1、IT安全態(tài)勢感知平臺技術(shù)白皮書- PAGE * ROMAN II -目錄 TOC h z t 附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標題 1（綠盟科技）,1,標題 2（綠盟科技）,2,標題 3（綠盟科技）,3 HYPERLINK l _Toc498628587 一. 安全現(xiàn)狀及挑戰(zhàn) PAGEREF _Toc498628587 h 1 HYPERLINK l _Toc498628588 1.1 安全現(xiàn)狀 PAGEREF _Toc498628588 h 1 HYPERLINK l _Toc498628589 1.2 當前挑戰(zhàn) PAGEREF

2、 _Toc498628589 h 1 HYPERLINK l _Toc498628590 二. 綠盟安全態(tài)勢感知平臺 PAGEREF _Toc498628590 h 3 HYPERLINK l _Toc498628591 2.1 方案概述 PAGEREF _Toc498628591 h 3 HYPERLINK l _Toc498628592 2.2 方案內(nèi)容 PAGEREF _Toc498628592 h 4 HYPERLINK l _Toc498628593 2.2.1 綠盟安全態(tài)勢感知平臺簡介 PAGEREF _Toc498628593 h 4 HYPERLINK l _Toc498628

3、594 2.2.2 網(wǎng)絡(luò)入侵態(tài)勢感知 PAGEREF _Toc498628594 h 5 HYPERLINK l _Toc498628595 2.2.3 異常流量態(tài)勢感知 PAGEREF _Toc498628595 h 6 HYPERLINK l _Toc498628596 2.2.4 僵木蠕態(tài)勢感知 PAGEREF _Toc498628596 h 7 HYPERLINK l _Toc498628597 2.2.5 系統(tǒng)漏洞態(tài)勢感知 PAGEREF _Toc498628597 h 8 HYPERLINK l _Toc498628598 2.2.6 網(wǎng)站安全態(tài)勢感知 PAGEREF _Toc49

4、8628598 h 9 HYPERLINK l _Toc498628599 三. 方案創(chuàng)新與價值 PAGEREF _Toc498628599 h 11 HYPERLINK l _Toc498628600 3.1 安全大數(shù)據(jù)分析技術(shù) PAGEREF _Toc498628600 h 11 HYPERLINK l _Toc498628601 3.2 安全態(tài)勢感知技術(shù) PAGEREF _Toc498628601 h 12 HYPERLINK l _Toc498628602 3.3 柔性平臺靈活擴展 PAGEREF _Toc498628602 h 12PAGE 安全現(xiàn)狀及挑戰(zhàn)安全現(xiàn)狀隨著信息技術(shù)不斷發(fā)展

5、，信息安全給安全監(jiān)管部門提出新的挑戰(zhàn)，而且我國目前信息系統(tǒng)安全產(chǎn)業(yè)和信息安全法律法規(guī)和標準不完善，導致國內(nèi)信息安全保障工作滯后于信息技術(shù)發(fā)展。為提高國家信息安全保障能力，2015年1月，公安部頒布了關(guān)于加快推進網(wǎng)絡(luò)與信息安全通報機制建設(shè)的通知（公信安201521號）文件。關(guān)于加快推進網(wǎng)絡(luò)與信息安全通報機制建設(shè)的通知要求建立省市兩級網(wǎng)絡(luò)與信息安全信息通報機制，積極推動專門機構(gòu)建設(shè)，建立網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測通報手段和信息通報預警及應急處置體系。明確要求建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測通報平臺。實現(xiàn)對重要網(wǎng)站和網(wǎng)上重要信息系統(tǒng)的安全監(jiān)測、網(wǎng)上計算機病毒木馬傳播監(jiān)測、通報預警、應急處置、態(tài)勢分析、安全事件（事

6、故）管理、督促整改等功能，為開展相關(guān)工作提供技術(shù)保障。2015年6月，第十二屆全國人大常委會第十五次會議初次審議了中華人民共和國網(wǎng)絡(luò)安全法(草案)，中明確提出建立網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度，將網(wǎng)絡(luò)安全監(jiān)測預警和信息通報法制化。當前挑戰(zhàn)企業(yè)中已經(jīng)部署了各種不同類型的安全設(shè)備、各種設(shè)備的安全呈現(xiàn)都非常分散，運維難度大。傳統(tǒng)安全設(shè)備產(chǎn)生海量的安全日志，且誤報高，需要靠人工甄別。傳統(tǒng)安全設(shè)備只能分析過去或現(xiàn)在正在發(fā)生的問題，但是無法告訴客戶未來會發(fā)生什么。傳統(tǒng)安全設(shè)備不會存儲原始數(shù)據(jù)信息，事件一旦發(fā)生，追溯難。綠盟安全態(tài)勢感知平臺方案概述隨著“互聯(lián)網(wǎng)+”的全面推進，信息技術(shù)在國家社會經(jīng)濟建設(shè)中的應

7、用也越來越廣泛，新型的網(wǎng)絡(luò)安全威脅也更加突出，傳統(tǒng)以“防護”為主的安全體系將面臨極大挑戰(zhàn)。未來網(wǎng)絡(luò)安全防御體系將更加看重網(wǎng)絡(luò)安全的監(jiān)測和響應能力，充分利用網(wǎng)絡(luò)態(tài)勢感知、大數(shù)據(jù)分析及預測技術(shù)，大幅提高安全事件監(jiān)測預警和快速響應能力，應對大量未知安全威脅。綠盟安全態(tài)勢感知解決方案對骨干網(wǎng)絡(luò)出口和重要網(wǎng)絡(luò)節(jié)點進行嚴密監(jiān)控，及時預警大規(guī)模網(wǎng)絡(luò)攻擊和病毒傳播，保障重要系統(tǒng)的信息系統(tǒng)的網(wǎng)絡(luò)安全。通過綠盟安全態(tài)勢感知平臺，可以有效支撐安全監(jiān)控部門開展網(wǎng)絡(luò)安全工作，實時掌握網(wǎng)絡(luò)安全態(tài)勢，及時掌握重要信息系統(tǒng)相關(guān)網(wǎng)絡(luò)安全威脅風險，及時檢測漏洞、病毒木馬、網(wǎng)絡(luò)攻擊情況，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，及時通報預警重大網(wǎng)

8、絡(luò)安全威脅，調(diào)查、防范和打擊網(wǎng)絡(luò)攻擊等惡意行為。宏觀層面，綠盟安全態(tài)勢感知平臺嚴密監(jiān)控、切實防范大規(guī)模病毒攻擊和網(wǎng)絡(luò)攻擊。微觀層面，綠盟安全態(tài)勢感知平臺監(jiān)控保障重點信息系統(tǒng)的網(wǎng)絡(luò)安全，實現(xiàn)安全事件的預警、檢測、響應、取證。按照“統(tǒng)一規(guī)劃、分級部署、協(xié)同共享”的原則，建設(shè)形成多級互聯(lián)互通的通報平臺，構(gòu)建覆蓋全網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢感知、安全監(jiān)測和通報預警體系。方案內(nèi)容綠盟安全態(tài)勢感知平臺簡介綠盟安全態(tài)勢感知平臺(Threat Situation Awareness，TSA)是一款面向運營商、政府、金融、能源、大型企業(yè)等客戶，專注于系統(tǒng)風險的分析、發(fā)現(xiàn)、評估、可視化的平臺。態(tài)勢感知平臺可以收集各種安全數(shù)

9、據(jù)，利用大數(shù)據(jù)技術(shù)結(jié)合威脅情報進行集中處理、關(guān)聯(lián)分析，再利用可視化技術(shù)，將各種安全事件進行可視化呈現(xiàn)，為安全運營提供可靠的信息數(shù)據(jù)支撐。綠盟安全態(tài)勢感知平臺，專注于從網(wǎng)絡(luò)入侵、異常流量、系統(tǒng)漏洞、網(wǎng)站安全、僵木蠕五大部分進行安全態(tài)勢感知，能夠覆蓋各種安全運營場景。網(wǎng)絡(luò)入侵態(tài)勢感知綠盟科技經(jīng)過多年的研究，提出“基于對抗的智能態(tài)勢感知預警模型”，形成“入侵攻擊推理引擎”，取得較好的網(wǎng)絡(luò)入侵態(tài)勢感知效果。尤其是對“基于對抗的智能態(tài)勢感知預警模型”的相關(guān)研究，綠盟科技研究團隊吸收了 “殺傷鏈”（Kill Chain）和“攻擊樹”（Attack Tree）等相關(guān)理論，形成了獨有的推理決策引擎，借助大數(shù)據(jù)

10、安全分析系統(tǒng)的分布式數(shù)據(jù)庫，可以實現(xiàn)網(wǎng)絡(luò)入侵態(tài)勢感知。經(jīng)過實際測試，在網(wǎng)絡(luò)帶寬1Gbps的典型環(huán)境中，入侵檢測系統(tǒng)每日的日志在20萬條左右，經(jīng)過“入侵威脅感知引擎”分析處理后，形成500個左右的威脅事件，再經(jīng)過“APT攻擊推理引擎”分析處理后，僅僅形成10-20個攻擊成功的事件。數(shù)據(jù)壓縮率達到萬分之一，大幅節(jié)省數(shù)據(jù)處理的時間成本和人工成本。異常流量態(tài)勢感知目前，DDoS攻擊越來越頻繁，尤其針對發(fā)達地區(qū)和重點業(yè)務(wù)。在2016年第一季度，全球范圍內(nèi)的DDoS攻擊事件頻發(fā)。從重大攻擊事件分析，追逐利益仍然是黑客攻擊的主要動機，“黑客主義”事件也在不斷挑戰(zhàn)政府的網(wǎng)站。在抗拒絕服務(wù)攻擊方面，綠盟進行了超

11、過十年的研究。可以對全網(wǎng)流量進行深度流檢測，具有網(wǎng)絡(luò)流量自學習功能，與同類產(chǎn)品相比誤報率降低80%以上。綠盟網(wǎng)絡(luò)流量分析系統(tǒng)可以準確發(fā)現(xiàn)DDoS攻擊事件并掌握攻擊源、攻擊目的、攻擊總流量和峰值流量，協(xié)助客戶準確掌握網(wǎng)絡(luò)DDoS攻擊態(tài)勢。僵木蠕態(tài)勢感知僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒三者合稱“僵木蠕”。僵木蠕對互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)危害非常巨大。僵木蠕消耗大量網(wǎng)絡(luò)帶寬，引起ARP攻擊等問題，造成骨干網(wǎng)絡(luò)癱瘓。同時受到僵木蠕傳染的主機受到命令控制服務(wù)器的控制，成為DDoS攻擊的幫兇。更為嚴重的是，目前大多數(shù)僵木蠕的命令控制服務(wù)器位于海外，對國家網(wǎng)絡(luò)安全造成嚴重的威脅。綠盟科技針對僵木蠕的傳播特點，對網(wǎng)絡(luò)上傳

12、播的僵木蠕進行識別，并追蹤溯源僵木蠕的傳播路徑、控制命令路徑，最終追蹤溯源發(fā)現(xiàn)命令控制服務(wù)器。通過發(fā)現(xiàn)的命令控制服務(wù)器，再反查受控主機，最終實現(xiàn)對僵木蠕網(wǎng)絡(luò)態(tài)勢的感知，為后續(xù)采取行動打擊僵木蠕創(chuàng)造條件。系統(tǒng)漏洞態(tài)勢感知黑客攻擊本質(zhì)上是利用系統(tǒng)存在的安全漏洞對系統(tǒng)進行危害。因此要避免黑客攻擊，一個重要的安全防護手段就是在黑客之前發(fā)現(xiàn)重要信息系統(tǒng)存在的脆弱性問題，并進行修補，做到防患于未然。綠盟科技研發(fā)了國內(nèi)領(lǐng)先的遠程安全評估系統(tǒng)（NSFOCUS RSAS）、web應用漏洞掃描系統(tǒng)（NSFOCUS WVSS），其中遠程安全評估產(chǎn)品連續(xù)4年國內(nèi)市場占有率排名第一，是國內(nèi)監(jiān)管測評機構(gòu)首選的漏洞掃描和風

13、險評估工具。依托于這些產(chǎn)品，可以發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)脆弱性，形成脆弱性態(tài)勢感知。網(wǎng)站安全態(tài)勢感知網(wǎng)站作為網(wǎng)絡(luò)信息系統(tǒng)對外提供服務(wù)的重要窗口，面臨的安全威脅也是最多的。對重要網(wǎng)站信息系統(tǒng)的黑客攻擊，不僅會對網(wǎng)站造成嚴重破壞，還會讓黑客能夠利用被黑網(wǎng)站對網(wǎng)站瀏覽者進行攻擊，造成更為惡劣的影響。因此，需要對網(wǎng)站的安全態(tài)勢進行監(jiān)控，及時發(fā)現(xiàn)網(wǎng)站安全問題。網(wǎng)站安全態(tài)勢感知，可以及時監(jiān)控到網(wǎng)站漏洞情況，發(fā)現(xiàn)網(wǎng)站掛馬、網(wǎng)頁篡改、域名劫持等黑客攻擊行為，對網(wǎng)站平穩(wěn)度、網(wǎng)站敏感內(nèi)容等進行持續(xù)監(jiān)控，并有效進行運維管理，從而避免因為網(wǎng)站出現(xiàn)問題導致公眾問題。方案創(chuàng)新與價值安全大數(shù)據(jù)分析技術(shù)安全從業(yè)者早已知道，在海量的安

14、全數(shù)據(jù)中，各類數(shù)據(jù)之間有千絲萬縷的聯(lián)系，通過對這些聯(lián)系的分析，可以發(fā)現(xiàn)很多靠傳統(tǒng)手段無法發(fā)現(xiàn)的安全問題。但是面對海量的安全日志、網(wǎng)絡(luò)流量、威脅情報、環(huán)境信息傳統(tǒng)的利用數(shù)據(jù)庫進行安全分析、數(shù)據(jù)挖掘變得極端困難，更無法形成有效的安全態(tài)勢感知。綠盟科技經(jīng)過多年的研究，和安全事件分析經(jīng)驗積累，提出了多種安全分析模型。同時綠盟科技利用在大數(shù)據(jù)分析方面的技術(shù)積累，形成了安全大數(shù)據(jù)分析技術(shù)。二者結(jié)合將以往不可能的安全大數(shù)據(jù)分析變?yōu)榭赡?。安全態(tài)勢感知技術(shù)綠盟科技在態(tài)勢感知、早期預警方面持續(xù)進行安全研究，持續(xù)跟蹤了美國安全防護預警體系建設(shè)思路，對美國的“愛因斯坦計劃”、“可信互聯(lián)網(wǎng)連接（TIC）計劃”以及后續(xù)的“持續(xù)監(jiān)控計劃”都進行了深入的研究。在此基礎(chǔ)上，綠盟科技形成了自己的態(tài)勢感知和安全預警理論，利用安全大數(shù)據(jù)分析技術(shù)，結(jié)合多種安全分析模型和安全產(chǎn)品實現(xiàn)了強大的態(tài)勢感知能力。能夠提供包括頂層設(shè)計、平臺建設(shè)、子系統(tǒng)建設(shè)全套解決方案實施能力。柔性平臺靈活擴展綠盟安全態(tài)勢感知與預警分析平臺采用靈活先進的柔性平設(shè)計，可以滿足各種不同規(guī)模的部署場景，支持快速擴展。平臺采用