2019年多源異構數據環境下態勢感知體系構建.pdf

1、多源異構數據環境下態勢感知體系構建目錄一、網絡安全管理中的難題二、多源異構數據環境下態勢感知體系三、信息資產的全鏈條態勢感知和處置目錄網絡安全管理中的難題2015年年2016年年2017年年2018年年2019年年安全防護、流量回溯、安全檢測安全監測異構的安全監測威脅情報大數據分析平臺 管理內容規模急速增長 數據來源日趨復雜60%20%60%40%操作系統、中間件等補丁24h更新率漏洞24h修復率定期自查、評估和修復的比例系統變更后第一時間安全評估率10%系統變動致同類漏洞重現率網絡安全管理中的難題 管理監控措施不及時不完善網絡安全管理難題對策目錄一、網絡安全管理中的難點二、多源異構數據環境下

2、態勢感知體系三、資產的全鏈條態勢感知和處置目錄覆蓋全域，統一分析。對全域系統各類關鍵信息基礎設施、重要網絡關口進行常態化統一監測和分析，形成全鏈條安全管理體系。強化落實，常態化管控。以貫徹落實網絡安全法和國家網絡安全等級保護制度為主線，在系統建設、運行管理、組織保障等多方面同步推進網絡安全工作，常態化監測，及時發現問題，確保落實安全管理細節。體系建設原則+=態勢感知分析中心1側重于安全數據分析，與安全事件基礎庫平臺聯動，整合已有安全事件基礎庫的歷史數據和在線數據，實現全網安全數據日志綜合分析。態勢感知分析中心2側重于威脅管理綜合分析，與現有終端管控系統對接，側重管理流量、安全設備及終端日志的日

3、志多源分析。態勢感知分析中心3側重于網絡流量數據安全分析，對網絡流量精確分析，監測網絡攻擊和惡意代碼，提供網絡元數據。安全事件事件場景更完整準確率較高定位更準確技術特點1：實現分析級的數據融合多源異構數據環境下態勢感知體系多源異構數據環境下態勢感知體系對安全事件基礎庫進行全面整合，包括網關日志、終端管理日志、應用系統類日志、網絡設備類日志、縱深防護類日志、檢測監測類日志、高級威脅綜合分析平臺日志、在線監測中心日志、網絡流量分析平臺日志等。將整合后的數據與威脅情報碰撞，得出惡意攻擊行為。威脅情報主要包括惡意IP、惡意域名、惡意URL、惡意EMAIL地址、惡意樣本哈希值等。日志融合網關應用系統日志

4、網絡設備日志安全事件基礎庫安全數據分析平臺網絡全流量分析平臺在線監測中心工單管理系統策略處置系統安全情報中心資產發現資產填報系統下發策略外部情報日志終端準入殺毒補丁移動工作平臺消息終端管理日志情報信息源數據層分析層決策層互聯網源本地源外部威脅情報安全審計在線監測安全檢測檢測監測縱深防護正向上傳反向反饋外部源分割線圖例圖例安全告警工單處置資產管理高級威脅綜合分析平臺日志利舊設備/系統安全數據分析平臺（分析中心1）多源異構數據環境下態勢感知體系基于日志和流量多源異構數據進行綜合分析，提高未知高級威脅防護能力，集中呈現全網威脅情況。完成事件收集、告警分析、應急溯源分析結合廠商的威脅情報能力，及時發現

5、威脅情況配合其余分析平臺完成問題發現工作，并為處置提供技術依據高級威脅綜合分析平臺（分析中心2）多源異構數據環境下態勢感知體系基于“流”行為數據和其他日志數據自動化分析各類異常行為。建立異常行為模型，實時匹配網絡流量，回溯分析歷史數據建立“文件樣本”行為數據模型，識別未知攻擊或惡意代碼提供“包”內容數據，還原事件過程，實現威脅的追蹤溯源取證融合網關網絡全流量分析平臺工單管理系統策略處置系統安全情報中心惡意代碼監測探針網絡元數據采集探針全流量回溯探針資產發現資產填報系統下發策略資產信息移動工作平臺消息數據采集數據分析數據應用利舊設備或系統新建設備或系統分割線圖例圖例工單處置資產帳臺還原文件網絡元

6、數據原始流量流量分析數據安全告警安全告警漏洞信息資產標簽未注冊資產告警資產漏洞告警其他設備或系統網絡流量分析平臺（分析中心3）技術特點2：實現決策級的數據融合+=態勢感知分析中心1態勢感知分析中心2態勢感知分析中心3安全事件資產全部在網資產信息，包括基本屬性、運行情況、配置情況、脆弱性情況等。需處置的安全事件對資產存在安全威脅的安全事件，為下一步的處置提供決策支持。多源異構數據環境下態勢感知體系01020304常態化資產探查、分析、脆弱性識別資產探查網絡安全事件分級分類處置應急處置基于全域流量的網絡安全數據采集數據采集多維度的網絡安全態勢感知和風險分析融合分析多源異構數據環境下態勢感知體系態勢

7、感知體系運行的主要環節采集網絡設備、安全設備、終端、應用系統的日志；采集關鍵網域東西向、南北向全域流量；采集原始脆弱性數據等。對采集到的數據進行清洗、過濾、識別、路徑補充、格式化等，形成數據資源池。全域流量采集日志、數據的范式化資源池建立基于全域流量的網絡安全數據采集API和系統對接采用主動、被動、基于搜索引擎等方式實時探查在網信息資產及變化情況，形成資產庫。通過與脆弱性掃描系統、威脅情報、通用漏洞庫（CVE）、漏洞測試庫（POC）碰撞，形成資產脆弱性數據。資產定義多采集技術融合平臺對接變更觸發常態化資產探查、更新和脆弱性識別多分析中心的輸出數據進行去重、補齊、建模等，與安全知識庫、資產庫等進

8、行融合分析，形成真正具有威脅的安全事件。安全知識庫包含內置檢測規則、內置風險分析和處置規則、云端獲取威脅情報、第三方威脅情報接入、離線威脅情報庫導入、安全威脅自定義模板、本地威脅情報累計、大數據安全建模分析模型等。數據融合與自動處置系統對接知識庫的運維第三方數據對接數據融合分析根據安全事件的事件類型和危害級別按照應急處置基線分類分級處置，第一時間自動處置可確定的高風險網絡安全事件，自動處置手段包括阻斷可疑互聯網IP地址、URI、域名、郵箱等。措施多源化基線靈活化處置自動化時間窗口適度化安全事件應急處置目錄一、網絡安全管理中的難點二、多源異構數據環境下態勢感知體系三、資產的全鏈條態勢感知和處置目

9、錄網絡安全事件庫分析中心安全檢測事件處置監測中心知識庫資產庫資產基本屬性：主機名、操作系統、數據庫、中間件及版本號。網絡屬性：域名、所屬VLAN、公網IP、內網IP、開放端口、黑白網絡地址名單等策略。行為屬性：用戶行為模型、網絡訪問模型等。漏洞屬性：在近期安全檢測中發現的安全漏洞及修復情況等。資產主要屬性資產的定義1、采用主動、被動、基于搜索引擎、人工等方式采集資產信息；2、檢測操作系統、數據庫、中間件的脆弱性以及信息系統自身的安全漏洞。1、修改資產庫及相應防護策略；2、監測廢止資產再運營現象。1、實時監測信息資產的受攻擊情況和安全狀態變化情況；2、外部條件變化引起知識庫更新，觸發新的知識庫與資產庫碰撞，探測安全隱患；3、漏洞測試庫更新觸發對近期網絡流量的漏洞利用攻擊行為回溯分析；4、實時比對資產信息；5、定期檢測操作系統、數據庫、中間件的脆弱性以及信息系統自身的脆弱性。更新資產信息：1、自動觸發新資產與知識庫碰撞，探測安全隱患；2、檢測信資產的脆弱性。01040203資產產生資產廢止資產運行資產變更資產的全鏈條態勢感知和處置與資產庫碰撞的知識庫內容主要有威脅情報（惡意IP/域名/URL、惡意軟件散列值、不良信息、安全漏洞等、攻擊者畫像等）、通用漏洞庫（CVE）、外部通報等。THANKS