安全BU解決方案團(tuán)隊(duì)&政府事業(yè)部法院綜合安全監(jiān)管平臺(tái)解決方案1234Contents建設(shè)背景與需求分析總體設(shè)計(jì)方案功能設(shè)計(jì)成功案例法院信息化3.0時(shí)代，信息安全風(fēng)險(xiǎn)暴露面增加陽光法院、司法公開、司法大數(shù)據(jù)等法院信息化建設(shè)逐步推進(jìn)，方便了當(dāng)事人、法官的同時(shí)，也增加了黑客攻擊途徑，導(dǎo)致信息安全風(fēng)險(xiǎn)暴露面增加。法院行業(yè)安全監(jiān)管政策要求《中華人民共和某著名企業(yè)絡(luò)安全法》第五十二條：”負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息?！弊罡呷嗣穹ㄔ焊叨戎匾暦ㄔ盒畔⒒ㄔO(shè)，制定了《人民法院信息化“十三五”發(fā)展規(guī)劃》和《人民法院信息安全保障總體解決方案》，其中明確了綜合安全監(jiān)管平臺(tái)的總體解決方案和系統(tǒng)規(guī)范，各級(jí)法院可按照這兩份文件進(jìn)行綜合安全監(jiān)管平臺(tái)的建設(shè)。等級(jí)保護(hù)2.0《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—XXXX)(送審稿)：“實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊，特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析?！睙狳c(diǎn)事件（1）：烏克蘭某著名企業(yè)斷電事件2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日?qǐng)?bào)道稱：“至少有三個(gè)電力區(qū)域被攻擊，并于當(dāng)?shù)貢r(shí)間15時(shí)左右導(dǎo)致了數(shù)小時(shí)的停電事故”。具體攻擊過程如下：1.黑色能量木office漏洞感染XML文件2.被感染的XML文件封裝成釣魚郵件發(fā)送3.某著名企業(yè)控制SCADA服務(wù)器收到郵件并被感染木馬4.木，創(chuàng)建SSH后門，并下載各種組件5.通過后門控制SCADA服務(wù)器下達(dá)跳閘指令，使某著名企業(yè)斷電6.KillDisk組件隨機(jī)覆蓋SCADA服務(wù)器磁盤數(shù)據(jù)，.導(dǎo)致服務(wù)器崩潰無法正常重啟&微信（掃第一個(gè)碼）每日分享各個(gè)領(lǐng)域高質(zhì)量專業(yè)的解決方案，內(nèi)容某省市市、鄉(xiāng)村振興、智慧城管、智慧園區(qū)、智慧公安、智慧水務(wù)（水利）、智慧林草、社會(huì)綜合治理、智慧旅游、智慧工地、智慧環(huán)衛(wèi)、智慧醫(yī)院、智慧環(huán)保、智慧安監(jiān)等領(lǐng)域，結(jié)合數(shù)字孿生、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)，分享行業(yè)售前方案、設(shè)計(jì)方案、技術(shù)方案和項(xiàng)目信息等。微信（掃第二個(gè)碼）每日分享各個(gè)智慧領(lǐng)域國家和地方標(biāo)準(zhǔn)規(guī)范，國家和地方政策指導(dǎo)文件，讓各個(gè)智慧方案有據(jù)可依，內(nèi)容包括中的各個(gè)行業(yè)的政策和規(guī)范，內(nèi)容在不斷的收集和完善中。知識(shí)星球（掃第三個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過互聯(lián)網(wǎng)等公開渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。知識(shí)星球（掃第四個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過互聯(lián)網(wǎng)等公開渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。星球優(yōu)惠券（掃第五個(gè)碼）掃描69元價(jià)格優(yōu)惠加入，1W+方案任意下載，資源不斷的豐富完善中......微信找方標(biāo)準(zhǔn)信熱點(diǎn)事件（2）：“永恒之藍(lán)“勒索病毒爆發(fā)自2017年5月12日起，“WannaCry”勒索病毒突然大面積爆發(fā)，影響遍及全球100多個(gè)國家，超10萬臺(tái)機(jī)器。某著名企業(yè)“千里目”實(shí)驗(yàn)室解讀利用WindowsSMB遠(yuǎn)程提權(quán)漏洞MS17-010；可自動(dòng)攻擊開放了445端口的Windows系統(tǒng)，并提升至系統(tǒng)權(quán)限；郵件/惡意文件服務(wù)器暴露445端口終端主機(jī)互相感染感染途徑感染途徑外部感染途徑：感染途徑：失陷主機(jī)掃描局域網(wǎng)ip及445端口建立TCP連接對(duì)比識(shí)別，如認(rèn)為已感染則不進(jìn)行加密，但仍舊運(yùn)行發(fā)送病毒體進(jìn)行感染利用SMB漏洞發(fā)送異常報(bào)文利用漏洞新建加密文件—寫入加密數(shù)據(jù)-隨機(jī)秘鑰加密源文件-刪除·源文件-清空垃圾桶-保留加密數(shù)據(jù)和病毒文件熱點(diǎn)事件（3）：瑞典政府因數(shù)據(jù)陷入政治危機(jī)的數(shù)據(jù)均為重要的國家安全信息和個(gè)人信息，包括幾乎所有重要的國家安全信息和個(gè)人信息，如瑞典公路和橋載能力；空軍戰(zhàn)斗機(jī)飛行員的姓名、照片和家庭地址；警察的姓名、照片和家庭地址；等等。這起嚴(yán)重的數(shù)據(jù)事故被瑞典首相稱之為“災(zāi)難”，直接導(dǎo)致執(zhí)政黨遭到彈劾，兩名內(nèi)閣成員因此辭職。2017年年1月，瑞典政府發(fā)現(xiàn)了一項(xiàng)不得了的規(guī)則漏洞——NCR公司在處理政府外包事項(xiàng)時(shí)，讓沒有得到安全員工接觸到敏感信息，可能致使整個(gè)數(shù)據(jù)庫被盜取或外泄。熱點(diǎn)事件（4）：Facebook用戶數(shù)據(jù)FacebookCEO·扎克伯格(MarkZuckerberg)在美國眾議院能源和商務(wù)委員會(huì)作證2018年3月份，F(xiàn)acebook數(shù)據(jù)丑聞爆發(fā)，F(xiàn)acebook股價(jià)一度更是某省市市值蒸發(fā)360多億美元。Facebook為增強(qiáng)用戶粘性推出應(yīng)用編程接口（API），通過這個(gè)接口，第三方軟件開發(fā)者可以開發(fā)在Facebook網(wǎng)站上運(yùn)行的應(yīng)用程序；劍橋大學(xué)心理學(xué)·科甘（AleksandrKoran）及其背后的數(shù)據(jù)分析公司劍橋咨詢（SCL/CambridgeAnalytica），正是利用了當(dāng)時(shí)Facebook的平臺(tái)數(shù)據(jù)共享的漏洞，致使Facebook上5000萬用戶的數(shù)據(jù)。當(dāng)前法院安全以邊界防御為主，檢測(cè)響應(yīng)能力不足邊界網(wǎng)絡(luò)阻擋來自外部邊界的威脅法院內(nèi)網(wǎng)法院專網(wǎng)BYODAPT攻擊內(nèi)網(wǎng)惡意用戶外聯(lián)區(qū)域安全洼地IPS防火墻防病毒W(wǎng)AF網(wǎng)閘互聯(lián)網(wǎng)外部專網(wǎng)APT攻擊釣魚郵件、社會(huì)工程學(xué)等法院安全運(yùn)維管理工作量大問題：面對(duì)日趨復(fù)雜的法院網(wǎng)絡(luò)安全架構(gòu)，針對(duì)安全運(yùn)維人員的要求越來越高威脅識(shí)別運(yùn)維管理告警信息

安全事件

日志文件……設(shè)備日志肉機(jī)外發(fā)攻擊、黑鏈、SQL注入等Web攻擊、webshell后門、失陷主機(jī)、橫向攻擊、掃描、口令爆破、影子IT、新增非法資產(chǎn)等安全事件法律風(fēng)險(xiǎn)、監(jiān)管通報(bào)、敏感數(shù)據(jù)泄漏、公眾品牌形象受損、業(yè)務(wù)中斷風(fēng)險(xiǎn)危害法院專有云法院開放云法院涉密云法院綜合安全監(jiān)管平臺(tái)需求分析法院網(wǎng)絡(luò)法院專網(wǎng)（終端區(qū)）互聯(lián)網(wǎng)法院專網(wǎng)（業(yè)務(wù)區(qū)）外部專網(wǎng)來自第三方網(wǎng)絡(luò)的威脅身份欺騙越權(quán)訪問數(shù)據(jù)業(yè)務(wù)欺詐/盜用來自網(wǎng)絡(luò)的威脅

病毒、蠕蟲、木馬非法訪問越權(quán)訪問、權(quán)限濫用APT攻擊防護(hù)敏感/信息配置安全來自Internet的威脅黑客入侵

DoS/DDos攻擊，資源耗竭SQL注入、跨站攻擊等應(yīng)用層攻擊非法接入業(yè)務(wù)系統(tǒng)來自用戶側(cè)（接入/終端）威脅對(duì)用戶竊聽、竊取用戶信息病毒/蠕蟲/木馬對(duì)系統(tǒng)違規(guī)業(yè)務(wù)操作非法設(shè)備接入網(wǎng)絡(luò)攻擊/拓?fù)銩PT攻擊防護(hù)

DoS攻擊，資源耗竭1234Contents建設(shè)背景與需求分析總體設(shè)計(jì)方案功能設(shè)計(jì)成功案例專有云開放云涉密云DMZ區(qū)管理區(qū)潛伏威脅新技術(shù):大數(shù)據(jù)、機(jī)器學(xué)習(xí)、行為分析1、潛伏威脅探針、數(shù)據(jù)采集2、法院綜合安全監(jiān)管平臺(tái)黑客成功入侵了，你還不知道？威脅情報(bào)全面發(fā)現(xiàn)法院體系各種潛伏威脅通過法院綜合安全監(jiān)管平臺(tái)（以下簡(jiǎn)稱為安監(jiān)平臺(tái)）建設(shè)，能夠?qū)Ψㄔ阂呀?jīng)部署的基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)資源、安全系統(tǒng)等設(shè)備或系統(tǒng)進(jìn)行集中監(jiān)管，實(shí)現(xiàn)安全威脅和態(tài)勢(shì)的統(tǒng)一掌控，對(duì)可能存在的安全威脅進(jìn)行預(yù)警監(jiān)測(cè)，并能夠評(píng)估法院全網(wǎng)的安全狀態(tài)。分類路線1：態(tài)勢(shì)感知（推薦）路線2：SOC或SIEM類產(chǎn)品路線3：流量分析產(chǎn)品數(shù)據(jù)采集來源全流量為主、結(jié)合關(guān)鍵日志分析（流量是最真實(shí)的，過加工的）日志為主、流量為鋪（SOC產(chǎn)品的流分析基本上是個(gè)噱頭）流量分析為主數(shù)據(jù)分析技術(shù)大數(shù)據(jù)關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)和人工智能技術(shù)日志的交互式分析（基于規(guī)則情景關(guān)聯(lián)分析，類似于某查詢安全事件的IP、這個(gè)IP是什么資產(chǎn)？它重要嗎？是什么操作系統(tǒng)等？）關(guān)聯(lián)分析技術(shù)、數(shù)據(jù)分析模型、流分析技術(shù)、沙箱技術(shù)等優(yōu)點(diǎn)基于真實(shí)流量分析，不存在第三方設(shè)備日志分析的準(zhǔn)確性問題基于流量的分析技術(shù)使得大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、人工智能技術(shù)實(shí)現(xiàn)真正的安全檢測(cè)能力落地，體現(xiàn)在我們Flow層面的檢測(cè)全網(wǎng)安全可視化，風(fēng)險(xiǎn)業(yè)務(wù)與用戶安全威脅呈現(xiàn)直觀豐富，非簡(jiǎn)單關(guān)聯(lián)日志羅列，安全事件舉證詳細(xì)清晰，安全運(yùn)維難度低，不需要專業(yè)的安全分析，就可有效的把握整體安全態(tài)勢(shì)進(jìn)行安全決策分析；1.海量日志歸一化存儲(chǔ)與分類（PB級(jí)別）

最大程度地采集各種廠商、各種類型的日志信息，分布式地進(jìn)行日志的范式化、分類、過濾和歸并，實(shí)現(xiàn)海量日志的存儲(chǔ)和查詢2.關(guān)鍵業(yè)務(wù)性能與穩(wěn)定性的監(jiān)控預(yù)警

細(xì)粒度的業(yè)務(wù)實(shí)時(shí)監(jiān)控和性能評(píng)估，一旦業(yè)務(wù)出現(xiàn)問題快速的進(jìn)行故障分析與診斷，基于業(yè)務(wù)的健康模型實(shí)現(xiàn)業(yè)務(wù)的安全預(yù)警3.運(yùn)維工單管理與指派

1、數(shù)據(jù)包全量采集存儲(chǔ)，攻擊溯源分析較為詳細(xì)2、具備本地沙箱分析能力3、具備主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)質(zhì)量分析功能4、數(shù)據(jù)存儲(chǔ)能力比較強(qiáng)缺點(diǎn)運(yùn)維工單指派等功能實(shí)現(xiàn)較少，依賴于自動(dòng)響應(yīng)閉環(huán)（此處客戶一般關(guān)注不多）1.海量安全日志難以理解和關(guān)聯(lián)分析、2.安全事件難以解讀和舉證、3.

安全運(yùn)維難度大，安全威脅的分析檢測(cè)難落地，基本上只能達(dá)到事后的安日志查詢1、已知威脅檢測(cè)能力依賴云端威脅情報(bào)，本地探針特征匹配能力弱2、安全運(yùn)維能力弱，缺乏內(nèi)網(wǎng)橫向威脅感知、違規(guī)訪問、風(fēng)險(xiǎn)訪問等&微信（掃第一個(gè)碼）每日分享各個(gè)領(lǐng)域高質(zhì)量專業(yè)的解決方案，內(nèi)容某省市市、鄉(xiāng)村振興、智慧城管、智慧園區(qū)、智慧公安、智慧水務(wù)（水利）、智慧林草、社會(huì)綜合治理、智慧旅游、智慧工地、智慧環(huán)衛(wèi)、智慧醫(yī)院、智慧環(huán)保、智慧安監(jiān)等領(lǐng)域，結(jié)合數(shù)字孿生、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)，分享行業(yè)售前方案、設(shè)計(jì)方案、技術(shù)方案和項(xiàng)目信息等。微信（掃第二個(gè)碼）每日分享各個(gè)智慧領(lǐng)域國家和地方標(biāo)準(zhǔn)規(guī)范，國家和地方政策指導(dǎo)文件，讓各個(gè)智慧方案有據(jù)可依，內(nèi)容包括中的各個(gè)行業(yè)的政策和規(guī)范，內(nèi)容在不斷的收集和完善中。知識(shí)星球（掃第三個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過互聯(lián)網(wǎng)等公開渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。知識(shí)星球（掃第四個(gè)碼）會(huì)員可下載所有資料，并每日上新（注：所有資料均通過互聯(lián)網(wǎng)等公開渠道獲取，個(gè)人學(xué)習(xí)使用，請(qǐng)勿用于商業(yè)用途）。星球優(yōu)惠券（掃第五個(gè)碼）掃描69元價(jià)格優(yōu)惠加入，1W+方案任意下載，資源不斷的豐富完善中......微信找方標(biāo)準(zhǔn)信數(shù)據(jù)來源智能分析安全可視協(xié)同響應(yīng)主動(dòng)提取有效數(shù)據(jù)聯(lián)動(dòng)設(shè)備外部威脅情報(bào)第三方日志設(shè)備基于AI、大數(shù)據(jù)技術(shù)能夠不依賴規(guī)則檢測(cè)低概率安全威脅基于業(yè)務(wù)維度的可視化增加全網(wǎng)可視能力減少運(yùn)維工作量一鍵處置實(shí)現(xiàn)自動(dòng)化協(xié)同聯(lián)動(dòng)處置大半安全威脅更多更準(zhǔn)確的數(shù)據(jù)來源每天幾十G威脅情報(bào)（VirustotalVDNVD等）基于客戶網(wǎng)絡(luò)態(tài)勢(shì)推送精準(zhǔn)可落地的威脅情報(bào)標(biāo)準(zhǔn)syslog格式匯聚多廠商安全產(chǎn)品③威脅情報(bào)、異構(gòu)數(shù)據(jù)輔助在關(guān)鍵節(jié)點(diǎn)部署探針，主動(dòng)提取信息包括會(huì)話元數(shù)據(jù)、協(xié)議元數(shù)據(jù)等。如HTTP協(xié)議，主要25個(gè)關(guān)鍵字段，包括uesr-agent、cookie、host、refer等。①全流量數(shù)據(jù)包訪問控制安全類子系統(tǒng)、終端安全防護(hù)類子系統(tǒng)、網(wǎng)絡(luò)攻擊防護(hù)類子系統(tǒng)、網(wǎng)絡(luò)漏洞評(píng)估類子系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)與分析類子系統(tǒng)、網(wǎng)絡(luò)防毒類子系統(tǒng)、網(wǎng)絡(luò)安全傳輸類子系統(tǒng)廣泛精準(zhǔn)的數(shù)據(jù)來源②日志、狀態(tài)數(shù)據(jù)提取更智能的安全檢測(cè)技術(shù)時(shí)間序列分析二類分類多類分類聚類離群點(diǎn)檢測(cè)深度學(xué)習(xí)DNS放大攻擊檢測(cè)掃描檢測(cè)流量查毒異常行為檢測(cè)Webshell檢測(cè)僵尸網(wǎng)絡(luò)檢測(cè)規(guī)則特征挖礦病毒檢測(cè)惡意URL檢測(cè)十八年應(yīng)用層深度內(nèi)容檢測(cè)技術(shù)積累十二年應(yīng)用層安全創(chuàng)新經(jīng)驗(yàn)特征庫最新研發(fā)機(jī)器學(xué)習(xí)引擎：HTTPflow、DNSFlow、NETFlow、SMBFlow、SMTPFlow分析引擎精準(zhǔn)的基礎(chǔ)數(shù)據(jù)+專業(yè)的規(guī)則特征庫+創(chuàng)新AI&機(jī)器學(xué)習(xí)引擎更全面的安全可視能力可視的深度Ip地址、端口、協(xié)議用戶可視應(yīng)用可視深度內(nèi)容可視風(fēng)險(xiǎn)行為可視看清流量南北、東西向攻擊鏈可視業(yè)務(wù)鏈可視全局安全可視看清攻擊看清業(yè)務(wù)風(fēng)險(xiǎn)看清全局安全內(nèi)容可視傳統(tǒng)安全廠商局限性更高效的協(xié)同運(yùn)維響應(yīng)云端聯(lián)動(dòng)：結(jié)合威脅情報(bào)、云端檢測(cè)與服務(wù)能力自動(dòng)阻斷：自動(dòng)阻斷木客通信端點(diǎn)聯(lián)動(dòng)：端點(diǎn)執(zhí)行掃描、查殺等動(dòng)作用戶識(shí)別與提醒：識(shí)別用戶身份，封堵后進(jìn)行頁面提醒高級(jí)人工服務(wù)：安全應(yīng)急響應(yīng)，解析網(wǎng)絡(luò)

威脅現(xiàn)狀和威脅，并給出安全建設(shè)建議聯(lián)動(dòng)響應(yīng)防護(hù)，更高效數(shù)據(jù)中心探針STA辦公區(qū)探針STA安全感知系統(tǒng)SIPEDR插件EDR插件EDR插件用戶識(shí)別與提醒自動(dòng)阻斷云端聯(lián)動(dòng)某著名企業(yè)安全云下一代防火墻上網(wǎng)行為管理監(jiān)測(cè)平臺(tái)監(jiān)測(cè)對(duì)象監(jiān)測(cè)內(nèi)容數(shù)據(jù)分析交互展示網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、終端系統(tǒng)等七大類接口法院專網(wǎng)外部專網(wǎng)某著名企業(yè)專網(wǎng)基礎(chǔ)支撐系統(tǒng)業(yè)務(wù)系統(tǒng)其他系統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)業(yè)務(wù)監(jiān)測(cè)設(shè)備\系統(tǒng)配置系統(tǒng)運(yùn)行狀態(tài)病毒與木馬數(shù)據(jù)交換網(wǎng)站安全設(shè)備狀態(tài)異常流量監(jiān)測(cè)DDOS攻擊網(wǎng)絡(luò)鏈路互聯(lián)網(wǎng)行為設(shè)備故障脆弱性監(jiān)測(cè)運(yùn)維審計(jì)認(rèn)證與授權(quán)監(jiān)測(cè)…….綜合監(jiān)管數(shù)據(jù)集中存儲(chǔ)、轉(zhuǎn)發(fā)綜合日志整體安全態(tài)勢(shì)訪問關(guān)系可視失陷主機(jī)可視失陷用戶分析互聯(lián)網(wǎng)行為分析流量監(jiān)測(cè)運(yùn)維監(jiān)測(cè)狀態(tài)信息監(jiān)測(cè)……資產(chǎn)事件風(fēng)險(xiǎn)狀態(tài)合規(guī)脆弱性流量態(tài)勢(shì)高院領(lǐng)導(dǎo)技術(shù)處主管維護(hù)人員審計(jì)人員業(yè)務(wù)部門……任務(wù)調(diào)度數(shù)據(jù)計(jì)算MapReduceSparkDAGMLLibSQL標(biāo)準(zhǔn)制度等級(jí)保護(hù)信息安全體系信息技術(shù)基礎(chǔ)架構(gòu)庫人民法院規(guī)范…….互聯(lián)網(wǎng)其他專網(wǎng)1234Contents建設(shè)背景與需求分析總體設(shè)計(jì)方案功能設(shè)計(jì)成功案例3.1數(shù)據(jù)采集功能設(shè)計(jì)會(huì)話元數(shù)據(jù)源IP、源端口、源IP國家、目的IP、目的端口、目的IP國家、協(xié)議、數(shù)據(jù)包個(gè)數(shù)、會(huì)話開始時(shí)間、會(huì)話結(jié)束時(shí)間、會(huì)話結(jié)束時(shí)間…協(xié)議元數(shù)據(jù)如HTTP協(xié)議，主要關(guān)鍵字段，包括uesr-agent、cookie、host、refer等；如DNS協(xié)議字段、SMTP/POP3協(xié)議字段…法院網(wǎng)絡(luò)流量中的元數(shù)據(jù)支持Http\DNS\NETFLOW\SMB\SMTP\POP3|IMAP等常用種類元數(shù)據(jù)提取，支持自定義提取日志數(shù)據(jù)采集功能設(shè)計(jì)WindowsLinuxWeblogicTomcatIIS…

…系統(tǒng)數(shù)據(jù)Syslog|WMI|文件|SMBOracleMySQLSybaseMSSQLDB2…

…業(yè)務(wù)數(shù)據(jù)JDBC|ODBCFirewallSwitchRouterIDS/IPSF5…

…設(shè)備數(shù)據(jù)Syslog|SNMP第三方日志采集系統(tǒng)能夠采集各數(shù)管控對(duì)象的運(yùn)行狀態(tài)、管理審計(jì)、故障檢測(cè)、網(wǎng)絡(luò)防護(hù)、邊界防護(hù)、網(wǎng)絡(luò)威脅、主機(jī)威脅、安全策略、應(yīng)用安全、資產(chǎn)漏洞信息、用戶違規(guī)、病毒識(shí)別等信息，并進(jìn)行規(guī)范化；管控對(duì)象包括但不限于防火墻、入侵檢測(cè)、防病毒系統(tǒng)、終端安全防護(hù)、漏洞掃描系統(tǒng)的安全事件進(jìn)行集中統(tǒng)一管理。具備數(shù)據(jù)采集功能1能夠?qū)踩芸刂行南掳l(fā)的控制命令以適當(dāng)?shù)姆绞桨l(fā)送到具體的管控對(duì)象，并將管控對(duì)象的命令執(zhí)行結(jié)果反饋給安全管控中心。具備控制代理功能2基本狀態(tài)性能數(shù)據(jù)指標(biāo)采用SNMP進(jìn)行采集、日志與策略數(shù)據(jù)指標(biāo)采用syslog進(jìn)行采集，通過SNMP/syslog對(duì)各安全設(shè)備或系統(tǒng)下發(fā)較簡(jiǎn)單的管理數(shù)據(jù)與命令；支持自定義協(xié)議WebService采集安全設(shè)備或系統(tǒng)的安全相關(guān)數(shù)據(jù)，對(duì)各安全設(shè)備或系統(tǒng)下發(fā)較復(fù)雜的管理數(shù)據(jù)與命令。遵循統(tǒng)一的體制實(shí)現(xiàn)對(duì)第三方安全設(shè)備或子系統(tǒng)進(jìn)行數(shù)據(jù)采集3SUNSolaris時(shí)間設(shè)備對(duì)象嚴(yán)重級(jí)別目的用戶系統(tǒng)的標(biāo)準(zhǔn)化策略具備良好的可擴(kuò)展性，可通過配置文件或界面實(shí)現(xiàn)管理功能由采集器根據(jù)解析腳本進(jìn)行原始日志的解析，轉(zhuǎn)換為統(tǒng)一的標(biāo)準(zhǔn)化格式源地址源端口事件名稱登錄失敗事件類型訪問控制類發(fā)生時(shí)間2013.12.2106:00:13源IP地址85源端口1344嚴(yán)重級(jí)別信息級(jí)主機(jī)名SOC目的用戶root協(xié)議SSH事件特征協(xié)議類型事件A事件B事件C事件D事件…事件A事件D事件A事件A事件A事件D事件D…事件A（3個(gè)）事件D（n個(gè)）歸并引擎在眾多雜亂的事件中，過濾出具備一定風(fēng)險(xiǎn)和價(jià)值事件如果多個(gè)事件滿足歸并的條件，如具備同樣的目的和行為，可歸類為一種事件圖形化方式管理規(guī)則，過濾器支持優(yōu)先級(jí)運(yùn)算過濾后具備多種處理方式，包括丟棄、轉(zhuǎn)發(fā)或者是重新設(shè)置部分屬性目的是縮減安全事件數(shù)量，以減少類似安全事件的數(shù)量，減少系統(tǒng)誤報(bào)和重復(fù)告警的數(shù)量按照需要，可自由定制歸并的條件3.2威脅檢測(cè)能力設(shè)計(jì)FTPSMTPDNSHttpUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNET……TelnetICMPARPRARP數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時(shí)封裝過程TCP/IP模型網(wǎng)絡(luò)/傳輸層威脅：僵尸主機(jī)病毒木馬DOS攻擊挖礦程序橫向攻擊數(shù)據(jù)收集數(shù)據(jù)傳輸…….應(yīng)用層層威脅：Webshell攻擊0Day漏洞攻擊惡意URL訪問DNS放大攻擊隱匿通信殘余攻擊…….Web程序協(xié)議，基本都會(huì)開放DMZ區(qū)郵件服務(wù)器協(xié)議域名協(xié)議，一般會(huì)開放根據(jù)最小化原則，服務(wù)器端基本可以關(guān)閉?？蛻舳艘暻闆r而定?；谌斯ぶ悄?、機(jī)器學(xué)習(xí)流量檢測(cè)引擎創(chuàng)新引入機(jī)器學(xué)習(xí)、大數(shù)據(jù)技術(shù)提高檢測(cè)率攻防專家數(shù)據(jù)科學(xué)家

攻防對(duì)抗人工智能大數(shù)據(jù)分析HTTPFlow分析引擎NETFlow分析引擎DNSFlow分析引擎SMBFlow分析引擎SMTPFlow分析引擎xxx分析引擎LSTM較N-gram有顯著提升

在“能否檢測(cè)出僵尸網(wǎng)絡(luò)”問題上達(dá)到99.7%的F值（精確率和檢出率的綜合指標(biāo)）在“檢測(cè)出具體是哪一種僵尸網(wǎng)絡(luò)”問題上達(dá)到了平均90.3%的F值。安全分析師異常潛伏威脅探針行為：時(shí)間頻率訪問參數(shù)跳轉(zhuǎn)頁面。。。正常0-daywebshell

定向開發(fā)的webshell，并以反彈端口的方式實(shí)現(xiàn)遠(yuǎn)控。隱秘通道

凌晨0點(diǎn)10分到2點(diǎn)32分超過2

小時(shí)的隱秘?cái)?shù)據(jù)回傳。安全感知系統(tǒng)檢測(cè)技術(shù)思路手段方法優(yōu)劣勢(shì)對(duì)比傳統(tǒng)手段黑名單特征匹配靜態(tài)對(duì)比0Day，新技術(shù)無對(duì)應(yīng)特征SIP系統(tǒng)白名單（好的是類似的）行為分析，找異常異常檢測(cè)算法有效應(yīng)對(duì)新型攻擊示例1：Webshell異常檢測(cè)示例2：基于機(jī)器學(xué)習(xí)的勒索病毒檢測(cè)高層特征一高層特征三高層特征二無監(jiān)督方法一無監(jiān)督方法三綜合高層特征拼接分類器閾值輸出分類無監(jiān)督方法二勒索軟件樣本利用多種無監(jiān)督高層特征提取算法＋分類器，構(gòu)建勒索軟件檢測(cè)架構(gòu)：多種機(jī)器學(xué)習(xí)算法有機(jī)結(jié)合：LSA,

AutoEncoder,

LogicRegression,

SVM,隨機(jī)森林，XGBoost…技術(shù)亮點(diǎn)：多種機(jī)器學(xué)習(xí)算法有機(jī)結(jié)合獨(dú)創(chuàng)性的算法架構(gòu)遠(yuǎn)低于業(yè)界的誤報(bào)率，漏報(bào)率（1.4%

vs

35%）更快的運(yùn)行時(shí)間超強(qiáng)的泛化能力（檢測(cè)未知惡意軟件）示例3：基于聚類的外發(fā)DOS攻擊檢測(cè)僵尸主機(jī)對(duì)外發(fā)動(dòng)DoS攻擊：從外發(fā)流量中識(shí)別DoS攻擊進(jìn)行阻斷定位內(nèi)網(wǎng)僵尸主機(jī)連接信息向量化聚類算法判斷連接之間的相似性攻擊次數(shù)和持續(xù)時(shí)間準(zhǔn)確判斷DoS攻擊流量技術(shù)亮點(diǎn)低誤報(bào)，特別是業(yè)界容的合法的長(zhǎng)連接、大流量情況檢測(cè)技術(shù)思路手段方法優(yōu)劣勢(shì)對(duì)比傳統(tǒng)手段行為黑名單：高頻掃描、訪問多個(gè)端口檢測(cè)掃描頻率和對(duì)目標(biāo)Server端口訪問行為設(shè)定單位時(shí)間頻次閾值，設(shè)定端口數(shù)量閾值，超限觸發(fā)告警1、掃描不一定量大，可以是低頻掃描（同內(nèi)網(wǎng)Dos）2、閾值難定，容/漏報(bào)SIP系統(tǒng)黑白名單結(jié)合，合法流量特征過濾+掃描行為特征匹配不單純看頻次和端口，而是針對(duì)掃描行為的特征：1、短時(shí)大量訪問平常不訪問的對(duì)象；2、訪問同IP地址多端口；3、掃描連接具有相似性；4、掃描無響應(yīng)比例較高1、合法流量行為建模，通過異常檢測(cè)發(fā)現(xiàn)可疑流量；2、掃描行為匹配，根據(jù)閾值分類與機(jī)器學(xué)習(xí)模型分類結(jié)合1、正負(fù)向關(guān)聯(lián)，篩出合法流量增加準(zhǔn)確性2、機(jī)器學(xué)習(xí)建立閾值，拒絕拍腦袋定策略異常檢測(cè)定位可疑流量行為匹配&閾值判斷確定問題機(jī)器學(xué)習(xí)科學(xué)設(shè)置閾值（可隨威脅情報(bào)升級(jí)）示例4：基于netflow的內(nèi)網(wǎng)掃描檢測(cè)檢測(cè)技術(shù)思路手段方法優(yōu)劣勢(shì)對(duì)比傳統(tǒng)手段黑名單匹配惡意域名/關(guān)鍵字檢索基于惡意域名，威脅情報(bào)的特征匹配；對(duì)DNS請(qǐng)求內(nèi)容進(jìn)行關(guān)鍵字檢索1、惡意域名可以動(dòng)態(tài)生成2、DNS信息可以加密和編碼3、可以把數(shù)據(jù)分拆到多個(gè)DNS包外發(fā)SIP系統(tǒng)白名單比對(duì)（行為異常）行為分析，找異常（流量、信息熵等）1、機(jī)器學(xué)習(xí)建立合法的DNS請(qǐng)求基線，頻次和規(guī)律異常觸發(fā)進(jìn)一步檢測(cè)；2、建立DNS請(qǐng)求包載荷的行為特征（信息熵、語義識(shí)別），判斷異常DNS包是否可能攜帶敏感信息1、快速匹配定位可能攜帶敏感信息或C&C通信DNS包2、信息熵、語義識(shí)別判斷是否還包含敏感信息3、對(duì)過去一段時(shí)間內(nèi)的DNS包進(jìn)行關(guān)聯(lián)分析示例5：DSN隱秘通道檢測(cè)檢測(cè)技術(shù)思路手段方法優(yōu)劣勢(shì)對(duì)比傳統(tǒng)手段黑名單惡意域名特征庫匹配本地惡意域名庫比對(duì)云端威脅情報(bào)關(guān)聯(lián)1、惡意域名層出不窮2、新的惡意域名動(dòng)態(tài)生成算法（如DGA算法等）SIP系統(tǒng)黑名單惡意域名特征（規(guī)律）匹配對(duì)主流的DGA算法生成的動(dòng)態(tài)域名特征進(jìn)行分析云端情報(bào)關(guān)聯(lián)實(shí)時(shí)更新特征1、大幅提升檢測(cè)率、降低誤報(bào)率2、解決傳統(tǒng)算法不能處理短域名和單詞隨機(jī)組合域名的問題3、能夠預(yù)測(cè)DGA類別，識(shí)別中招類型LSTM算法：基于神經(jīng)網(wǎng)絡(luò)算法學(xué)習(xí)樣本，保存樣本共性特征并摒棄錯(cuò)誤的特征，形成一個(gè)持續(xù)深度學(xué)習(xí)閉環(huán)，保持最新最準(zhǔn)的規(guī)律特征，發(fā)現(xiàn)難以發(fā)現(xiàn)的異常威脅；這里用于挖掘同一個(gè)DGA算法生成的動(dòng)態(tài)域名之間的內(nèi)在規(guī)律，并以此作為檢測(cè)依據(jù)。DGA算法：惡意代碼通過內(nèi)置的DGA算法，可以自動(dòng)生成完全不重復(fù)的動(dòng)態(tài)域名，實(shí)現(xiàn)C&C通訊并規(guī)避傳統(tǒng)的惡意域名特征匹配示例6：基于深度學(xué)習(xí)的動(dòng)態(tài)域名檢測(cè)3.3安全可視與治理能力設(shè)計(jì)業(yè)務(wù)維度可視攻擊鏈可視詳細(xì)舉證影響面分析資產(chǎn)自動(dòng)識(shí)別脆弱性總覽弱密碼檢測(cè)Web明文傳輸全網(wǎng)訪問關(guān)系可視化訪問記錄安全日志檢索綜合評(píng)級(jí)儀表盤熱點(diǎn)事件熱力圖設(shè)備管理系統(tǒng)設(shè)置3.4網(wǎng)絡(luò)部署方案整體網(wǎng)絡(luò)部署拓?fù)鋱D（示意圖）

核心交換區(qū)互聯(lián)網(wǎng)ISP1外部專網(wǎng)ISP2安全管理區(qū)其他設(shè)備安全感知平臺(tái)……數(shù)據(jù)庫司法管理審判業(yè)務(wù)執(zhí)行業(yè)務(wù)……電子檔案科技法庭執(zhí)行指揮專網(wǎng)辦公區(qū)最高法安全隔離交換區(qū)

核心交換區(qū)檢測(cè)探針安全管理區(qū)其他設(shè)備用戶區(qū)……門戶網(wǎng)站訴訟服務(wù)門戶網(wǎng)站司法公開互聯(lián)網(wǎng)業(yè)務(wù)區(qū)核心業(yè)務(wù)區(qū)音視頻業(yè)務(wù)區(qū)超融合架構(gòu)超融合架構(gòu)超融合架構(gòu)中級(jí)法院法院專網(wǎng)黨政機(jī)關(guān)接入?yún)^(qū)數(shù)據(jù)緩存區(qū)安全管理區(qū)電子政務(wù)外網(wǎng)政府機(jī)關(guān)/銀行/工商/…開放云管理區(qū)開放云(公有云)下一代防火墻VPN路由器VPN綜合安全感知平臺(tái)方案下一代防火墻互聯(lián)網(wǎng)接入?yún)^(qū)鏈路負(fù)載均衡上網(wǎng)行為管理路由器下一代防火墻VPN鏈路負(fù)載均衡專網(wǎng)接入?yún)^(qū)路由器某著名企業(yè)專網(wǎng)核心交換區(qū)某著名企業(yè)業(yè)務(wù)區(qū)安全管理區(qū)某著名企業(yè)接入?yún)^(qū)核心交換區(qū)檢測(cè)探針檢測(cè)探針檢測(cè)探針檢測(cè)探針檢測(cè)探針檢測(cè)探針日志采集服務(wù)器日志采集服務(wù)器日志采集服務(wù)器日志采集服務(wù)器檢測(cè)探針1333232222222說明：1、因設(shè)備型號(hào)不斷發(fā)展變化（截止2018年4月），具體情況請(qǐng)咨詢某著名企業(yè)當(dāng)?shù)劁N售、產(chǎn)品經(jīng)理等人員。。探針選型探針STA-100-B420STA-100-B440STA-100-C640STA-100-D642STA-100-E642STA-100-F842STA-100-G884選型流量≤1Gbps≤1.5Gbps≤2Gbps≤3Gbps≤4.5Gbps≤6Gbps≤10Gbps千兆口4（電口）

2（光口）4（電口）

4（光口）6（電口）

4（光口）6（千兆電口）

4（千兆光口）6（千兆電口）

4（千兆光口）8（千兆電口）

4（千兆光口）8（千兆電口）

8（千兆光口）萬兆口0002（光口）2（光口）2（光口）8（光口）高度1U2U2U2U2U2U2U電源單電源單電源冗余電源冗余電源冗余電源冗余電源冗余電源說明：1、因設(shè)備型號(hào)不斷發(fā)展變化（截止2018年4月），具體情況請(qǐng)咨詢某著名企業(yè)當(dāng)?shù)劁N售、產(chǎn)品經(jīng)理等人員。2、若數(shù)據(jù)量比較大，建議采用平臺(tái)集群部署方式。安全感知平臺(tái)選型平臺(tái)型號(hào)SIP-1000-A600SIP-1000-B400SIP-1000-C402SIP-1000-D602CPU核數(shù)4核心16核心16核心20核心內(nèi)存容量32G96G128G256G接口6個(gè)千兆電口4個(gè)千兆電口4個(gè)千兆電口2個(gè)萬兆光口6個(gè)千兆電口2個(gè)萬兆光口高度1U2U2U2U電源單電源冗余電源冗余電源冗余電源硬盤容量SATA4T*4SATA4T*8SATA4T*10SATA4T*12存儲(chǔ)容量14.4T19.3T24T29T容量900天/1Gbps1200天/1Gbps1500天/1Gbps1800天/1GbpsSTA探針帶寬占用情況探針模式接入數(shù)量流量帶寬日志條數(shù)帶寬占用磁盤占用存儲(chǔ)天數(shù)高級(jí)模式1臺(tái)千兆（1Gbps）1300W/天

(150條/S)10M/S(傳輸加上頭部開銷)16.3G/天14.4T/16.3G=904天1臺(tái)萬兆（10Gbps）13000W/天

(1500條/S)100M/S(傳輸加上頭部開銷)163G/天14.4T/163G=90天

29T/163G=177天標(biāo)準(zhǔn)模式1臺(tái)千兆（1Gbps）55W/天

(7條/S)110K/S(傳輸加上頭部開銷)0.627G/天14.4T/0.627G=23517天1臺(tái)萬兆（10Gbps）550W/天

(71條/S)1100K/S(傳輸加上頭部開銷)6.27G/天14.4T/6.27G=2351天3.5某著名企業(yè)解決方案優(yōu)勢(shì)數(shù)據(jù)來源智能分析可視呈現(xiàn)協(xié)同響應(yīng)某著名企業(yè)法院綜合監(jiān)管解決方案全流量采集（含Netflow、DNS

Flow、HTTP

Flow、SMB

Flow、SMTP

Flow、POP3Flow、IMAPFlow）+關(guān)鍵設(shè)備日志文件采集與關(guān)聯(lián)分析，威脅情報(bào)輔助關(guān)聯(lián)攻擊行為基礎(chǔ)檢測(cè)能力：網(wǎng)絡(luò)層攻擊檢測(cè)、終端病毒檢測(cè)、應(yīng)用層攻擊入侵檢測(cè)、WAF層面檢測(cè)、郵件層面檢測(cè)、漏洞與弱密碼脆弱性檢測(cè)深度檢測(cè)能力（未知威脅檢測(cè)）：云端沙箱、異常行為分析、UEBA、人工智能殺毒引擎SAVE、各類機(jī)器學(xué)習(xí)算法資產(chǎn)自動(dòng)感知發(fā)現(xiàn)并分析資產(chǎn)脆弱性；全網(wǎng)安全態(tài)勢(shì)、外部攻擊態(tài)勢(shì)、業(yè)務(wù)外連風(fēng)險(xiǎn)態(tài)勢(shì)、橫向威脅態(tài)勢(shì)等全方位安全態(tài)勢(shì)呈現(xiàn)基于業(yè)務(wù)維度的威脅呈現(xiàn)，以攻擊鏈維度展示失陷階段、，同時(shí)安全事件詳細(xì)舉證分析、風(fēng)險(xiǎn)危害和處置建議，潛伏威脅黃金眼看清威脅影響面；報(bào)告內(nèi)容專業(yè)實(shí)用，摘要報(bào)告整體展示安全狀況，綜合風(fēng)險(xiǎn)報(bào)告綜合分析具體的業(yè)務(wù)系統(tǒng)和用戶客戶端的安全風(fēng)險(xiǎn)詳情與NGAF聯(lián)動(dòng)實(shí)現(xiàn)木客通信一鍵阻斷；與AC聯(lián)動(dòng)實(shí)現(xiàn)終端用戶關(guān)聯(lián)、提醒與封鎖；與EDR實(shí)現(xiàn)終端掃描與隔離；高級(jí)人工服務(wù)實(shí)現(xiàn)應(yīng)急響應(yīng)、高級(jí)威脅分析，安全建設(shè)建議1.數(shù)據(jù)是安全大腦分析的基礎(chǔ)，因此在數(shù)據(jù)來源方面，應(yīng)該具備主動(dòng)采集有效數(shù)據(jù)的能力，避免過度依賴外部威脅情報(bào)或第三方設(shè)備的異構(gòu)、或誤報(bào)的數(shù)據(jù)。2.某著名企業(yè)威脅情報(bào)是基于在線10萬多臺(tái)安全設(shè)備上傳信息到某著名企業(yè)云腦分析生成，更適用于企業(yè)級(jí)客戶，同時(shí)VD、微步在線、