1、HiSecCloudFabric 解決方案技術(shù)白皮書目錄 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 云安全風(fēng)險分析1 HYPERLINK l _bookmark2 云計算業(yè)務(wù)特點與業(yè)務(wù)需求1 HYPERLINK l _bookmark3 安全需求總結(jié)2 HYPERLINK l _bookmark4 方案價值2 HYPERLINK l _bookmark5 方案概述3 HYPERLINK l _bookmark6 方案架構(gòu)3 HYPERLINK l _bookmark7 方案介紹5 HYPERLINK l _bookmark8 安全服

2、務(wù)化5 HYPERLINK l _bookmark9 方案概述5 HYPERLINK l _bookmark10 方案設(shè)計5 HYPERLINK l _bookmark11 方案架構(gòu)5 HYPERLINK l _bookmark12 安全資源池7 HYPERLINK l _bookmark13 租戶級安全服務(wù)8 HYPERLINK l _bookmark14 業(yè)務(wù)鏈編排8 HYPERLINK l _bookmark15 VAS 服務(wù)類型11 HYPERLINK l _bookmark16 VAS 服務(wù)使用場景11 HYPERLINK l _bookmark17 網(wǎng)安一體化聯(lián)動方案13 HYPE

3、RLINK l _bookmark18 方案概述13 HYPERLINK l _bookmark19 數(shù)據(jù)采集14 HYPERLINK l _bookmark20 威脅檢測16 HYPERLINK l _bookmark21 WEB 異常檢測原理17 HYPERLINK l _bookmark22 郵件異常檢測原理17 HYPERLINK l _bookmark23 C&C 異常檢測原理17 HYPERLINK l _bookmark24 流量基線異常檢測原理17 HYPERLINK l _bookmark25 隱蔽通道異常檢測原理18 HYPERLINK l _bookmark26 惡意文件

4、檢測原理18 HYPERLINK l _bookmark27 關(guān)聯(lián)分析原理18 HYPERLINK l _bookmark28 威脅判定原理19 HYPERLINK l _bookmark29 云端威脅情報19 HYPERLINK l _bookmark30 聯(lián)動閉環(huán)19 HYPERLINK l _bookmark31 保護網(wǎng)段19 HYPERLINK l _bookmark32 威脅閉環(huán)19 HYPERLINK l _bookmark33 主機隔離20 HYPERLINK l _bookmark34 基于 IP 阻斷20 HYPERLINK l _bookmark35 典型部署場景21 HY

5、PERLINK l _bookmark36 網(wǎng)安一體聯(lián)動典型部署場景21 HYPERLINK l _bookmark37 網(wǎng)安一體聯(lián)動（軟件墻）典型部署場景22 1方案背景 HYPERLINK l _bookmark1 云安全風(fēng)險分析 HYPERLINK l _bookmark2 云計算業(yè)務(wù)特點與業(yè)務(wù)需求 HYPERLINK l _bookmark3 安全需求總結(jié) HYPERLINK l _bookmark4 方案價值云安全風(fēng)險分析雖然云計算給用戶提供了一種新型的計算、網(wǎng)絡(luò)、存儲環(huán)境，但是在系統(tǒng)和應(yīng)用上提供的服務(wù)等方面卻并未發(fā)生革命性的改變。在云計算平臺上，認(rèn)證和授權(quán)類、邏輯攻擊類、客戶端攻擊

6、類、命令執(zhí)行類、信息泄露類威脅仍然是不可忽視的，除了傳統(tǒng)的網(wǎng)絡(luò)安全威脅，虛擬化本身的安全問題、租戶間隔離等都是云計算環(huán)境下引入的安全風(fēng)險。云計算業(yè)務(wù)特點與業(yè)務(wù)需求云計算的業(yè)務(wù)特點就是“服務(wù)化”。服務(wù)化架構(gòu)的特點包括：多租戶、海量用戶、數(shù)據(jù)共享、無邊界計算、業(yè)務(wù)動態(tài)變化、業(yè)務(wù)模型不受網(wǎng)絡(luò)拓撲限制等特點。云計算模式對于安全保障提出了更高的要求。要求安全保障方案，能夠適配云計算所代表的按需自服務(wù)、資源池化、快速彈性擴展、安全策略自適應(yīng)業(yè)務(wù)變化（業(yè)務(wù)隨 行）等要求。由于多租戶、多安全設(shè)備和云業(yè)務(wù)的動態(tài)變化，管理符合用戶業(yè)務(wù)要求的安全策略非常困難，手工配置幾乎不可接受，傳統(tǒng)的云安全策略管理機制在云中幾乎

7、不可實施。以傳統(tǒng)安全設(shè)備為代表的安全解決方案是無法滿足上述要求的。舉例來說，在用戶部署了虛擬化計算技術(shù)和 SDN 網(wǎng)絡(luò)虛擬化技術(shù)之后，網(wǎng)絡(luò)和計算業(yè)務(wù)的開通只需要幾個小時，而配套的安全技術(shù)的部署可能要好幾周甚至幾個月。使用傳統(tǒng)安全技術(shù)保護虛擬化數(shù)據(jù)中心，會使得安全成為用戶業(yè)務(wù)最大的瓶頸。云中的“安全服務(wù)化”是必備功能。安全需求總結(jié)云用戶對安全的需求分成 2 個方面：1、威脅防御能力：數(shù)據(jù)中心存在大量核心業(yè)務(wù)服務(wù)器，往往成為惡意攻擊者的主要目標(biāo)。攻擊者通過社會工程學(xué)、0day 漏洞等高級攻擊技術(shù)入侵?jǐn)?shù)據(jù)中心，從而竊取或破壞高價值資產(chǎn)。因此需要高級安全防御能力，以應(yīng)對傳統(tǒng)攻擊與APT 攻擊，保障受保

8、護目標(biāo)的安全。2、安全服務(wù)化架構(gòu)能力：安全架構(gòu)能夠滿足云計算業(yè)務(wù)中多租戶、資源靈活性、無邊界計算、全流量防護、安全業(yè)務(wù)隨行等要求。如：一套相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，需要滿足不同類型的用戶業(yè)務(wù)需求；安全業(yè)務(wù)能夠快速上線，滿足多租戶環(huán)境等。方案價值在虛擬化和云環(huán)境下，華為提出 HiSecCloudFabric 安全解決方案，其主要價值如下：智能防御東西向流量精細隔離控制，有效避免威脅橫向擴散。配套大數(shù)據(jù)智能分析系統(tǒng)，可檢測未知威脅。網(wǎng)絡(luò)與安全智能聯(lián)防閉環(huán)，可快速響應(yīng)隔離內(nèi)部威脅，防止威脅擴散。按需彈性安全資源池化，可支持東西和南北資源池的分離，資源池可按需彈性擴縮。安全業(yè)務(wù)分鐘級開通，提供多種類的安全服

9、務(wù)，并基于 SDN 統(tǒng)一調(diào)度、自動化編排發(fā)放安全業(yè)務(wù)。安全業(yè)務(wù)功能與物理拓撲解耦，基于應(yīng)用動態(tài)地使用業(yè)務(wù)鏈排來編排安全服務(wù)。支持全面的 IPv6 過渡技術(shù)，包含 NAT64 地址轉(zhuǎn)換技術(shù)、雙棧技術(shù)，無縫連接 IPv6 部署的不同階段。 2方案概述 HYPERLINK l _bookmark6 2.1方案架構(gòu)方案架構(gòu)華為HiSecCloudFabric 安全解決方案的分層和組件如圖所示。業(yè)務(wù)呈現(xiàn)/協(xié)同層云網(wǎng)一體化場景FusionSphere（華為云操作系統(tǒng)解決方案）：由 ManageOne 提供統(tǒng)一Portal，租戶通過 ManageOne Portal 訂閱、動態(tài)打通VAS 服務(wù)，其中由Ope

10、nStack 定義的 VAS 服務(wù)通過Agile Controller-DCN 分發(fā)給 SecoManager 處理，由 SecoManager 下發(fā)配置到防火墻設(shè)備上，非OpenStack 定義的 VAS 服務(wù)由 ManagerOne 直接和 SecoManager 對接完成發(fā)放。第三方 OpenStack：租戶通過第三方Portal 或者第三方云平臺訂閱 VAS 服務(wù)，第三方OpenStack 云平臺調(diào)用 Agile Controller-DCN 接口動態(tài)開通 VAS 服務(wù)，Agile Controller- DCN 將 VAS 服務(wù)請求分發(fā)給 SecoManager 處理。網(wǎng)絡(luò)虛擬化場景

11、AC Orchestration 作為 Agile Controller-DCN 和SecoManager 的業(yè)務(wù)呈現(xiàn)層，作為網(wǎng)絡(luò)和安全的控制界面。控制/管理/分析層Agile Controller-DCN：完成網(wǎng)絡(luò)建模、實例化、自動編排下發(fā)網(wǎng)絡(luò)配置等，并負責(zé)將流量引流到 VAS 設(shè)備。eSight+eLog：實現(xiàn)安全設(shè)備管理和日志報表管理。SecoManager：實現(xiàn) VAS 服務(wù)的編排和策略管理。CIS：大數(shù)據(jù)安全分析系統(tǒng)，可動態(tài)監(jiān)測分析APT 安全威脅，并提供整網(wǎng)安全態(tài)勢，可通過控制器聯(lián)動防火墻、交換機等設(shè)備阻斷安全威脅。網(wǎng)絡(luò)/設(shè)備層由物理和虛擬網(wǎng)絡(luò)設(shè)備組成，用于承載Overlay 網(wǎng)絡(luò)

12、。其中，安全設(shè)備獲取數(shù)據(jù)流量， 并基于安全策略執(zhí)行安全功能。本層提供硬件和軟件兩種設(shè)備形態(tài)，可滿足數(shù)據(jù)中心邊界安全防護、租戶邊界和租戶內(nèi)安全防護的需求。Agile Controller-DCN 和 SecoManager 以服務(wù)化集成方式對接，SecoManager 的界面集成到 Agile Controller-DCN 的安全菜單中，融合部署在一套服務(wù)器，不獨占資源，服務(wù)間交互通過 API 接口調(diào)用來實現(xiàn)。 3方案介紹 HYPERLINK l _bookmark8 安全服務(wù)化 HYPERLINK l _bookmark17 網(wǎng)安一體化聯(lián)動方案安全服務(wù)化方案概述安全服務(wù)化是一種安全能力的供給和

13、管理方式。保證安全可以滿足云計算業(yè)務(wù)所需的資源按需分配、彈性擴展、安全策略自適應(yīng)業(yè)務(wù)變化，安全自動化運維等要求。云安全服務(wù)化需要解決的問題主要有：僵化的安全資源不適應(yīng)云業(yè)務(wù)的彈性要求；僵化的安全策略不適應(yīng)云業(yè)務(wù)的動態(tài)變化；固定的安全功能不滿足租戶多變的安全要 求；無法實現(xiàn)邊界及網(wǎng)內(nèi)的全流量防護。云安全服務(wù)化架構(gòu)融合 SDN 思路，將彈性和快捷的特性引入安全方案中，安全方案做到“控制層-功能層”分離；功能層面打通硬件、軟件防火墻形成“安全資源池”，控制層面統(tǒng)一進行安全資源調(diào)度，按需組合安全功能，實現(xiàn)安全自適應(yīng)能力。方案設(shè)計方案架構(gòu)安全服務(wù)化適應(yīng) CloudFabric 中網(wǎng)絡(luò)虛擬化場景和云網(wǎng)一體

14、化場景架構(gòu)。網(wǎng)絡(luò)虛擬化場景架構(gòu)圖：云網(wǎng)一體化場景架構(gòu)圖：方案架構(gòu)涉及組件概述表：組件網(wǎng)絡(luò)虛擬化場景云網(wǎng)一體化場景第三方 OpenStack/ FusionSphere不涉及發(fā)放包括 SNAT、EIP、FWaas、IPsec VPN 的 L4L7 業(yè)務(wù)ManageOne不涉及發(fā)放 L4L7 業(yè)務(wù)，包含安全策略、IPS、AVAgile Controller-DCN1、發(fā)放邏輯網(wǎng)絡(luò)服務(wù)， 負責(zé)華為VAS 設(shè)備和L2/3Fabric 雙向互聯(lián)網(wǎng)絡(luò)的編排；2、管理華為 CE 交換機。1、對接云平臺 L2L7 plugin，將云平臺 SNAT、EIP、FWaas、IPSec VPN 相關(guān)業(yè)務(wù)分發(fā)給Seco

15、Manager 處理；2、發(fā)放邏輯網(wǎng)絡(luò)服務(wù)，負責(zé)華為VAS 設(shè)備和 L2/3Fabric 雙向互聯(lián)網(wǎng)絡(luò)的編排；2、管理華為 CE 交換機。SecoManager負責(zé)華為VAS 設(shè)備的業(yè)務(wù)編排，管理華為VAS 設(shè)備，并向其下發(fā)相關(guān)配置。1、支持直接對接ManageOne 定義 IPS、AV 等安全功能；2、負責(zé)華為VAS 設(shè)備的業(yè)務(wù)編排，管理華為VAS 設(shè)備，并向其下發(fā)相關(guān)配置；華為VAS 設(shè)備華為防火墻負責(zé)提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV的業(yè)務(wù)功能華為防火墻負責(zé)提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV 的業(yè)務(wù)功能安全資源池安全資源池是

16、為租戶提供按需安全服務(wù)的基礎(chǔ)，SecoManager 通過納管硬件防火墻或者軟件防火墻來生成安全資源池，硬件和軟件防火墻都具有一虛多功能（vsys，virtual system），能將一臺防火墻虛擬為多個獨立的防火墻實例，租戶在申請 VAS 服務(wù)時， SecoManager 為租戶在安全資源池中分配使用邏輯 VAS（vSys），無需感知底層 FW 設(shè)備。安全資源池化流程：1、硬件防火墻旁掛在核心交換機上或者通過 Service Leaf 節(jié)點接入到DCN 網(wǎng)絡(luò)中；軟件防火墻通過 Service Leaf 節(jié)點接入到 DCN 網(wǎng)絡(luò)中。2、選擇多臺硬件/軟件防火墻（建議主備雙機部署），通過 Sec

17、oManager 組建安全資源池，安全資源池創(chuàng)建成功后，加入資源池的設(shè)備資源即由 SecoManage 統(tǒng)一管理、分配3、租戶需要安全功能時，SecoManager 從安全資源池中分配安全資源給該租戶，資源池支持一虛多時，系統(tǒng)會在安全設(shè)備上創(chuàng)建 vsys，并將 vsys 分配給租戶；資源池不支持一虛多時，系統(tǒng)會把物理防火墻設(shè)備分配給租戶。4、安全資源分配后，AC-DCN 在交換機分配VRF 給該租戶，從而實現(xiàn)租戶流量向安全資源池的引流。租戶級安全服務(wù)業(yè)務(wù)鏈編排租戶級安全服務(wù)虛擬化網(wǎng)絡(luò)中，不同的租戶應(yīng)用運行在同一物理機上，使網(wǎng)絡(luò)的物理邊界消失， 只存在邏輯的邊界，造成邊界模糊，虛擬化二層流量直接

18、通過 vSwitch 交互，流量不可視不可控。針對租戶不同的流量，安全資源池通過如下方式進行安全檢測：流量 1：租戶的南北向流量，大部分場景在申請 LogicVas 時已經(jīng)通過網(wǎng)絡(luò)編排把流量引入到安全資源池中，或者通過業(yè)務(wù)鏈的方式引流到安全資源池中。流量 2：租戶的東西向流量，直接通過 TOR 轉(zhuǎn)發(fā)，不經(jīng)過安全資源池，通過配置基于EPG 的安全策略來編排業(yè)務(wù)鏈將流量引到安全資源池中，引流后即為流量2。EPG（端點組）介紹EP（End Point）是指接入網(wǎng)絡(luò)的物理設(shè)備或虛擬設(shè)備，比如物理機、虛擬機、存儲、物理網(wǎng)卡、虛擬網(wǎng)卡。EPG（End Point Group，端點組）則是一組具有相同特征的

19、 EP 集合，代表了一組應(yīng)用或服務(wù)，這些應(yīng)用或服務(wù)通常都具有相同的安全策略等級，一個 EPG 內(nèi)可以包含多個子網(wǎng)。EPG 可按不同方式劃分，比如：按網(wǎng)絡(luò)規(guī)格劃分（如子網(wǎng)、VLAN ID、VNI ID），按照應(yīng)用類型劃分（如 Web EPG、APP EPG、DB EPG），按照分區(qū)原則劃分（如 Front EPG、Backend EPG、DMZ EPG）。業(yè)務(wù)鏈介紹（ Service Function Chaining）業(yè)務(wù)鏈?zhǔn)且粋€業(yè)務(wù)功能有序圖，保證指定的業(yè)務(wù)流按順序通過這些業(yè)務(wù)功能節(jié)點。當(dāng) EPG 之間存在互通需求時，則需要通過編排業(yè)務(wù)鏈配置 EPG 間的互訪策略，包括互訪關(guān)系、流動作、是否

20、要經(jīng)過防火墻以及提供的業(yè)務(wù)的順序。業(yè)務(wù)鏈可以看做是在 SDN 控制器的控制下，使用 Overlay 技術(shù)將 VAS 服務(wù)鏈映射和物理服務(wù)設(shè)備解耦，只要承載網(wǎng) IP 可達，即可將虛擬層服務(wù)鏈映射到承載層服務(wù)設(shè)備的技術(shù)。同 VPC 的東西向流量互訪模型：紅色虛線表示相同VPC 不同子網(wǎng)互訪的：EPG1 與EPG2； 藍色虛線表示相同VPC 同子網(wǎng)互訪：EPG2 與EPG2；EPG1 對應(yīng) subnet1，EGP2 對應(yīng) subnet2：不同子網(wǎng)的業(yè)務(wù)隔離：配置基于EPG 的安全策略：源EPG 為 EPG1，目的EPG 對應(yīng) EPG2。同子網(wǎng)的業(yè)務(wù)隔離：配置基于EPG 的安全策略：源和目的 EPG

21、都對應(yīng)EPG2。跨 VPC 的東西向流量互訪模型通過配置“VPC 互通實例”設(shè)置跨VPC 流量是否通過防火墻。VAS 服務(wù)類型服務(wù)類型網(wǎng)絡(luò)虛擬化云網(wǎng)一體化SNAT為租戶提供私網(wǎng) IP 到公網(wǎng) IP 的地址轉(zhuǎn)換服務(wù)，將用戶的私有源 IP 地址轉(zhuǎn)換為指定的公有 IP 地址，實現(xiàn)訪問Internet；支持在云平臺上編排。EIP為租戶提供 VM 的彈性 IP 服務(wù)，將一個公有 IP 地址綁定到租戶網(wǎng)絡(luò)的私有 IP 地址上，實現(xiàn)租戶網(wǎng)絡(luò)的各種資源通過固定的公有 IP 地址對外提供服務(wù)；支持在云平臺上編排。IPSec VPN為租戶提供 IPSecVPN 加密傳輸服務(wù)，當(dāng)租戶數(shù)據(jù)中心和外部有安全通信需求時，

22、可通過 IPSec VPN 實現(xiàn)互通；支持在云平臺上編排。NAT64適用于數(shù)據(jù)中心內(nèi)部租戶已經(jīng)切換為 IPv6，外網(wǎng)服務(wù)器還是IPv4 的場景， 內(nèi)網(wǎng)用戶主動訪問外網(wǎng)服務(wù)的場景；云網(wǎng)場景中只支持在電信云場景對應(yīng)FusionSphere 6.3 云平臺編排。帶寬策略為租戶提供會話連接數(shù)限制功能，避免因為攻擊導(dǎo)致連接數(shù)耗盡，無法正常服務(wù)。不支持云平臺編排Anti- Ddos提供DDoS 防護，避免造成網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，導(dǎo)致拒絕向正常用戶的請求提供服務(wù)。不支持云平臺編排IPS入侵防御支持通過 ManageOne 發(fā)放AV防病毒支持通過 ManageOne 發(fā)放URL過濾限制可訪問 URL

23、 列表不支持云平臺編排ASPFASPF 功能可以保證系統(tǒng)對多通道協(xié)議中臨時協(xié)商的端口正常進行報文過濾和 NAT。不支持云平臺編排安全策略支持五元組安全策略配置、地址集匹配、指定時間段等。通過 Fwaas，支持五元組安全策略配置、地址集匹配、指定時間段等，可在云平臺上編排安全策略、FWaas、NAT64、ASPF 功能支持 IPv6 和 IPv4，其他功能只支持 IPv4。VAS 服務(wù)使用場景VPC 內(nèi)部互訪流量防護針對VPC 內(nèi)東西向同子網(wǎng)或不同子網(wǎng)間的流量防護，使用業(yè)務(wù)鏈，將同子網(wǎng)或不同子網(wǎng)流量重定向到 VAS 設(shè)備，發(fā)放安全策略、IPSecVPN 等 VAS 服務(wù)，實現(xiàn)同VPC 內(nèi)流量的防

24、護。VPC 與外網(wǎng)流量防護：針對VPC 內(nèi)與外網(wǎng)的南北流量防護，使用業(yè)務(wù)鏈，將外部網(wǎng)絡(luò)作為其中一個EPG，可以靈活引流到多個 VAS，發(fā)放安全策略、IPSec VPN、EIP、IPS 等 VAS 服務(wù)。VPC 間流量防護場景一：多個VPC 關(guān)聯(lián)到同一個外部網(wǎng)絡(luò)當(dāng)多個 VPC 關(guān)聯(lián)到同一個外部網(wǎng)絡(luò)時，默認(rèn)各 VPC 間 L3 互通，因此不需要配置各VPC 間的互訪安全策略，租戶管理員單獨配置各VPC 使用的 VAS 服務(wù)即可。場景二：分別規(guī)劃每對VPC 間的互訪策略當(dāng)各VPC 間應(yīng)用間互訪關(guān)系相對固化，策略不需要頻繁變更時，可以選擇單獨規(guī)劃每一對VPC 間互通及互訪策略，此時各互通的 VPC 間

25、分別配置不同的 VAS 服務(wù)。網(wǎng)安一體化聯(lián)動方案方案概述網(wǎng)安一體聯(lián)動方案總體架構(gòu)圖如下：分析器：CIS、FireHunter：具備大數(shù)據(jù)安全分析和文件分析的能力，能夠通過文件， 流量和日志綜合分析，結(jié)合威脅情報，識別未知威脅，聯(lián)動安全控制器下發(fā)安全策略。控制器：SecoManager：安全控制器，根據(jù) CIS 下發(fā)的安全聯(lián)動策略任務(wù)自動化生成對應(yīng)安全控制策略，下發(fā)到對應(yīng)安全執(zhí)行器或網(wǎng)絡(luò)控制器進行執(zhí)行。Agile Controller-DCN：網(wǎng)絡(luò)控制器，通過與 SecoManager 聯(lián)動，接收其安全聯(lián)動策略，并下發(fā)給交換機等網(wǎng)絡(luò)設(shè)備進行執(zhí)行。執(zhí)行器：NGFW：接收安全控制器SecoManag

26、er 下發(fā)的具體指令，進行安全策略部署，實現(xiàn)安全處置閉環(huán)。交換機：接收網(wǎng)絡(luò)控制器Agile Controller-DCN 下發(fā)的具體指令，進行安全策略部署，實現(xiàn)安全處置閉環(huán)。數(shù)據(jù)采集CIS 日志采集器負責(zé)日志采集，實現(xiàn)日志/事件的高性能采集和預(yù)處理；日志采集流程包括日志接收、日志分類、日志格式化和日志轉(zhuǎn)發(fā)。Syslog 日志在上送大數(shù)據(jù)平臺之前要進行歸一化處理，將其轉(zhuǎn)換為大數(shù)據(jù)平臺能理解的統(tǒng)一格式。支持如下功能：支持采集網(wǎng)絡(luò)/安全設(shè)備上報的Netflow 數(shù)據(jù)支持采集第三方系統(tǒng)（ArcSight CEF 格式, IBM Qradar Json 格式）和安全設(shè)備的Syslog 日志；日志采集器到

27、大數(shù)據(jù)平臺的實現(xiàn) SSL 加密傳輸CIS 流探針或防火墻內(nèi)置流探針負責(zé)原始流量采集，通過優(yōu)化的DPI 技術(shù)高效提取原始流量的協(xié)議特性，實現(xiàn)高性能的流量數(shù)據(jù)采集和協(xié)議還原。流探針支持報文捕獲功能，生成的PCAP 文件保存在流探針的本地磁盤上，CIS 大數(shù)據(jù)安全平臺通過 HTTPS 定時讀取流探針上存儲的PCAP 文件流量采集主要功能包含：協(xié)議解析：支持HTTP 協(xié)議解析、郵件協(xié)議解析、DNS 協(xié)議解析、HTTPS 協(xié)議解析文件還原：支持還原通過HTTP 協(xié)議上傳/下載的文件還原；支持通過SMTP/POP3/IMAP4 協(xié)議發(fā)送的郵件的附件還原威脅檢測威脅檢測能力主要依靠CIS 的關(guān)聯(lián)分析、大數(shù)據(jù)

28、分析能力，其架構(gòu)如下。服務(wù)功能流探針負責(zé)對網(wǎng)絡(luò)中的原始流量進行數(shù)據(jù)協(xié)議特征提取，生成Netflow和 Metadata 數(shù)據(jù)，并將這些數(shù)據(jù)上送給大數(shù)據(jù)安全平臺。采集器負責(zé)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機和終端的日志和Netflow 數(shù)據(jù)采集，并對日志進行歸一化處理后轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺。大數(shù)據(jù)平臺負責(zé)接收采集器上報的歸一化日志和 Netflow 數(shù)據(jù)以及流探針上報的 Metadata 和Netflow 數(shù)據(jù)，并對上報數(shù)據(jù)預(yù)處理后進行分布式存儲和索引，為可視化管理子系統(tǒng)提供可視化展示的數(shù)據(jù)支 撐，為威脅檢測子系統(tǒng)提供歷史與實時數(shù)據(jù)訪問支撐。威脅檢測服務(wù)負責(zé)根據(jù)預(yù)置的檢測模型和自定義的檢測規(guī)則對歸一化日志

29、、Netflow 和 Metadata 數(shù)據(jù)進行實時/離線分析，檢測異常行為并對異常進行關(guān)聯(lián)和評估，從而發(fā)現(xiàn)并判定高級威脅。可視化平臺負責(zé)提供威脅可視化，智能檢測和配置管理等功能。WEB 異常檢測原理WEB 異常檢測主要用于檢測通過 WEB 進行的滲透和異常通信，從歷史數(shù)據(jù)中提取HTTP 流量元數(shù)據(jù)，通過分析HTTP 協(xié)議中的 URL、User-Agent、Refer 和上傳/下載的文件 MD5 等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測下載惡意文件、訪問不常見網(wǎng)站和非瀏覽器流量等異常。郵件異常檢測原理郵件異常檢測主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過分析 SMTP/POP3/IMAP

30、協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測收發(fā)件人異常、下載惡意郵件、訪問郵件服務(wù)器、郵件正文 URL 異常等。C&C 異常檢測原理C&C 異常檢測主要通過對協(xié)議流量（DNS/HTTP/3,4 層協(xié)議）的分析檢測 C&C 通信異常。基于DNS 流量的 C&C 異常檢測采用機器學(xué)習(xí)的方法，利用樣本數(shù)據(jù)進行訓(xùn)練，從而生成分類器模型，并在客戶環(huán)境利用分類器模型識別訪問 DGA 域名的異常通信，從而發(fā)現(xiàn)僵尸主機或者APT 攻擊在命令控制階段的異常行為。基于 3,4 層流量協(xié)議的C&C 異常檢測根據(jù) CC 通訊的信息流與正常通訊時的信息流區(qū)別，分

31、析CC 木馬程序與外部通訊的信息的特點，區(qū)分與正常信息流的差異，通過流量檢測發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的 CC 通訊信息流。對于基于HTTP 流量的C&C 異常檢測采用統(tǒng)計分析的方法，記錄內(nèi)網(wǎng)主機訪問同一個目的 IP+域名的所有流量中每一次連接的時間點，并根據(jù)時間點計算每一次連接的時間間隔，定時檢查每一次的時間間隔是否有變化，從而發(fā)現(xiàn)內(nèi)網(wǎng)主機周期外聯(lián)的異常行 為。流量基線異常檢測原理流量基線異常檢測主要解決網(wǎng)絡(luò)內(nèi)部的主機/區(qū)域之間（內(nèi)外區(qū)域之間、內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機之間、內(nèi)網(wǎng)主機與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機與區(qū)域之間）的異常訪問問題。流量基線是指網(wǎng)絡(luò)內(nèi)部主機之間、區(qū)域之間或者內(nèi)外網(wǎng)之間的訪問規(guī)則，包

32、括指定時間段內(nèi)是否允許訪問、訪問的頻次范圍、流量大小范圍等。流量基線可以有兩種來源：系統(tǒng)自學(xué)習(xí)和用戶自定義配置。流量基線自學(xué)習(xí)，就是系統(tǒng)自動統(tǒng)計一段時間內(nèi)（比如一個月）網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量信息，以此訪問和流量信息為基礎(chǔ)（對于流量數(shù)據(jù)，還會自動設(shè)置合適的上下浮動范圍），自動生成流量基線。用戶自定義流量基線：用戶手工配置網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量規(guī)則。流量基線異常檢測將自學(xué)習(xí)和用戶自定義的流量基線加載到內(nèi)存中，并對流量數(shù)據(jù)進行在線統(tǒng)計和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。隱蔽通道異常檢測原理隱蔽通道異常檢測主要用于發(fā)現(xiàn)被入侵主機通過正

33、常的協(xié)議和通道傳輸非授權(quán)數(shù)據(jù)的異常，檢測方法包括Ping Tunnel、DNS Tunnel 和文件防躲避檢測。Ping Tunnel 檢測是通過對一個時間窗內(nèi)同組源/目的 IP 之間的 ICMP 報文的載荷內(nèi)容進行分析和比較，從而發(fā)現(xiàn)Ping Tunnel 異常通信。DNS Tunnel 檢測通過對一個時間窗內(nèi)同組源/目的 IP 之間的 DNS 報文的域名合法性檢測和DNS 請求/應(yīng)答頻率分析，從而發(fā)現(xiàn) DNS Tunnel 異常通信。文件防躲避檢測通過對流量元數(shù)據(jù)中的文件類型的分析和比較，從而發(fā)現(xiàn)文件類型與實際擴展名不一致的異常。惡意文件檢測原理FireHunter 文件檢測經(jīng)過信譽查詢、

34、第三方 AV 檢測、靜態(tài)檢測引擎檢測、機器學(xué)習(xí)引擎檢測、CC 檢測引擎檢測、沙箱檢測引擎檢測，最終在威脅分析引擎進行對各個檢測結(jié)果進行關(guān)聯(lián)、聯(lián)合分析和威脅判定，最終給出威脅檢測結(jié)果。其中，沙箱檢測引擎，又包括了 web 啟發(fā)式引擎、PDF 啟發(fā)式引擎、PE 啟發(fā)式引擎和虛擬執(zhí)行環(huán)境引擎。FireHunter 可以針對主流的應(yīng)用軟件及文檔實現(xiàn)檢測、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可執(zhí)行腳本文件、媒體文件、LNK 文件、壓縮文件等軟件及文檔。關(guān)聯(lián)分析原理關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時序關(guān)系，從而發(fā)現(xiàn)有效的攻擊

35、。關(guān)聯(lián)分析采用了高性能的流計算引擎，直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當(dāng)多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認(rèn)為它們之間存在對應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。威脅判定原理威脅判定根據(jù)多個異常進行關(guān)聯(lián)、評估和判定產(chǎn)生高級威脅，為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。威脅判定按照攻擊鏈的階段標(biāo)識/分類各種異常，并以異常發(fā)生的時間為準(zhǔn)，通過主機 IP、文件 MD5 和 URL 建立異常的時序和關(guān)聯(lián)關(guān)系，根據(jù)預(yù)定義的行為判定模式判定是否高級威脅，同時根據(jù)相關(guān)聯(lián)的異常

36、的嚴(yán)重程度、影響范圍、可信度進行打分和評估，從而產(chǎn)生威脅事件。云端威脅情報華為資深安全專家和安全能力中心通過對第三方安全情報的收集分析，利用大數(shù)據(jù)、機器學(xué)習(xí)技術(shù)，生成各類云端信譽庫、特征庫。通過云端安全智能中心為各類安全設(shè)備提供云端威脅情報的定期升級，包括URL 分類庫，惡意 URL 庫、熱點域名列表、惡意文件信譽，IP 信譽，C&C 域名庫等，實現(xiàn)最新安全威脅的快速同步，提高威脅防御能力。聯(lián)動閉環(huán)保護網(wǎng)段保護網(wǎng)段可以理解為一臺防火墻保護的網(wǎng)段范圍。它可以通過手工的方式來配置，也可以與 AC-DCN 協(xié)同自動學(xué)習(xí)。通過保護網(wǎng)段，SecoManager 感知了 IP 地址和防火墻設(shè)備的關(guān)系，在聯(lián)

37、動策略下發(fā)的時候可以基于策略的源地址和目的地址自動找到承載策略的防火墻設(shè)備。下面是數(shù)據(jù)中心場景下，以 VPC1 為例，F(xiàn)W1 的保護網(wǎng)段為VM1、VM2、VM3 的 IP 地址，那么 VM1 訪問 Internet 的策略將自動下發(fā)到 FW1。通過這個原理，用戶在配置策略時就可以僅配置業(yè)務(wù)需求，而不需要關(guān)注具體是哪一個防火墻設(shè)備來實施這個策略。威脅閉環(huán)在數(shù)據(jù)中心場景，SecoManager 可以跟CIS 和AC-DCN 協(xié)同實現(xiàn)威脅閉環(huán)。威脅閉環(huán)支持主機隔離和基于 IP 阻斷 2 種特性。CIS 根據(jù)威脅范圍判斷下發(fā)主機隔離或基于 IP 阻斷，當(dāng)攻擊源在外網(wǎng)且需要阻斷攻擊源雙向流量時，向相應(yīng)的TOR 交換機下發(fā)主機隔離阻斷；其他威脅場景，向防火墻下發(fā)基于 IP 阻斷。主機隔離具體實現(xiàn)流程：CIS 通過異常檢測模型發(fā)現(xiàn)威脅事件，當(dāng)命中聯(lián)動規(guī)則后，CIS 下發(fā)對應(yīng)的聯(lián)動策略給 SecoManager 進行主機隔離，避免橫向擴散。SecoManager 收到主機隔離請求后，調(diào)用 AC-DCN 北向接口請求隔離。AC-DCN 根據(jù)隔離VM 的 IP 找到對應(yīng)的 TOR 交換