安全資訊

態(tài)勢感知2.0平臺，在技術(shù)要素層相較于1.0而言更為豐富和更具先進(jìn)性，其融入了大數據技術(shù)、人工智能技術(shù)、云安全技術(shù)、自動(dòng)化防御及響應技術(shù)、威脅情報等等，使整個(gè)態(tài)勢感知2.0平臺適用性更為廣泛，其提供的服務(wù)領(lǐng)域也逐漸增多，同時(shí)它也促進(jìn)了安全行業(yè)的整體發(fā)展和進(jìn)步。

具體融入的技術(shù)包括如下幾個(gè)部分：

01 獲取層融入新技術(shù)

在獲取層融入的新技術(shù)有 VxLAN 和東西向流量獲取技術(shù)。

在A(yíng)ll in Cloud的大環(huán)境下，云計算平臺使用的網(wǎng)絡(luò )相較傳統IDC網(wǎng)絡(luò )結構已發(fā)生了根本性的變化。它廣泛采用了先進(jìn)的SDN技術(shù)；一般而言傳統IDC環(huán)境下南北向訪(fǎng)問(wèn)流量占 80%，而東西向訪(fǎng)問(wèn)流量占20%，因此在核心交換機上采集即可滿(mǎn)足數據分析的需求；而在A(yíng)ll in Cloud的環(huán)境下訪(fǎng)問(wèn)流量走向則是東西向流量偏多，南北向流量相對偏少；因此僅在核心交換機采集流量數據是無(wú)法滿(mǎn)足態(tài)勢感知的需要的。故在充分分析南北向流量和路徑后，有針對性地選擇在關(guān)鍵位置部署流量采集探針，同時(shí)采集虛擬主機層東西向流量來(lái)滿(mǎn)足態(tài)勢感知要求。

另外針對物聯(lián)網(wǎng)（Internet of Things，IoT）技術(shù)的發(fā)展，支持多協(xié)議和兼容將是一大趨勢，大多數 IoT 設備采用無(wú)線(xiàn)通信技術(shù)，在這一環(huán)境下采集數據將是一個(gè)挑戰。

02 理解層融入大數據

理解層融入Hadoop、Storm、Spark、ES、Flume、Kafka、Hive、Hbase 等新興大數據技術(shù)，用來(lái)對日志進(jìn)行處理、分析、存儲和挖掘等。

例如采用Storm對數據流進(jìn)行實(shí)時(shí)處理，可以實(shí)現近乎實(shí)時(shí)的風(fēng)險發(fā)現功能，相較于以前的離線(xiàn)數據分析技術(shù)，可有效縮短安全預警時(shí)效。

采用了大數據平臺后，有效地提升了數據分析效率，可在短時(shí)間內對大批量數據進(jìn)行分析和比對，有效發(fā)現潛在安全風(fēng)險和實(shí)現提前預測風(fēng)險。

03 評估層融入新模型

評估層在統計、規則和特征型的規則上融入數據挖掘、關(guān)聯(lián)分析、智能分析模型；從數據倉庫中收集的安全設備日志、網(wǎng)絡(luò )日志、應用日志、終端日志以及第三方的威脅情報數據等。

收集到的信息和安全事件通過(guò)檢測分析引擎統計分析、關(guān)聯(lián)分析、模式分析、機器學(xué)習發(fā)現高優(yōu)先級安全事件，將發(fā)現的高優(yōu)先級事件反饋到運營(yíng)系統中，同時(shí)發(fā)現的高優(yōu)先級安全事件將存儲到數據樣本庫、知識庫（案例庫）中，便于后期的溯源和分析。

1關(guān)聯(lián)分析模型

關(guān)聯(lián)模型通過(guò)實(shí)時(shí)關(guān)聯(lián)技術(shù)過(guò)濾事件，在大量安全事件（甚至是誤報事件）中提取有用的信息。例如登錄異常、漏洞利用、蠕蟲(chóng)活動(dòng)、網(wǎng)絡(luò )入侵、主機失陷等，關(guān)聯(lián)分析模型主要包括以下幾個(gè)不同類(lèi)型：

• 基于端口的關(guān)聯(lián)：開(kāi)放端口的數據與防火墻數據進(jìn)行關(guān)聯(lián)分析，幫助檢測攻擊者何時(shí)嘗試訪(fǎng)問(wèn)系統端口或不存在的服務(wù)，從而發(fā)現低慢攻擊；

• 基于安全事件的關(guān)聯(lián)：安全設備告警事件之間進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，減少事件誤報，提高告警準確率；

• 基于統計的關(guān)聯(lián)：對每個(gè)類(lèi)別的事件設定合理的閾值，當超過(guò)閾值可以產(chǎn)生一個(gè)更高級別的安全事件，同時(shí)與資產(chǎn)或其他安全事件進(jìn)行關(guān)聯(lián)，判斷某個(gè)安全事件造成的影響和后果。

2機器學(xué)習模型

機器學(xué)習主要是使用算法和統計方法創(chuàng )建能夠學(xué)習的系統。系統可以從采集的數據中學(xué)習，形成一個(gè)具有相關(guān)特征的分析模型。通過(guò)模型訓練，完成IP非正常訪(fǎng)問(wèn)、賬戶(hù)安全、XSS攻擊、SQL注入攻擊、JavaScript腳本注入等威脅的檢測任務(wù)。

3攻擊回溯分析模型

通過(guò)對收集的數據和安全事件分析，從惡意程序感染、異常連接、C&C、傳播、數據泄露等維度檢測未知威脅。當攻擊和規則模型關(guān)聯(lián)后，自動(dòng)從知識庫調用相關(guān)知識信息，包括影響主機、影響用戶(hù)、root事件、連接和所有行為的時(shí)間軸軌跡，作為輔助參考。同時(shí)取證結果收入數據樣本庫、知識庫（案例庫）。

4用戶(hù)行為分析模型

以部門(mén)、個(gè)人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線(xiàn)，利用統計、特征、機器學(xué)習算法和預定義規則學(xué)習每個(gè)用戶(hù)和設備的正常行為基線(xiàn)，通過(guò)關(guān)聯(lián)分析和概率計算，計算用戶(hù)異常分值以便及時(shí)發(fā)現異常的用戶(hù)、惡意的內部用戶(hù)和攻擊者。

5場(chǎng)景分析模型

場(chǎng)景分析主要依據攻防、滲透經(jīng)驗和大數據分析技術(shù)檢測網(wǎng)絡(luò )中的威脅，解決了規則判定時(shí)，無(wú)法確定具體閾值的問(wèn)題，根據企業(yè)組織中的網(wǎng)絡(luò )特點(diǎn)和經(jīng)驗判斷異常行為。

常用場(chǎng)景如下：

• 創(chuàng )建非管理員用戶(hù)后的權限升級，非管理員用戶(hù)一般不會(huì )將其權限提升到管理員級別，或其他高級用戶(hù)級別；

• 文件非授權訪(fǎng)問(wèn)，在很接近的時(shí)間內多次嘗試訪(fǎng)問(wèn)用戶(hù)沒(méi)有權限的共享文件/目錄；

• DNS 隱蔽隧道，通過(guò)數據包關(guān)鍵字段異常的編碼監測，支持如下的DNS隱秘隧道發(fā)現：通過(guò)超長(cháng)域名信息傳遞數據、通過(guò)txt請求傳遞數據、通過(guò)AAAA 記錄傳遞數據等。數據泄漏，VPN用戶(hù)在工作時(shí)間外登錄并向外網(wǎng)傳輸數兆字節或更多（VPN 連接期間）數據；

• 蠕蟲(chóng)/木馬/惡意軟件攻擊，網(wǎng)絡(luò )上一臺主機開(kāi)始攻擊或探查網(wǎng)絡(luò )上其他主機；

• 高風(fēng)險主機檢測分析，通過(guò) DNS 解析行為分析服務(wù)器或終端的異常行為?？梢源_認已知、未知的惡意軟件、APT攻擊以及實(shí)時(shí)監測內部的威脅。

04 展現層融入新態(tài)勢

在展現方面融入熱力圖、地理信息、威脅指數等元素，通過(guò)與資產(chǎn)、事件、漏洞、威脅、風(fēng)險及告警相關(guān)聯(lián)分析，產(chǎn)生可視化的預測視圖。

使用可視化技術(shù)，將原本碎片化、零散化的行為告警、安全態(tài)勢、資產(chǎn)管理等智能綜合分析展現，形成多維度的安全態(tài)勢感知展示，幫助安全運營(yíng)人員及時(shí)理解、定位問(wèn)題。

1整體威脅態(tài)勢

通過(guò)風(fēng)險計算模型，綜合考慮資產(chǎn)的價(jià)值、脆弱性和威脅，按高危、中危、低危安全級別分類(lèi)統計。同時(shí)通過(guò)中國地圖以熱力圖形式展現資產(chǎn)的地理位置、個(gè)數和威脅指數；通過(guò)世界地圖熱力圖查看攻擊源，計算整體業(yè)務(wù)安全風(fēng)險值，獲取發(fā)起最多攻擊次數的源IP列表，以雷達圖顯示最近的攻擊類(lèi)型，最近的攻擊源分析。

2業(yè)務(wù)資產(chǎn)風(fēng)險態(tài)勢

對管理對象劃分安全域，并進(jìn)行資產(chǎn)化管理，可以自定義監控區域。提供基于拓撲的監控視力，可以按圖形化拓撲模式顯示資產(chǎn)，通過(guò)視圖可直接查看該資產(chǎn)的狀態(tài)、事件、漏洞、威脅、風(fēng)險及告警信息。

3外部攻擊態(tài)勢

利用時(shí)序圖實(shí)時(shí)展示安全攻擊事件數量，并按照攻擊類(lèi)型、受影響的 IP，受攻擊的專(zhuān)業(yè)公司展示安全攻擊事件，同時(shí)實(shí)時(shí)滾動(dòng)顯示最近攻擊事件。

4內部攻擊態(tài)勢

內部安全態(tài)勢展示已發(fā)現的安全事件，能夠按照時(shí)間段以木馬蠕蟲(chóng)、漏洞、流量、惡意軟件為視角，進(jìn)行安全事件的展示。從告警、處置、資產(chǎn)、日志、系統維護、類(lèi)型、分布多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統計分析，并以2D/3D、柱圖、餅圖、堆疊圖等形式進(jìn)行可視化的展示。

5數據安全態(tài)勢

數據安全態(tài)勢，對企業(yè)組織的數據進(jìn)行全面監測，與用戶(hù)行為模型結合，依據相應業(yè)務(wù)場(chǎng)景，發(fā)現數據的不正當訪(fǎng)問(wèn)與調用、數據的異常流動(dòng)等行為，從類(lèi)型、用戶(hù)、資產(chǎn)等維度在統一視圖中展示。

6審計視圖

運營(yíng)人員可以根據內置或者自定義的審計策略，從事件的任意維度實(shí)時(shí)觀(guān)測安全事件的走向，并可以進(jìn)行事件調查、取證，并進(jìn)行事件行為分析和來(lái)源定位。

05 行動(dòng)層融入工作流引擎

在行動(dòng)層融入流行的工作流引擎，如JBPM、Activiti、OSWorkflow工作流引擎使已知風(fēng)險處理更高效和可追溯，同時(shí)融入告警和事件管理使整個(gè)安全風(fēng)險處置形成一個(gè)閉環(huán)，從而提高在風(fēng)險處置環(huán)節的效率。