)展正常。近年來重點(diǎn)完成了兩方面

的工作：一是有效支撐了全市各分局網(wǎng)絡(luò)信息安全建設(shè)方向和保密

檢查工作；二是構(gòu)建全市網(wǎng)信息安全服務(wù)支撐體系。初步形成了我

局網(wǎng)絡(luò)與信息安全工作推進(jìn)的長效機(jī)制，實(shí)現(xiàn)了信息安全保障工作

的體系化和常態(tài)化，全面提高了網(wǎng)內(nèi)網(wǎng)業(yè)務(wù)安全水平。

為了進(jìn)一步加快我局網(wǎng)絡(luò)安全體系建設(shè)，推動各部門利用網(wǎng)絡(luò)

便捷安全的開展各類應(yīng)用，充分發(fā)揮網(wǎng)的作用和效能，根據(jù)部和省

廳相關(guān)政策文件精神，提升我局網(wǎng)絡(luò)網(wǎng)絡(luò)信息安全保障體系的服務(wù)

能力，增加網(wǎng)信息安全基礎(chǔ)設(shè)施及技術(shù)手段，加強(qiáng)安全威脅監(jiān)測能

力和預(yù)警能力，確保我局網(wǎng)安全運(yùn)行和健康發(fā)展是我局網(wǎng)安全建設(shè)

的主要課題。

2.2行業(yè)現(xiàn)狀和攻防對抗需求分析

2.2.1傳統(tǒng)威脅有增無減，新型威脅層出不窮

隨著網(wǎng)承載的業(yè)務(wù)越來越多，邊界越來越多，信息安全的問題

也隨之越來越嚴(yán)峻c目前，木馬、勒索病毒、僵尸網(wǎng)絡(luò)等新型攻擊

層出不窮，分布式拒絕服務(wù)（DDOS攻擊）、高級持續(xù)威脅（APT攻

擊）等網(wǎng)絡(luò)攻擊愈演愈烈。

以APT攻擊為例，傳統(tǒng)的安全防御工具已無法進(jìn)行有效的防御。

APT攻擊不是一個整體，而是將眾多入侵滲透技術(shù)進(jìn)行整合而實(shí)現(xiàn)的

隱秘性的攻擊手法，可以在很長一段時間為逐步完成突破、滲透、

6

竊聽、偷取數(shù)據(jù)等任務(wù)，其體現(xiàn)出兩方面的特點(diǎn)一一“針對性”和

“持久性”。APT攻擊的主要目標(biāo)行業(yè)有政府、軍隊(duì)、金融機(jī)構(gòu)、電

信等行業(yè)，主要途徑是通過電子郵件、社交網(wǎng)站、系統(tǒng)漏洞、病毒

等一系列方式入侵用戶電腦。

2.2.2已有檢測技術(shù)難以應(yīng)對新型威脅

傳統(tǒng)的防御措施主要是依靠防火墻技術(shù)、入侵檢測技術(shù)以及防

病毒技術(shù)，任何一個用戶，在剛剛開始面對安全問題的時候，考慮

的往往就是這三樣，傳統(tǒng)的防御雖然起到了很大的作用，但還是面

臨著許多新的問題。

首先，用戶系統(tǒng)雖然部署了防火墻，但仍然避免不了蠕蟲泛

濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的受擾。并且未經(jīng)大規(guī)模部

署的入侵檢測單個產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精

確定位和全局管理方面還有很大的空間。

其次，雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但

是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、

外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說，雖然傳統(tǒng)的防御仍然發(fā)揮著重要作用，但是用戶已漸

漸感覺到其不足之處，因?yàn)樗呀?jīng)無法檢測和防御新型攻擊。簡單

的說，網(wǎng)絡(luò)攻擊技術(shù)已經(jīng)超過了目前大多數(shù)企業(yè)使用的防御技術(shù)。

7

2.2.3未知威脅檢測能力已經(jīng)成為標(biāo)配

Gartner公司的2016年信息安全趨勢與總結(jié)中提出，當(dāng)前我們所

知道的關(guān)于安全的一切都在變化：常規(guī)路線逐漸失控；所有的實(shí)體

需要識別潛在的攻擊者；大量的資源將會組合使用；常規(guī)安全控制

手段逐漸失效；需要從以堆疊來保護(hù)信息的方式進(jìn)行改變；入侵、

高級持續(xù)性攻擊極難被發(fā)現(xiàn)。

在《Gartner2016年信息安全趨勢與總結(jié)》中提出：傳統(tǒng)的安

全手段無法防范APT等高級定向攻擊；隨著云計算、BY0D的興起，用

戶的IT系統(tǒng)將不在屬于用戶自己所有或維護(hù)管理；僅僅靠防范措施

是不能夠應(yīng)對安全威脅，安全監(jiān)控和響應(yīng)能力是安全能力的一個關(guān)

鍵點(diǎn)；沒有集體共享的威脅和攻擊的情報，單個企業(yè)將無法保衛(wèi)自

己。報告中還發(fā)表了一個數(shù)據(jù)，預(yù)測2020年，60%的信息安全預(yù)算的

將用于快速檢測和響應(yīng)方面，而2013還不到10%。

2.3現(xiàn)有安全體系的不足分析

目前，之所以難以及時發(fā)現(xiàn)黑客入侵的主要原因可以總結(jié)為

“三個看不清”和“三個看不見”，繼而由此產(chǎn)生了的安全技術(shù)保

障體系和安全治理管理體系的脫節(jié)，簡單堆砌的防火墻、入侵檢

測、防病毒等產(chǎn)品無法提供管理決策所需的數(shù)據(jù)支撐，而管理決策

體系確定的安全策咯也缺乏對應(yīng)的抓手卻檢測是否真正實(shí)現(xiàn)和落地

To

8

2.3.1看不清自身業(yè)務(wù)邏輯

信息安全保障的是核心業(yè)務(wù)和數(shù)據(jù)資產(chǎn)，如果我們都不清楚被

保護(hù)的主體包含了哪些系統(tǒng)、哪些資產(chǎn)以及他們之間是如何交互、

如何互相訪問的，那么就談不上建立針對性的安全保障體系。越來

越多的黑客攻擊已經(jīng)開始基于業(yè)務(wù)邏輯和業(yè)務(wù)流開始構(gòu)建自己的攻

擊過程，例如著名的孟加拉央行劫案，都不是通用安全防護(hù)設(shè)備能

夠應(yīng)對的；而來自惡意內(nèi)部員工的竊密和攻擊，多數(shù)時候甚至都不

是嚴(yán)格意義上的網(wǎng)絡(luò)攻擊行為，更加無法依賴標(biāo)準(zhǔn)化交付的安全產(chǎn)

品實(shí)現(xiàn)。

而“看不清”自身業(yè)務(wù)主要包括以下三個維度：

＞看不清的新增資產(chǎn)產(chǎn)生安全洼地

關(guān)鍵IT資產(chǎn)的梳理和清單目錄是許多IT運(yùn)維人員最頭疼的問

題，特別是隨著IT資產(chǎn)逐步向虛擬化遷移，新增部署一臺虛擬機(jī)往

往只需要數(shù)分鐘的時間，而在服務(wù)器上開啟服務(wù)或者端口的管控機(jī)

制也不健全。

看不清的新增資產(chǎn)會因?yàn)槿鄙侔踩珯z查與訪問控制，成為攻擊

者攻入關(guān)鍵業(yè)務(wù)區(qū)的跳板；看不清的資產(chǎn)配置信息及開放的服務(wù)端

口，會由于缺乏安全訪問規(guī)則的控制，成為遠(yuǎn)程接入的最佳途徑；

看不清的資產(chǎn)漏洞，會由于沒有適當(dāng)?shù)陌踩庸?，最簡單的攻擊?/p>

碼就能輕易攻陷這些機(jī)器。

9

＞看不清的業(yè)務(wù)關(guān)系使業(yè)務(wù)安全防護(hù)失效

目前大部分安全防護(hù)的重點(diǎn)均停留在網(wǎng)絡(luò)與應(yīng)用系統(tǒng)側(cè)，對業(yè)

務(wù)與數(shù)據(jù)訪問的防護(hù)還不健全。黑客在突破和繞過邊界以后，往往

利用合法用戶的計算機(jī)與身份對數(shù)據(jù)庫、財務(wù)系統(tǒng)、客戶關(guān)系管理

系統(tǒng)等關(guān)鍵資產(chǎn)進(jìn)行非法訪問、數(shù)據(jù)竊取與資產(chǎn)破壞行為。而這些

訪問往往只是正常的增刪查改操作，并不需要借用攻擊代碼或惡意

軟件，傳統(tǒng)基于網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的防御措置往往無法識別。

＞缺乏有效手段主動識別新增業(yè)務(wù)

過去的IT管理需要大量管理設(shè)備與專業(yè)人士進(jìn)行業(yè)務(wù)資產(chǎn)的識

別與梳理，很多情況下要發(fā)現(xiàn)新增業(yè)務(wù)資產(chǎn)往往只能依賴定期的安

全巡檢，效率不高且滯后。如果不能通過自動化的手段對新增業(yè)務(wù)

資產(chǎn)及其開放端口、使用協(xié)議、系統(tǒng)配置信息進(jìn)行識別，以及對關(guān)

鍵業(yè)務(wù)訪問關(guān)系及其流量模型的可視化呈現(xiàn)，那么管理人員手里的

資產(chǎn)臺賬永遠(yuǎn)都只是過去時態(tài)，難以應(yīng)對安全事件分析的需求。

2.3.2看不見潛藏威脅隱患

“三個看不見”，即看不見黑客發(fā)起的內(nèi)網(wǎng)橫向攻擊、看不見

內(nèi)部人員的違規(guī)操作以及看不見內(nèi)網(wǎng)異常行為，其中：

第一個看不見是指攻擊者繞過邊界防護(hù)后，發(fā)生在內(nèi)網(wǎng)的橫向

移動攻擊是無法檢測到的，例如通過失陷主機(jī)向內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)或業(yè)

10

務(wù)資產(chǎn)管理員發(fā)起的橫向移動或者跳板攻擊，包括內(nèi)網(wǎng)嗅探、內(nèi)網(wǎng)

掃描、漏洞利用、遠(yuǎn)程控制、攻擊會話等都無法被邊界設(shè)備檢測；

第二個看不見是指攻擊者的行為往往不是病毒、漏洞利用等明

顯惡意行為，而是通過社會工程學(xué)、釣魚、跳板等更加隱蔽的手段

獲取高級管理員的賬號與權(quán)限，同時，內(nèi)部潛藏的惡意用戶也會通

過竊取、窺探等手段獲得合法權(quán)限；

第三個看不見是指攻擊者在嗅探、突破、滲透、橫移、會話維

持、捕獲占領(lǐng)的整個攻擊鏈中，會將關(guān)鍵文件進(jìn)行打包加密甚至隱

寫，所有的網(wǎng)絡(luò)會話也會在加密通道上傳輸，而會話維持以及遠(yuǎn)程

控制服務(wù)器的通信會夾雜在代理、VPN隧道、NTP、DNS等正常網(wǎng)絡(luò)協(xié)

議中混淆視聽，從而隱藏自己的攻擊行為。

在看不見的環(huán)境中與黑客較量無異于遮住眼睛與人搏斗，只有

看清了全網(wǎng)業(yè)務(wù)和流量，對內(nèi)部的攻擊行為、違規(guī)操作和異常行為

進(jìn)行持續(xù)檢測，利用威脅情報、流量監(jiān)測、機(jī)器學(xué)習(xí)等核心技術(shù)有

效識別內(nèi)網(wǎng)中潛伏的威脅，才能通過可視化平臺將這安全狀態(tài)實(shí)時

地展現(xiàn)給安全部門，從而讓內(nèi)鬼和黑客無所遁形。

233缺乏整體安全感知能力

安全技術(shù)保障體系和安全治理管理體系的脫節(jié)，主要是指安全

組件發(fā)現(xiàn)的安全問題缺乏相應(yīng)的檢測分析能力和追溯能力，無法提

供有效的事件應(yīng)對處置閉環(huán)；而安全治理所需系統(tǒng)狀態(tài)、安全態(tài)勢

也缺乏相應(yīng)的感知和可視手段，無法實(shí)現(xiàn)真F的看到和看懂。

11

關(guān)?風(fēng)a分析金全覺狀評估

肛BIN

—cm

以7木i9

圖2-1傳統(tǒng)的安全體系缺乏看到看懂的感知環(huán)節(jié)

＞事后難以追溯取證

市面上絕大多數(shù)網(wǎng)絡(luò)安全類產(chǎn)品只能保持HTTP、DNS等常見應(yīng)用

日志的記錄，而ARP請求、數(shù)據(jù)包和特殊的網(wǎng)絡(luò)行為則無法存儲和識

別。這將導(dǎo)致日志記錄太過單一，引起文件誤報等行為，給用戶決

策帶來干擾。其次，在追溯網(wǎng)絡(luò)犯罪過程中沒有原始的數(shù)據(jù)包作為

支撐，當(dāng)我們故障排查的時候很難準(zhǔn)確定位問題環(huán)節(jié)，阻礙深入追

溯分析的進(jìn)行，給攻擊目標(biāo)帶來無法挽回的損失。

＞單點(diǎn)檢測管中窺豹

現(xiàn)如今的安全防御軟件檢測方式單一。如傳統(tǒng)防火墻根據(jù)一定

格式的協(xié)議對文件訪問進(jìn)行過濾，不能防范攻擊者IP欺騙攻擊；反

病毒軟件根據(jù)病毒特征或者黑白名單判斷文件攻擊性，無法阻止變

種軟件攻擊等。而當(dāng)前新型病毒具備多樣性和高度隱藏功能，能夠

在不同的環(huán)境中通過合理的變形和偽裝躲避反病毒軟件的查殺，最

終侵入系統(tǒng)核心部位爆發(fā)。

12

這些新型攻擊手段，顯然需要防御者能夠綜合分析多維度的信

息，進(jìn)行綜合判斷才能進(jìn)行及時的檢測和處置。

3方案理念

針對傳統(tǒng)安全保障體系難以新型威脅和APT攻擊，以及缺乏看到

看懂的感知環(huán)節(jié)的不足，提出了基于行為檢測和關(guān)聯(lián)分析技術(shù)、對

全網(wǎng)流量進(jìn)行安全監(jiān)測的可視化和預(yù)警檢測解決方案。方案設(shè)計體

現(xiàn)適用性、前瞻性、可行性的基本原則，實(shí)現(xiàn)安全效果可評估、安

全態(tài)勢可視化。主要基于“看清業(yè)務(wù)邏輯、看見潛在威脅、看懂安

全風(fēng)險、輔助分析決策”的思路進(jìn)行設(shè)計實(shí)現(xiàn)的。

圖3」安全感知平臺整體邏輯架構(gòu)

3.1看清業(yè)務(wù)邏輯

信息安全的核心目標(biāo)是解決組織和企業(yè)核心業(yè)務(wù)的安全、穩(wěn)定

運(yùn)行，如果安全檢測系統(tǒng)不了解信息系統(tǒng)的資產(chǎn)有哪些、業(yè)務(wù)邏輯

關(guān)系如何，而是無論在哪一個客戶的網(wǎng)絡(luò)中都復(fù)用同一套安全判斷

13

準(zhǔn)則，那么它提供的檢測能力顯然是脫離實(shí)際的。所以未知威脅檢

測和安全感知的首要需求就是看清業(yè)務(wù)邏輯，即：

＞能夠?qū)I(yè)務(wù)系統(tǒng)的核心資產(chǎn)進(jìn)行識別，梳理用戶與資產(chǎn)的訪問關(guān)

系；

＞對業(yè)務(wù)資產(chǎn)存在的脆弱性進(jìn)行持續(xù)檢測，及時發(fā)現(xiàn)新業(yè)務(wù)上線以

及系統(tǒng)更新產(chǎn)生的漏洞及安全隱患，識別新增業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)

訪問關(guān)系；

3.2看見潛在威脅

信息安全是一個涉及多個領(lǐng)域的復(fù)雜問題，攻擊者可能包括外

部黑客、心懷不滿的員工、以及內(nèi)外勾結(jié)等各種情況，攻擊途徑更

是包括了暴力攻擊、社會工程學(xué)、惡意代碼、APT、漏洞利用等等數(shù)

百種不同手段。防御者需要全面監(jiān)控，但攻擊者只需要一點(diǎn)突破即

可，如果沒有系統(tǒng)的檢測能力，即使別人告訴你被黑客攻擊了，都

找不出黑客是怎么攻擊的。

而新一代的未知威脅檢測和安全感知技術(shù)，正是由于其對現(xiàn)有

業(yè)務(wù)及其邏輯關(guān)系具備深入的理解，就能夠有別于傳統(tǒng)檢測系統(tǒng)，

實(shí)現(xiàn)更加全面的潛伏威脅檢測和安全態(tài)勢感知分析能力：

＞傳統(tǒng)的安全防御體系過于關(guān)注邊界防護(hù)，對繞過邊界防御的進(jìn)入

內(nèi)網(wǎng)的攻擊缺乏監(jiān)測手段，需要對東西向流量和訪問行為進(jìn)行監(jiān)

測和分析，彌補(bǔ)傳統(tǒng)邊界和靜態(tài)防御的不足；

14

＞黑客攻擊過程特別是以竊取信息為目的的APT攻擊，都具備較長

的攻擊鏈條，如果能夠?qū)W(wǎng)絡(luò)內(nèi)部信息資產(chǎn)已發(fā)生的安全事件進(jìn)

行持續(xù)檢測，就能夠通過對不同事件和告警之間的關(guān)聯(lián)分析，真

正還原整個攻擊鏈從而及時遏止黑客進(jìn)一步攻擊，在產(chǎn)生實(shí)際危

害前進(jìn)行封堵；

＞對內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)檢測，通過建立合法

行為基線，對傳統(tǒng)入侵防御系統(tǒng)無能為力的內(nèi)鬼作案和內(nèi)外勾結(jié)

竊取敏感信息行為進(jìn)行監(jiān)控；

＞針對新型威脅快速更新迭代的特點(diǎn)，就更加需要建立海量威脅情

報關(guān)聯(lián)體系，通過國內(nèi)外權(quán)威情報庫和云端關(guān)聯(lián)強(qiáng)化新型威脅檢

測能力；

3.3看懂安全風(fēng)險

信息安全系統(tǒng)除了需要能夠及時發(fā)現(xiàn)問題外，還需要保障系統(tǒng)

的易用性，確?？蛻艏夹g(shù)人員能夠方便快速的發(fā)現(xiàn)安全問題、了解

影響范圍、定位問題源頭，提供響應(yīng)的展示告警和分析舉證服務(wù)。

只有人性化的安全事件分析告警和舉證分析服務(wù)，才能真正為安全

保障部門的事件分析和應(yīng)急處置提供有效幫助：

＞打破傳統(tǒng)的網(wǎng)絡(luò)拓?fù)湔故揪窒?，采取基于系統(tǒng)業(yè)務(wù)邏輯的業(yè)務(wù)訪

問視圖，安不安全、哪里不安全一目了然；

＞從運(yùn)維和安全應(yīng)急人員視角，在失陷業(yè)務(wù)、風(fēng)險用戶和有效攻擊

等不同維度分析和展示安全風(fēng)險，方便定位安全問題；

15

3.4輔助分析決策

除了專業(yè)的威脅檢測和風(fēng)險分析效果，安全感知的核心目

標(biāo)還是全面展示安全態(tài)勢與輔助安全決策分析：

＞安全態(tài)勢展示：可視化的形式呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對關(guān)鍵業(yè)務(wù)

資產(chǎn)的攻擊與潛在威脅，通過全網(wǎng)攻擊監(jiān)測、分支機(jī)構(gòu)監(jiān)管、風(fēng)

險外聯(lián)監(jiān)測等多個不同視角的大屏展示，提供對失陷業(yè)務(wù)和主機(jī)

的報告導(dǎo)出和分析服務(wù)，為信息安全主管提供駕駛艙式的輔助決

策服務(wù)。

＞輔助決策分析：通過訪問邏輯展示、主機(jī)威脅活動鏈分析、安全

日志舉證和查詢、以及基于特定資產(chǎn)的深度業(yè)務(wù)邏輯分析和威脅

攻擊鏈鉆?。摲{黃金眼），更是可以快速定位問題影響和

源頭，進(jìn)行相應(yīng)的分析研判；

4解決方案

4.1方案概述

基于“看清業(yè)務(wù)邏輯、看見潛在威脅、看懂安全風(fēng)險、輔助分

析決策”的思路，安全感知解決方案主要通過技術(shù)監(jiān)測平臺和相關(guān)

安全監(jiān)測服務(wù)共同實(shí)現(xiàn)，由安全感知系統(tǒng)建立基本的潛伏威脅檢測

和安全感知能力，而專業(yè)的云端安全專家和應(yīng)急響應(yīng)專家團(tuán)隊(duì)則為

客戶提供系統(tǒng)的檢測響應(yīng)閉環(huán)服務(wù)。

16

4.2安全感知系統(tǒng)

4.2.1系統(tǒng)架構(gòu)

MMKUi

tyvxrix-.Lf.znxb"T*公，陽川

-FvnrtiMMN

t?CUI

心充.玻價孰“常行為》.■汕[犬**

IIr：E5￡1CNVO

*2./行為1由■經(jīng)■ICNCtRT

ViriTotel

CNNVD

ANVA

夏金B(yǎng)Ht，口IFUEsptoitM

AaMfc/UWLMMHMAPF

""方?甲K

CVt

?flAFt

E4NKS3.48

hXM*I[ZlM伊*?ua|

圖3-2安全感知平臺系統(tǒng)架構(gòu)

安全感知平臺是基于威脅建模、行為分析技術(shù)，對全網(wǎng)流量進(jìn)行

檢測分析的可視化平臺，支持模塊化的方式逐步引入多種數(shù)據(jù)源，基

于大數(shù)據(jù)分析和威脅情報共享技術(shù)提供全網(wǎng)安全感知和預(yù)警服務(wù)。

圖3-3安全感知平臺數(shù)據(jù)流程

＞采集層基于探針/EDR/其他安全設(shè)備進(jìn)行收據(jù)收集，數(shù)據(jù)來源更齊

17

全。

＞核心處理層采用安全感知平臺進(jìn)行簡單交付，應(yīng)用最前沿的UEBA

（用戶和實(shí)體行為分析）、威脅建模、機(jī)器學(xué)習(xí)等新型技術(shù)，特

征檢測和行為檢測相結(jié)合，威脅檢測能力大幅度加強(qiáng)；

＞威脅情報源以的千里馬實(shí)驗(yàn)室為核心，結(jié)合CNVD、CNCERT、CNNVD、

MAPP、CVE等眾多合作單位，提供數(shù)據(jù)最廣的威脅情報來源。

＞展示/控制層面，提供資產(chǎn)狀態(tài)、報表平臺、全網(wǎng)可視化平臺幫助

用戶直觀的掌握現(xiàn)有業(yè)務(wù)安全風(fēng)險。

結(jié)合安全服務(wù)云打造7*24小時的安全服務(wù)，主動發(fā)現(xiàn)未知威脅,

對網(wǎng)業(yè)務(wù)進(jìn)行持續(xù)安全監(jiān)測與快速應(yīng)急響應(yīng)，解決安全黑洞與安

全洼地的問題，做到快速及時的發(fā)現(xiàn)和處理網(wǎng)絡(luò)安全事件。

4.2.2部署拓?fù)?/p>

圖3-4安全感知平臺部署邏輯拓?fù)鋱D

18

在XX市局網(wǎng)絡(luò)的重要匯聚結(jié)點(diǎn)和區(qū)縣網(wǎng)絡(luò)核心交換旁路部署潛

伏威脅探針，在市局部署安全感知平臺進(jìn)行綜合分析和展示，分支大

屏可以讓市局管理人員全局把控和了解全市網(wǎng)的安全狀態(tài)，對每個區(qū)

縣網(wǎng)絡(luò)安全狀態(tài)進(jìn)行實(shí)時監(jiān)測預(yù)警。

4.2.3組件實(shí)現(xiàn)

全網(wǎng)安全感知平臺核心主要由威脅潛伏探針、安全感知系統(tǒng)兩

部分組成，并提供基于安全服務(wù)云的深度分析、威脅關(guān)聯(lián)和服務(wù)響

應(yīng)能力。威脅潛伏探針構(gòu)筑在64位多核并發(fā)高速硬件平臺之上，采

用自主研發(fā)的并行操作系統(tǒng)(SangforOS),將轉(zhuǎn)發(fā)平面、安全平面

并行運(yùn)行在多核平臺上，多平面并發(fā)處理，緊密協(xié)作，極大的升了

網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能。安全感知系統(tǒng)利用大數(shù)據(jù)并行計算框

架支撐關(guān)聯(lián)分析、流量檢測、機(jī)器學(xué)習(xí)等計算檢測模塊，從而實(shí)現(xiàn)

海量數(shù)據(jù)分析協(xié)同的全方位檢測服務(wù)。

4.2.3.1威脅潛伏探針

19

圖4-1潛伏威脅探針數(shù)據(jù)采集架構(gòu)

＞分離平面設(shè)計

威脅潛伏探針通過軟件設(shè)計將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行

分離，在底層以應(yīng)用識別模塊為基礎(chǔ)，對所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)

行識別，再通過抓包驅(qū)動把需要處理的應(yīng)用數(shù)據(jù)報文抓取到應(yīng)用

層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會影響到網(wǎng)絡(luò)層數(shù)據(jù)

的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)高效、可靠的數(shù)據(jù)報文處理。

＞多核并行處理

威脅潛伏探針的設(shè)計不僅采用了多核的硬件架構(gòu)，在計算指令

設(shè)計上還采用了先進(jìn)的無鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時

處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異，是

真正的多核并行處理架構(gòu)。

＞單次解析架構(gòu)

威脅潛伏探針采用單次解析架構(gòu)實(shí)現(xiàn)報文的一次解析一次匹

配，有效的提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個關(guān)鍵要素

就是軟件架構(gòu)設(shè)計實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離，將數(shù)據(jù)通過

“0”拷貝技術(shù)提取到應(yīng)用平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢

測，減少冗余的數(shù)據(jù)包封裝，實(shí)現(xiàn)高性能的數(shù)據(jù)處理。

A跳躍式掃描技術(shù)

20

威脅潛伏探針利用多年積累的應(yīng)用識別技術(shù)，在內(nèi)核驅(qū)動層面

通過私有協(xié)議將所有經(jīng)過探針的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)

包被提取到內(nèi)容檢測平面進(jìn)行檢測時，設(shè)備會找到對應(yīng)的應(yīng)用威脅

特征，通過使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特征，減

少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么

FTPserver-u的相關(guān)漏洞攻擊特征便不會對系統(tǒng)造成威脅，便可以

暫時跳過檢測進(jìn)行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。

＞流量記錄

能夠?qū)W(wǎng)絡(luò)通信行為進(jìn)行還原和記錄，以供安全人員進(jìn)行取證

分析，還原內(nèi)容包括：TCP會話記錄、Web訪問記錄、SQL訪問記錄、

DNS解析記錄、文件傳輸行為、LDAP登錄行為。

＞報文檢測引擎

可實(shí)現(xiàn)IP碎片重組、TCP流重組、應(yīng)用層協(xié)議識別與解析等，具

備多種的入侵攻擊模式或惡意URL監(jiān)測模式，可完成模式匹配并生成

事件，可提取URL記錄和域名記錄，在特征事件觸發(fā)時可以基于五元

組和二元組（IP對）進(jìn)行原始報文的錄制。

＞SangforRcgexiE則引擎

正則表達(dá)式是一種識別特定模式數(shù)據(jù)的方法，它可以精確識別

網(wǎng)絡(luò)中的攻擊。經(jīng)安全專家研究發(fā)現(xiàn)，業(yè)界已有的正則表達(dá)式匹配

方法的速度一般比較慢，制約了探針的整機(jī)速度的提高。為此，設(shè)

計并實(shí)現(xiàn)了全新的SangforRegex正則引擎，將正則表達(dá)式的匹配速

21

度提高到數(shù)十Gbps,比PCRE和Google的RE2等知名引擎快數(shù)十倍,達(dá)

到業(yè)界領(lǐng)先水平。

威脅潛伏探針的SangforRegex大幅降低了CPU占用率，有效提

高了威脅潛伏探針的整機(jī)吞吐，從而能夠更高速地處理客戶的業(yè)務(wù)

數(shù)據(jù)，該項(xiàng)技術(shù)尤其適用于對每秒吞吐量要求特別高的場景，如運(yùn)

營商、電商等。

4.23.2安全感知平臺

智安全：人工智能+安全專家

海量數(shù)據(jù)聚合、處理

圖4-2安全感知平臺實(shí)現(xiàn)架構(gòu)

＞資產(chǎn)業(yè)務(wù)管理

按照功能劃分，內(nèi)網(wǎng)設(shè)備可分為資產(chǎn)和業(yè)務(wù)。安全感知平臺可

以主動識別內(nèi)網(wǎng)資產(chǎn)，主動發(fā)現(xiàn)內(nèi)網(wǎng)未被定義的設(shè)備資產(chǎn)的IP地

址，無需用戶進(jìn)行繁瑣的統(tǒng)計和錄入，節(jié)省用戶時間。資產(chǎn)配置詳

情展示模塊，可以識別內(nèi)網(wǎng)服務(wù)器資產(chǎn)的IP地址，操作系統(tǒng)，開放

22

端口以及傳輸使用協(xié)議和應(yīng)用。業(yè)務(wù)與資產(chǎn)關(guān)系展示模塊，能夠按

資產(chǎn)IP地址/地址段，組合成為特定的業(yè)務(wù)組。

＞內(nèi)網(wǎng)流量展示

訪問關(guān)系展示模塊，通過訪問關(guān)系學(xué)習(xí)展示用戶、業(yè)務(wù)系統(tǒng)、

互聯(lián)網(wǎng)之間訪問關(guān)系，能夠識別訪問關(guān)系的who、what、when.

howo通過顏色區(qū)分不同危險等級用戶、業(yè)務(wù)系統(tǒng)。內(nèi)網(wǎng)違規(guī)訪問、

攻擊行為、異常流量的圖形化展示，展示為網(wǎng)針對不同業(yè)務(wù)資產(chǎn)的

正常訪問、違規(guī)訪問、攻擊行為、異常流量，并用不同顏色加以區(qū)

分，讓用戶查閱更直觀。

＞監(jiān)測識別知識庫

安全感知平臺內(nèi)建的檢測識別知識庫，涵蓋的應(yīng)用類型超過

1100種，應(yīng)用識別規(guī)則總數(shù)超過3000條，具備億萬級別URL識別能

力；知識庫涵蓋的入侵防護(hù)漏洞規(guī)則特征庫數(shù)量超過4000條，入侵

防護(hù)漏洞特征具備中文介紹，包括但不限于漏洞描述、漏洞名稱、

危險等級、影響系統(tǒng)、對應(yīng)CVE編號、參考信息和建議的解決方案；

知識庫具備獨(dú)立的僵尸主機(jī)識別特征庫，惡意軟件識別特征總數(shù)在

50萬條以上。

＞日志收集和關(guān)聯(lián)

安全感知平臺可以收集和分析公司的下一代防火墻（NGAF）、

端點(diǎn)安全系統(tǒng)（EDR）相關(guān)日志和告警信息，并進(jìn)行相應(yīng)的分析和關(guān)

23

聯(lián)，同時對于平臺分析發(fā)現(xiàn)的安全隱患，也可以迅速調(diào)用這些防護(hù)

系統(tǒng)阻斷和查殺響應(yīng)的安全隱患和攻擊代碼。

對于支持syslog的第三方安全設(shè)備，平臺同樣支持相關(guān)日志的

搜集、存儲和查詢服務(wù)。

＞可視化平臺

全網(wǎng)攻擊監(jiān)測可視化平臺支持安全態(tài)勢感知，對全網(wǎng)安全事件

與攻擊的地圖展現(xiàn)與可視化展現(xiàn)。按攻擊事件、攻擊源、攻擊目

標(biāo)、攻擊類型、危害級別進(jìn)行統(tǒng)計與展示?？梢暬脚_支持全網(wǎng)業(yè)

務(wù)可視化，可以呈現(xiàn)全網(wǎng)業(yè)務(wù)對象的訪問關(guān)系與被入侵業(yè)務(wù)的圖形

化展示。支持用戶自定義的業(yè)務(wù)資產(chǎn)管理的可視化。支持對經(jīng)過設(shè)

備的流量進(jìn)行分析，發(fā)現(xiàn)被保護(hù)對象存在的漏洞（非主動掃描）。

業(yè)務(wù)外連監(jiān)控大屏，展示資產(chǎn)、業(yè)務(wù)被外網(wǎng)攻擊的實(shí)時動態(tài)地圖，

圖形化大屏展示。分支安全監(jiān)測，能夠以地圖拓?fù)涞男问秸故痉种?/p>

機(jī)構(gòu)/被監(jiān)管機(jī)構(gòu)的安全狀態(tài)，對風(fēng)險狀態(tài)進(jìn)行排名并羅列分支機(jī)構(gòu)

/被監(jiān)管機(jī)構(gòu)的安全趨勢。安全日志展示支持所有安全設(shè)備的安全

日志匯總，并能夠通過時間、類型、嚴(yán)重等級、動作、區(qū)域、IP、

用戶、特征/漏洞ID、回復(fù)狀態(tài)碼、域名/URL、設(shè)備名稱等多個條件

查詢過濾日志。

＞風(fēng)險可視化

基于等保部分要求，展示以用戶組為粒度的風(fēng)險詳情及對業(yè)務(wù)

系統(tǒng)的影響情況，風(fēng)險用戶可視化對高危用戶進(jìn)行可視化展示，對

24

高危用戶的風(fēng)險操作、攻擊行為、違規(guī)行為、影響業(yè)務(wù)進(jìn)行可視化

展現(xiàn)，并按確定性分類為失陷用戶、高危用戶、可疑用戶。風(fēng)險業(yè)

務(wù)可視化，對高危業(yè)務(wù)進(jìn)行可視化展示，對業(yè)務(wù)的有效攻擊、篡

改、后門的攻擊路徑進(jìn)行圖形化和可視化的展示，并按確定性分類

為失陷業(yè)務(wù)、高危業(yè)務(wù)、可疑業(yè)務(wù)。

＞大數(shù)據(jù)分析引擎

大數(shù)據(jù)分析引擎負(fù)責(zé)實(shí)現(xiàn)各類檢測能力及大數(shù)據(jù)關(guān)聯(lián)分析能

力。該引擎由數(shù)據(jù)預(yù)處理、數(shù)據(jù)融合、模型構(gòu)建、模型融合、分析

結(jié)果生成等主要模塊構(gòu)成，以MapReduce為底層計算框架、以MLib和

Tensorflow作為主要機(jī)器學(xué)習(xí)框架，實(shí)現(xiàn)了SVM、貝葉斯網(wǎng)絡(luò)、隨機(jī)

森林、LDA、DGA、馬爾科夫聚類、iForesuRNN等關(guān)鍵機(jī)器學(xué)習(xí)算

法，從而支撐UEBA、失陷主機(jī)檢測、及大數(shù)據(jù)關(guān)聯(lián)分析等安全能

力C

＞管理功能

管理功能由多個模塊組成。登錄模塊支持用戶身份安全認(rèn)證模

式，多次登錄失敗將鎖定賬號5分鐘內(nèi)不得登錄，支持用戶初次登陸

強(qiáng)制修改密碼功能；升級模塊支持在線升級和離線升級兩種升級方

式，并支持定時自動升級，平臺統(tǒng)一管控探針的升級；用戶管理模

塊支持新增并管理用戶，可控制用戶使用權(quán)限，權(quán)限包括讀取和編

輯；時間管理模塊支持時間同步，支持NTPV4.0協(xié)議；網(wǎng)絡(luò)管理模

塊提供網(wǎng)絡(luò)管理功能，可進(jìn)行靜態(tài)路由配置；設(shè)備管理模塊可實(shí)時

25

監(jiān)控設(shè)備的CPU、內(nèi)存、存儲空間使用情況，能夠監(jiān)控監(jiān)聽接口的實(shí)

時流量情況；數(shù)據(jù)管理模塊可以分析統(tǒng)計1天或1周時間內(nèi)的文件還

原數(shù)量情況及各個應(yīng)用流量的大小和分布情況。

4.2.3.3安全服務(wù)云

圖4-3安全服務(wù)實(shí)現(xiàn)架構(gòu)

安全服務(wù)云是為VIP用戶打造的專業(yè)安全服務(wù)體系，有別與傳統(tǒng)

被動應(yīng)急響應(yīng)服務(wù)。新安全理念下的閉環(huán)版務(wù)設(shè)計。旨在快速發(fā)

現(xiàn)，主動響應(yīng)問題C主要由深圳安全專家、全國各區(qū)域安全服務(wù)工

程師、攻防研究和開發(fā)團(tuán)隊(duì)三大部分組成。由深圳安全專家團(tuán)隊(duì)運(yùn)

營大數(shù)據(jù)平臺，根據(jù)事件分類做出主動響應(yīng)安排。

A安全威脅情報

26

安全云威脅情報中心不斷的挖掘和監(jiān)測業(yè)內(nèi)高危漏洞事件，并

分析漏洞危害及影響范圍，快速向用戶告警。當(dāng)ODay漏洞事件爆發(fā)

后，威脅情報預(yù)警與處置中心會在48小時為制作出針對該事件的熱

點(diǎn)事件庫，事件庫包含：事件內(nèi)容、詳細(xì)威脅說明、檢測工具、防

護(hù)規(guī)則。

puvem.eu

■次發(fā)現(xiàn)：201509X)618:12:33UTC

攻擊JI;忘尊病同?訪活動：2016-11-28072106UTC

?艇務(wù)同位.Portugal(Portugal)高峰值201602.1912:14:57UTC113630次)

僖息可視化

I關(guān)聯(lián)他目圖

QSIP

O工儂

o篇

I坡心礴

圖4-4大數(shù)據(jù)威脅情報能力

＞權(quán)威的安全專家團(tuán)

專家團(tuán)隊(duì)由業(yè)內(nèi)權(quán)威專家組成，20人的安全服務(wù)專家團(tuán)隊(duì)，70

人的安全實(shí)驗(yàn)室。其中有業(yè)內(nèi)知名的白帽子，具有多年從事安全攻

防對抗經(jīng)驗(yàn)，為多個漏洞平臺如烏云、補(bǔ)天等提供過眾多重大漏

洞。為服務(wù)過程中的重大決策和計劃提供技術(shù)指導(dǎo)和咨詢。

＞區(qū)域安全服務(wù)團(tuán)隊(duì)

27

依托公司的人才儲備優(yōu)勢，技術(shù)隊(duì)伍人員結(jié)構(gòu)合理。目前安全

服務(wù)團(tuán)隊(duì)擁有約200人的一線安全工程師隊(duì)伍。分布圍繞著為公司的

人才核心目標(biāo)，努力搭建一個有特色的學(xué)習(xí)型服務(wù)團(tuán)隊(duì)，提供一套

完整的服務(wù)體系。

4.23.4其他安全組件

＞下一代防火墻

下一代防火墻NGAF提供L2-L7層安全可視的全面防護(hù)，通過雙向

檢測網(wǎng)絡(luò)流量，有效識別來自網(wǎng)絡(luò)層和應(yīng)用層的內(nèi)容風(fēng)險，抵御來

源更廣泛、危害更明顯的應(yīng)用層攻擊。

＞端點(diǎn)安全系統(tǒng)

很多管理人員都開始逐漸意識到，要想把惡意攻擊者完全攔截

在企業(yè)環(huán)境之外不像部署防火墻和防病毒軟件那么簡單。大多數(shù)黑

客都能夠利用定制的惡意軟件繞過傳統(tǒng)的防病毒解決方案，所以需

要采取更為主動強(qiáng)大的方法來保護(hù)端點(diǎn)，兼?zhèn)鋵?shí)時監(jiān)控、檢測、高

級威脅分析及響應(yīng)等多種功能。

4.2.4主要功能

從企業(yè)網(wǎng)絡(luò)安全建設(shè)的角度看，過去的網(wǎng)絡(luò)流量可以說是非黑

即白，黑即風(fēng)險流量，白即安全流量，防火墻類邊界防護(hù)設(shè)備的黑

白名單過濾配合基于特征的方法就能攔截大多數(shù)威脅。然而隨著互

聯(lián)網(wǎng)接入設(shè)備的日益增加、網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)環(huán)境出現(xiàn)了

28

越來越多的可利用弱點(diǎn)，黑客攻擊的方式也在不斷改進(jìn)和變異，形

成了黑和白之間的灰色區(qū)域，并且規(guī)模仍在不斷擴(kuò)大。

傳統(tǒng)方法難以有效發(fā)現(xiàn)灰色區(qū)域中潛在的風(fēng)險，對此我們采取

了一種應(yīng)對未知威脅的關(guān)鍵技術(shù)，通過這些技術(shù)可以更快更準(zhǔn)的發(fā)

現(xiàn)黑客入侵的蹤跡，從而將黑客的攻擊計劃扼殺在搖籃之中。針對

黑客攻擊特點(diǎn)的設(shè)計實(shí)現(xiàn)，統(tǒng)籌考慮黑客攻擊鏈的每個環(huán)節(jié)，是在

黑客攻擊手段不斷升級的今天監(jiān)護(hù)內(nèi)網(wǎng)安全態(tài)勢、保障企業(yè)網(wǎng)絡(luò)安

全的不可或缺的關(guān)鍵能力。

威脅檢測和攻防對抗

1）基礎(chǔ)檢測能力

黑客之所以能入侵企業(yè)內(nèi)網(wǎng)，有時并不是憑借多么高明技巧，

相反，對網(wǎng)絡(luò)安全事件進(jìn)行復(fù)盤總結(jié)發(fā)現(xiàn)，許多黑客入侵企業(yè)內(nèi)網(wǎng)

給企業(yè)造成損失，憑借的僅是一些傳統(tǒng)的、簡單的手段。對于企業(yè)

的網(wǎng)絡(luò)安全建設(shè)而言，檢測技術(shù)由簡單和復(fù)雜之分，但對于檢測黑

客入侵而言，基礎(chǔ)檢測能力同樣是至關(guān)重要的?；A(chǔ)檢測能力是指

針對那些傳統(tǒng)的、常見的異常流量進(jìn)行檢測的能力，主要包括異常

會話檢測、Web應(yīng)用安全檢測、敏感數(shù)據(jù)泄密檢測。

異常會話檢測可實(shí)現(xiàn)外聯(lián)行為分析、間歇會話連接、加密通道

分析、異常域名分析、上下行流量分析等在內(nèi)的多場景網(wǎng)絡(luò)異常通

信行為的分析檢測，而Web應(yīng)用安全檢測針對B/S架構(gòu)應(yīng)用，應(yīng)用范

29

圍包括ASP、PHP、JSP等主流腳本語言編寫的webshell后門腳本上

傳，檢測SQL注入、XSS、系統(tǒng)命令等注入、CSRF攻擊、惡意爬蟲攻

擊、文件包含、目錄遍歷、信息泄露攻擊等攻擊，對主流網(wǎng)站內(nèi)容

管理系統(tǒng)CMS進(jìn)行安全防護(hù)，如dedeems,phpems,phpwind等。而敏

感數(shù)據(jù)泄密檢測能力則是通過對敏感信息的自定義，根據(jù)文件類型

和敏感關(guān)鍵字進(jìn)行信息過濾和檢測。

2）深度檢測能力

294068

嗣修石務(wù)界雙任可及修務(wù)器收o楊期內(nèi)網(wǎng)

小群〔RM國務(wù)器

涮6人關(guān)鍵字P批呈壇方已短?全殍笑la等吸?全甚*等出?±2

全部業(yè)務(wù)；n序號服務(wù)migt所庫分支所底業(yè)務(wù)失ta?定性―威?海鉗M蒼國餐近發(fā)生時期

?SVN120020C09es聘訊通國口"辦彩眄外網(wǎng)2017-11-0122:1617

?信息空市部ea9220020C0.137=BU皿外網(wǎng)2017-11-012307:00

?安全面計GS0320020C012s部安全BU能通外網(wǎng)2017.11-0122078

■A20020C.02*幫安仝豐計露明外河2017-11-012207M

520020C011巳都於字出版部次不外網(wǎng)2017-11-012007.8

切!外網(wǎng)

?功考報的039620020C010essea2017-11-0112078

圖4-5失陷業(yè)務(wù)深度檢測

黑客繞過傳統(tǒng)防護(hù)措施之后，往往是先選擇潛伏和隱藏，比如

病毒是黑客入侵內(nèi)網(wǎng)的常用工具之一，病毒程序進(jìn)入系統(tǒng)之后一般

不會馬上發(fā)作，而是在幾周或者幾個月甚至幾年內(nèi)隱藏在合法文件

中，對其他系統(tǒng)進(jìn)行傳染且不被發(fā)現(xiàn)，大部分病毒的發(fā)作是通過

HTTP協(xié)議訪問特定的URL來獲取或提交信息來完成的，還有病毒會通

過DNS查詢出某個域名的IP,然后再與該IP建立連接交互數(shù)據(jù)。再比

30

如，僵尸網(wǎng)絡(luò)為了同C&C服務(wù)器通信，會通過請求DNS來獲取C&C服務(wù)

器對應(yīng)的IP,這些URL地址和域名對應(yīng)IP的主機(jī)通常就是為病毒提供

交互信息的關(guān)鍵所在，有效識別出這些主機(jī)就能夠阻斷內(nèi)網(wǎng)病毒和

外界的連接。這些攻擊方式比傳統(tǒng)的攻擊方式更加復(fù)雜和隱蔽，而

深度檢測能力就是針對這種具有隱蔽性的惡意行為進(jìn)行檢測。

安全感知平臺的深度檢測能力可提供網(wǎng)絡(luò)流量的會話級視圖，

根據(jù)網(wǎng)絡(luò)流量的正常行為輪廓特征建立正常流量模型，判別流量是

否出現(xiàn)異常，可發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)水平掃描、網(wǎng)絡(luò)垂直掃描、IP

地址掃描、端口掃描、ARP欺騙。同時深度檢測能力還包含口令暴力

破解檢測、弱密碼掃描檢測、黑鏈檢測、終端病毒/惡意軟件檢測。

針對僵尸機(jī)、病毒程序的發(fā)作需要通過和外界C&C服務(wù)器通信來實(shí)現(xiàn)

發(fā)作的特點(diǎn)，安全感知平臺獨(dú)有的融合馬爾科夫模型和信息病的DGA

檢測算法，利用機(jī)器學(xué)習(xí)的方法識別域名是否由算法生成，根據(jù)隨

機(jī)性估計域名信譽(yù)值，從而檢測出與惡意IP地址相關(guān)的流量。

3)UEBA和訪問異常檢測

在企業(yè)網(wǎng)絡(luò)環(huán)境中，當(dāng)某員工沒有值夜班的情況下，該員工主

機(jī)在凌晨4點(diǎn)對業(yè)務(wù)服務(wù)器進(jìn)行訪問就屬于的訪問異常。過去用戶業(yè)

務(wù)訪問控制和Web業(yè)務(wù)訪問控制主要靠規(guī)則實(shí)現(xiàn)，但由于個體行為模

式存在較大差異，同時黑客的攻擊越來越領(lǐng)向于偽裝成正常用戶行

為從而避開訪問規(guī)則，因此基于規(guī)則的控制策略已經(jīng)難以有效應(yīng)對

31

訪問異常。而機(jī)器學(xué)習(xí)算法恰恰能夠?qū)Χ鄻踊挠脩粜袨槟Ｊ胶蚇eb

訪問模式進(jìn)行建模，從而達(dá)到更好的檢測效果。

安全感知平臺的用戶業(yè)務(wù)訪問異常檢測基于用戶歷史行為和用

戶之間的行為相似性，相似性作統(tǒng)計分析，利用機(jī)器學(xué)習(xí)進(jìn)行建

模，從而對用戶和主機(jī)等實(shí)體進(jìn)行分析（UEBA）、識別出用戶對業(yè)

務(wù)系統(tǒng)的異常訪問，進(jìn)而發(fā)現(xiàn)客戶憑據(jù)被盜、用戶主機(jī)失陷等潛在

威脅。而Web業(yè)務(wù)訪問異常檢測使用馬爾科夫隨機(jī)過程和貝葉斯遞歸

估計，結(jié)合其它機(jī)器學(xué)習(xí)算法對Web業(yè)務(wù)的交互行為進(jìn)行分析和是

模，從而檢測出Web業(yè)務(wù)的各類攻擊，如數(shù)據(jù)泄漏、WebShell,內(nèi)

網(wǎng)數(shù)據(jù)代理轉(zhuǎn)發(fā)等高危行為。

4.2.4.2事前事中事后全監(jiān)測

1）失陷主機(jī)檢測

黑客攻入內(nèi)網(wǎng)之后，會在被攻陷主機(jī)上放置木馬、后門，從而

達(dá)到對該主機(jī)控制的目的。而在黑客控制大量失陷主機(jī)之后，還會

對目標(biāo)主機(jī)發(fā)起DDOS攻擊、掃描暴破等惡意行為。主機(jī)失陷是黑客

進(jìn)入內(nèi)網(wǎng)的第一步，及時發(fā)現(xiàn)失陷主機(jī)就能夠盡早的扼制黑客的進(jìn)

一步行動，從而確保企業(yè)網(wǎng)絡(luò)環(huán)境的安全。

目前已知的失陷主機(jī)檢測算法有20多種，如基于規(guī)則、基于庫

的算法等。安全感知平臺內(nèi)建的算法能夠?qū)Σ《拘袨椤惓Ｍ饴?lián)行

為、黑客常用攻擊行為等特征進(jìn)行分析，該算法融合了fast-flux識

32

別、iForest、主機(jī)網(wǎng)絡(luò)流量模型、協(xié)議模型學(xué)習(xí)，同時結(jié)合大數(shù)據(jù)

關(guān)聯(lián)分析引擎提供的聯(lián)動分析以及DGA域名判別構(gòu)建融合檢測模型，

從而從及時發(fā)現(xiàn)失陷主機(jī)。

2）橫向威脅感知

圖4-6橫向威脅感知能力

對于大多數(shù)客戶來說，核心業(yè)務(wù)系統(tǒng)都會部署大量的安全防護(hù)

系統(tǒng)和制定詳細(xì)的管理保障制度，非公眾服務(wù)的系統(tǒng)甚至根本不會

暴露在攻擊者直接可訪問的視野當(dāng)中。所以，黑客和攻擊者往往難

以直接對這些系統(tǒng)進(jìn)行滲透和攻擊，于是就出現(xiàn)了經(jīng)典的APT“攻擊

滲透-控制跳板-橫向移動-控制目標(biāo)-竊取破壞”過程，通過攻擊和

控制防御薄弱的內(nèi)部非核心資產(chǎn)，以其為跳板進(jìn)行滲透和攻擊。

33

橫向威脅檢測將監(jiān)測分析的對象定位在內(nèi)部業(yè)務(wù)和資產(chǎn)的行為

邏輯分析上，實(shí)時監(jiān)測系統(tǒng)之間的訪問請求、數(shù)據(jù)包內(nèi)容和業(yè)務(wù)邏

輯，包括：

＞進(jìn)行基于特征匹配的攻擊檢測，即掃描、滲透等傳統(tǒng)攻擊手

段

＞基于白名單策略的違規(guī)檢測，發(fā)現(xiàn)資產(chǎn)行為偏離預(yù)設(shè)的安全

策略

＞基于UEBA技術(shù)的行為異常檢測，發(fā)現(xiàn)資產(chǎn)行為邏輯與自身安

全基線或同類資產(chǎn)安全基線驗(yàn)證偏離

＞常見的風(fēng)險遠(yuǎn)程登錄、數(shù)據(jù)庫請求行為

通過這些資產(chǎn)的行為特征判斷其是否出現(xiàn)被黑客控制并成為內(nèi)

部攻擊跳板。由于攻擊滲透和控制跳板的過程多數(shù)情況下總是基于

ODay和未知威脅的新型攻擊手段，但內(nèi)部橫向移動的過程必然伴隨

受控資產(chǎn)的訪問請求、數(shù)據(jù)包內(nèi)容和行為邏輯異常，可以作為有效

的APT攻擊檢測手段，通過在橫向移動階段檢測和阻斷攻擊，可以有

效防止核心業(yè)務(wù)失陷和敏感信息失泄密。

3）外聯(lián)威脅感知

許多客戶經(jīng)常抱怨傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和解決方案只注重功

能，即便是專業(yè)的安全運(yùn)維人員也難以實(shí)時了解整個網(wǎng)絡(luò)的安全狀

態(tài)。企業(yè)需要的不只是安全的網(wǎng)絡(luò)環(huán)境，還需要以簡單、直觀的方

34

式了解網(wǎng)絡(luò)環(huán)境的安全狀態(tài)，比如對于事后檢測而言，客戶關(guān)心的

重點(diǎn)是其核心業(yè)務(wù)服務(wù)器是否已經(jīng)失陷，客戶的業(yè)務(wù)系統(tǒng)是否存在

外連情況、與哪些國家和省份外連、外連訪問存在什么風(fēng)險和態(tài)

勢、如何解決等等。

從業(yè)務(wù)服務(wù)器的外發(fā)流量進(jìn)行檢測是判斷該服務(wù)器安全狀況的

一個有效手段。失陷的服務(wù)器一般會表現(xiàn)得與正常運(yùn)行時不一樣。

通過分析服務(wù)器外連的行為，建立服務(wù)器正常運(yùn)行的模型，以此為

基準(zhǔn)檢測服務(wù)器的異常運(yùn)行情況?？梢暬脚_將客戶的業(yè)務(wù)系統(tǒng)外

連情況進(jìn)行可視，讓客戶直觀感知業(yè)務(wù)系統(tǒng)動態(tài)，形成完整的“外

連態(tài)勢覺察、外連態(tài)勢理解、外連態(tài)勢預(yù)測以及外連風(fēng)險解決”的

閉環(huán)，在交互體驗(yàn)上，幾乎零操作零學(xué)習(xí)成本，結(jié)合大屏幕投放，

清晰而直觀的做到“安全態(tài)勢可感知、安全價值可呈現(xiàn)“。

4）成功的事中攻擊

典型的APT攻擊過程，攻擊者往往不會止步于控制目標(biāo)主機(jī)或系

統(tǒng)，而是會通過該系統(tǒng)作為媒介，實(shí)施進(jìn)一步的攻擊和滲透。所

以，在進(jìn)行安全事件的分析和研判過程中，就不僅僅需要對攻擊的

來源和方式進(jìn)行分析，從而確定當(dāng)前的應(yīng)急處置方案和事后的安全

加固策略，還需要對其可能的影響面和攻擊手段進(jìn)行跟蹤和分析，

確保這一成功的事中攻擊尚未對其他更多的資產(chǎn)造成實(shí)際影響，或

者如果造成影響了，進(jìn)一步確認(rèn)危害和啟動相應(yīng)的處置流程。

5）外部風(fēng)險訪問

35

對于多數(shù)單位來說，來自外部的攻擊者依然是其面臨的主要威

脅主體，所以對來自互聯(lián)網(wǎng)或分支機(jī)構(gòu)等不可信/相對不可控網(wǎng)絡(luò)的

數(shù)據(jù)進(jìn)行深度分析和檢測，關(guān)聯(lián)其直接訪問邏輯、訪問請求和行為

特征，對目錄遍歷、ftp爆破、知名漏洞利用攻擊、遠(yuǎn)程文件包含、

SQL注入、網(wǎng)站登錄爆破、wenshell文件上傳等多種主流的高風(fēng)險

滲透攻擊進(jìn)行全面檢測。

4.2.4.3情報關(guān)聯(lián)和智能分析

1）威脅情報關(guān)聯(lián)

圖4-7業(yè)務(wù)漏洞感知

如今的網(wǎng)絡(luò)安全攻防戰(zhàn)已經(jīng)形成了攻擊者有組織有預(yù)謀、防御

者有偵查有戰(zhàn)術(shù)的局面，要保障企業(yè)自身的網(wǎng)絡(luò)安全，不僅需要軟

硬件基礎(chǔ)設(shè)施，還需要通過威脅情報來了解黑客攻擊的套路和動

向，做到知己知彼C威脅情報是針對某種已經(jīng)存在或正在顯露的威

36

脅，通過證據(jù)知識（包括情境、機(jī)制、影響等），來解決威脅或危

害并進(jìn)行決策的知識。

安全感知平臺利用威脅規(guī)則及預(yù)先風(fēng)險評估等威脅情報，匹配

當(dāng)前發(fā)生的事件，從而識別威脅并做出響應(yīng)。情報系統(tǒng)具有如下能

力：根據(jù)事件參與者的信譽(yù)程度對事件進(jìn)行威脅評估；在事件產(chǎn)生

的威脅程度沒有達(dá)到告警級別的情況下，如果事件符合威脅情報特

征，則提高其威脅度；將大部分低威脅行為的事件篩選出來，有利

于分析潛在威脅；利用共享機(jī)制和協(xié)同作用，保證第一次攻擊后再

遇到攻擊可以快速識別并響應(yīng)；提高攻擊者攻擊成本，攻擊者需要

更高深的隱藏方法才能繞過這種協(xié)防體系；針對性的威脅情報可以

發(fā)現(xiàn)APT攻擊；威脅情報為安全日志、事件等分析提供更多維度的信

息，通過關(guān)聯(lián)分析的方法可以發(fā)現(xiàn)潛藏在正常流量中的威脅。

2）大數(shù)據(jù)關(guān)聯(lián)分析

傳統(tǒng)的網(wǎng)絡(luò)邊界安全技術(shù)往往關(guān)注于防范來自Internet上的攻

擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊，而當(dāng)

黑客繞過邊界防護(hù)進(jìn)入內(nèi)網(wǎng)之后，一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的

一臺Server,然后以此為基地，對網(wǎng)絡(luò)中其他主機(jī)發(fā)起惡性攻擊。

僅僅靠單一的數(shù)