XX單位

安全感知平臺項目建設方案

目錄

1項目概況........................................................................1

1.1項目名稱..........................................................................1

1.2編制依據..........................................................................1

1.3項目立項依據......................................................................2

1.4項目建設的必要性..................................................................3

1.5項目建設目標......................................................................4

1.6總投資估算........................................................................5

2需求分析........................................................................5

2.1信息化和安全建設現狀分析..........................................................5

2.2行業現狀和攻防對抗需求分析........................................................6

2.2.1傳統威脅有增無減，新型威脅層出不窮............................................6

2.2.2已有檢測技術難以應對新型威脅...................................................7

2.2.3未知威脅檢測能力已經成為標配..................................................8

2.3現有安全體系的不足分析.............................................................8

2.3.1看不清自身業務邏輯............................................................9

2.3.2看不見潛藏威脅隱患............................................................10

2.3.3缺乏整體安全感知能力..........................................................11

3方案理念.......................................................................13

3.1看清業務邏輯.....................................................................13

3.2看見潛在威脅.....................................................................14

3.3看懂安全風險....................................................................15

3.4輔助分析決策.....................................................................16

4解決方案.......................................................................16

4.1方案概述..........................................................................16

4.2安全感知系統.....................................................................17

4.2.1系統架構......................................................................17

4.2.2部署拓撲......................................................................18

4.2.3組件實現......................................................................19

4.2.4主要功能.....................................................................28

4.3監測響應服務......................................................................41

4.3.1安全事件監測、預警和通報.....................................................41

4.3.2安全事件應急響應處置.........................................................42

4.3.3重要時期信息安全保障.........................................................44

4.3.4常規駐場值守服務.............................................................44

5方案價值和主要技術優勢.........................................................44

5.1全網業務資產可視化...............................................................44

5.2全網訪問關系可視化...............................................................45

5.3多維度威脅檢測能力...............................................................47

5.4安全風險告警和分析...............................................................48

5.5全局視角態勢可感知...............................................................49

6價格估算表.....................................................錯誤!未定義書簽。

2

1項目概況

1.1項目名稱

XX市局網絡安全態勢感知項目

1.2編制依據

《中華人民共和國網絡安全法》

《“十三五”國家信息化規劃》(國發(2016)73號)

《信息系統安全等級保護基本要求》(GB/T22239-2008)

《信息安全技術信息系統通用安全技術要求》(GB/T20271-

2006)

《信息安全技術信息系統安全管理要求》(GB/T20269-2003)

《信息安全技術信息系統安全工程管理要求》(GB/T20282-

2006)

《信息安全技術網絡基礎安全技術要求》(GB/T20270-2005)

《國務院關于大力推進信息化發展和切實保障信息安全的若干

意見》

《國家信息化領導小組關于加強信息安全保障工作的意見》

《市、縣兩級機關“云上、智能防控”第一戰略建設第一批任

務清單》(浙公辦(2017)157號)

1.3項目立項依據

習近平總書記在2016年“419講話”中提出“全天候全方位感

知網絡安全態勢”，將網絡安全的思維模式從單純強調防護，轉變

到注重預警、檢測、響應的格局，安全能力從“防范”為主轉向

“持續檢測和快速響應”，實時防御將以威脅為中心，以數據為驅

動解決安全問題。

2016年12月27日，國務院全文刊發了《“十三五”國家信息化

規劃》，再次強調了態勢感知的重要性，“十大任務”中的最后一

項，“完善網絡空間治理體系和健全網絡安全保障體系”，再次提

出“全天候全方位感知網絡安全態勢”。

2017年6月1日正式實施《中華人民共和國網絡安全法》，明確

指出國家建立網絡安全監測預警和信息通報制度，相關部門應加強

網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全

檢查信息，采取監測、記錄網絡運行狀態、網絡安全事件的技術措

施，并按照規定留存相關的網絡日志不少于6個月；。

2017年7月28日，XX省廳下發《市、縣兩級機關“云上、智能防

控”第一戰略建設第一批任務清單》（浙公辦（2017）157號）文件

要求，開展網（含視頻專網）網絡流量還原取證系統建設，通過流

量鏡像方式記錄關鍵網絡節點的網絡流量數據，能夠在網（含視頻

專網）發生異常網絡攻擊和入侵后，能夠通過倒查還原網絡流量數

據及時進行準確定位和取證，流量還原審計數據應保存6個月以上；

2

1.4項目建設的必要性

隨著網絡信息化工作的不斷深入，信息主導警務的趨勢日益明

顯，信息通信網同外部接入單位之間的數據交換量逐漸增大，網絡

的攻擊、入侵、病毒、木馬等各種類型的安全威脅日益增大，信息

通信網上信息的完整性、安全性面臨的挑戰越來越多。

1、安全事件分析難度大，安全威脅處理陷入困局

隨著通信網絡的不斷延伸與擴展，網絡中的設備數量和服務類型

也越來越多，網絡中的關鍵安全設備和業務服務器產生了大量的安

全事件日志，安全運維人員面對這些數量亙大、彼此割裂的安全信

息，操作著各種產品自身的控制臺界面和告警窗口，工作效率極

低，難以發現真正的安全隱患。

2、網絡攻擊越來越復雜，安全問題難以檢測

云計算技術的發展將IT資產不斷向虛擬化遷移，業務的增刪查

改變化大，IT業務向互聯網、移動互聯網、公有云的演進為攻擊者

提供了更多的攻擊向量，安全邊界變得越發模糊，而傳統的安全防

御模式還停留在網絡與應用系統，導致看不清資產變化，看不清業

務訪問關系，更看不清內部的橫向攻擊、異常訪問與違規操作，黑

客一旦突破邊界以后，往往利用合法用戶身份滲透內部其他業務系

統，竊取核心數據,

3、貫徹落實政策文件要求，全面加強信息安全建設

3

根據習近平主席“419講話”精神和《網絡安全法》等相關政策

文件要求，結合我局安全建設需求，形成一套符合我局防御、監測

、響應為一體的安全體系，對于全面推進我局安全建設具有指導意

義。一方面消除高危安全隱患，提高抵御攻擊能力，從整體上提高

安全防護與監測水平；另一方面，通過建立快速的事件響應與處理

機制，配合專業安全專家團隊，防止因為響應能力不足導致安全威

脅擴散，提升響應速度，提升響應效果，形成最佳實踐。

1.5項目建設目標

本項目的建設目標是：強化XX市局網絡信息安全監測預警能

力，主要解決當前網網絡的信息安全監測預警能力薄弱、數據來源

單一等問題，進一步提高網突發安全事件監測和預警能力，實現市

級結點和地市結點安全風險的監測、預警、通報、整改、反饋、分

析等工作的閉環管理C

通過部署監測管理平臺、網絡安全監測探針等，實現有效發現

未知威脅攻擊，達到從局部安全提升為全局安全、從單點預警提升

為協同預警、從模糊管理提升為量化管理的效果。實現以下效果：

＞從防御層次向“持續檢測、快速響應”步進，打造一站式的

“預防，檢測，響應，加固”的四維服務，真正做到“安全

態勢可感知、安全威脅可預警、異常行為可監控、安全價值

可呈現”

4

＞對現有業務系統核心資產進行識別，梳理用戶與資產的訪問

關系；

＞對繞過邊界防御的進入到內網的攻擊進行檢測，以彌補靜態

防御的不足，第一時間發現已發生的安全事件；

＞對內部用戶、業務資產的異常行為進行持續的檢測，發現潛

在風險以降低可能的損失；

＞對業務資產存在的脆弱性進行持續檢測，及時發現業務上線

以及更新產生的漏洞及安全隱患；

＞對全市網的風險進行可視化的呈現，看到全網的風險以實現

有效的安全處置；

1.6總投資估算

本項目總投資估算110萬元，其中軟硬件設備投資105萬，集成

和服務費5萬。

2需求分析

2.1信息化和安全建設現狀分析

內網建設是業務信息化建設的先導工程，XX市局按照部和省廳

的網絡安全和信息化發展的工作要求，結合本地的業務建設規模和

特色，以統籌協調全市機關單位全面提升網基礎網絡建設、安全建

設、業務建設為目標，構建XX市體系信息化建設，已建成警用地理

平臺、城市視頻監控系統、警務綜合平臺、綜合查詢等關鍵業務系

5

統系統。從2013年開展網網絡信息安全保障體系的規劃設計及建設

工作，目前項目各項建設工作進展正常。近年來重點完成了兩方面

的工作：一是有效支撐了全市各分局網絡信息安全建設方向和保密

檢查工作；二是構建全市網信息安全服務支撐體系。初步形成了我

局網絡與信息安全工作推進的長效機制，實現了信息安全保障工作

的體系化和常態化，全面提高了網內網業務安全水平。

為了進一步加快我局網絡安全體系建設，推動各部門利用網絡

便捷安全的開展各類應用，充分發揮網的作用和效能，根據部和省

廳相關政策文件精神，提升我局網絡網絡信息安全保障體系的服務

能力，增加網信息安全基礎設施及技術手段，加強安全威脅監測能

力和預警能力，確保我局網安全運行和健康發展是我局網安全建設

的主要課題。

2.2行業現狀和攻防對抗需求分析

2.2.1傳統威脅有增無減，新型威脅層出不窮

隨著網承載的業務越來越多，邊界越來越多，信息安全的問題

也隨之越來越嚴峻c目前，木馬、勒索病毒、僵尸網絡等新型攻擊

層出不窮，分布式拒絕服務（DDOS攻擊）、高級持續威脅（APT攻

擊）等網絡攻擊愈演愈烈。

以APT攻擊為例，傳統的安全防御工具已無法進行有效的防御。

APT攻擊不是一個整體，而是將眾多入侵滲透技術進行整合而實現的

隱秘性的攻擊手法，可以在很長一段時間為逐步完成突破、滲透、

6

竊聽、偷取數據等任務，其體現出兩方面的特點一一“針對性”和

“持久性”。APT攻擊的主要目標行業有政府、軍隊、金融機構、電

信等行業，主要途徑是通過電子郵件、社交網站、系統漏洞、病毒

等一系列方式入侵用戶電腦。

2.2.2已有檢測技術難以應對新型威脅

傳統的防御措施主要是依靠防火墻技術、入侵檢測技術以及防

病毒技術，任何一個用戶，在剛剛開始面對安全問題的時候，考慮

的往往就是這三樣，傳統的防御雖然起到了很大的作用，但還是面

臨著許多新的問題。

首先，用戶系統雖然部署了防火墻，但仍然避免不了蠕蟲泛

濫、垃圾郵件、病毒傳播以及拒絕服務的受擾。并且未經大規模部

署的入侵檢測單個產品在提前預警方面存在著先天的不足，且在精

確定位和全局管理方面還有很大的空間。

其次，雖然很多用戶在單機、終端上都安裝了防病毒產品，但

是內網的安全并不僅僅是防病毒的問題，還包括安全策略的執行、

外來非法侵入、補丁管理以及合規管理等方面。

所以說，雖然傳統的防御仍然發揮著重要作用，但是用戶已漸

漸感覺到其不足之處，因為它已經無法檢測和防御新型攻擊。簡單

的說，網絡攻擊技術已經超過了目前大多數企業使用的防御技術。

7

2.2.3未知威脅檢測能力已經成為標配

Gartner公司的2016年信息安全趨勢與總結中提出，當前我們所

知道的關于安全的一切都在變化：常規路線逐漸失控；所有的實體

需要識別潛在的攻擊者；大量的資源將會組合使用；常規安全控制

手段逐漸失效；需要從以堆疊來保護信息的方式進行改變；入侵、

高級持續性攻擊極難被發現。

在《Gartner2016年信息安全趨勢與總結》中提出：傳統的安

全手段無法防范APT等高級定向攻擊；隨著云計算、BY0D的興起，用

戶的IT系統將不在屬于用戶自己所有或維護管理；僅僅靠防范措施

是不能夠應對安全威脅，安全監控和響應能力是安全能力的一個關

鍵點；沒有集體共享的威脅和攻擊的情報，單個企業將無法保衛自

己。報告中還發表了一個數據，預測2020年，60%的信息安全預算的

將用于快速檢測和響應方面，而2013還不到10%。

2.3現有安全體系的不足分析

目前，之所以難以及時發現黑客入侵的主要原因可以總結為

“三個看不清”和“三個看不見”，繼而由此產生了的安全技術保

障體系和安全治理管理體系的脫節，簡單堆砌的防火墻、入侵檢

測、防病毒等產品無法提供管理決策所需的數據支撐，而管理決策

體系確定的安全策咯也缺乏對應的抓手卻檢測是否真正實現和落地

To

8

2.3.1看不清自身業務邏輯

信息安全保障的是核心業務和數據資產，如果我們都不清楚被

保護的主體包含了哪些系統、哪些資產以及他們之間是如何交互、

如何互相訪問的，那么就談不上建立針對性的安全保障體系。越來

越多的黑客攻擊已經開始基于業務邏輯和業務流開始構建自己的攻

擊過程，例如著名的孟加拉央行劫案，都不是通用安全防護設備能

夠應對的；而來自惡意內部員工的竊密和攻擊，多數時候甚至都不

是嚴格意義上的網絡攻擊行為，更加無法依賴標準化交付的安全產

品實現。

而“看不清”自身業務主要包括以下三個維度：

＞看不清的新增資產產生安全洼地

關鍵IT資產的梳理和清單目錄是許多IT運維人員最頭疼的問

題，特別是隨著IT資產逐步向虛擬化遷移，新增部署一臺虛擬機往

往只需要數分鐘的時間，而在服務器上開啟服務或者端口的管控機

制也不健全。

看不清的新增資產會因為缺少安全檢查與訪問控制，成為攻擊

者攻入關鍵業務區的跳板；看不清的資產配置信息及開放的服務端

口，會由于缺乏安全訪問規則的控制，成為遠程接入的最佳途徑；

看不清的資產漏洞，會由于沒有適當的安全加固，最簡單的攻擊代

碼就能輕易攻陷這些機器。

9

＞看不清的業務關系使業務安全防護失效

目前大部分安全防護的重點均停留在網絡與應用系統側，對業

務與數據訪問的防護還不健全。黑客在突破和繞過邊界以后，往往

利用合法用戶的計算機與身份對數據庫、財務系統、客戶關系管理

系統等關鍵資產進行非法訪問、數據竊取與資產破壞行為。而這些

訪問往往只是正常的增刪查改操作，并不需要借用攻擊代碼或惡意

軟件，傳統基于網絡和應用系統的防御措置往往無法識別。

＞缺乏有效手段主動識別新增業務

過去的IT管理需要大量管理設備與專業人士進行業務資產的識

別與梳理，很多情況下要發現新增業務資產往往只能依賴定期的安

全巡檢，效率不高且滯后。如果不能通過自動化的手段對新增業務

資產及其開放端口、使用協議、系統配置信息進行識別，以及對關

鍵業務訪問關系及其流量模型的可視化呈現，那么管理人員手里的

資產臺賬永遠都只是過去時態，難以應對安全事件分析的需求。

2.3.2看不見潛藏威脅隱患

“三個看不見”，即看不見黑客發起的內網橫向攻擊、看不見

內部人員的違規操作以及看不見內網異常行為，其中：

第一個看不見是指攻擊者繞過邊界防護后，發生在內網的橫向

移動攻擊是無法檢測到的，例如通過失陷主機向內網業務資產或業

10

務資產管理員發起的橫向移動或者跳板攻擊，包括內網嗅探、內網

掃描、漏洞利用、遠程控制、攻擊會話等都無法被邊界設備檢測；

第二個看不見是指攻擊者的行為往往不是病毒、漏洞利用等明

顯惡意行為，而是通過社會工程學、釣魚、跳板等更加隱蔽的手段

獲取高級管理員的賬號與權限，同時，內部潛藏的惡意用戶也會通

過竊取、窺探等手段獲得合法權限；

第三個看不見是指攻擊者在嗅探、突破、滲透、橫移、會話維

持、捕獲占領的整個攻擊鏈中，會將關鍵文件進行打包加密甚至隱

寫，所有的網絡會話也會在加密通道上傳輸，而會話維持以及遠程

控制服務器的通信會夾雜在代理、VPN隧道、NTP、DNS等正常網絡協

議中混淆視聽，從而隱藏自己的攻擊行為。

在看不見的環境中與黑客較量無異于遮住眼睛與人搏斗，只有

看清了全網業務和流量，對內部的攻擊行為、違規操作和異常行為

進行持續檢測，利用威脅情報、流量監測、機器學習等核心技術有

效識別內網中潛伏的威脅，才能通過可視化平臺將這安全狀態實時

地展現給安全部門，從而讓內鬼和黑客無所遁形。

233缺乏整體安全感知能力

安全技術保障體系和安全治理管理體系的脫節，主要是指安全

組件發現的安全問題缺乏相應的檢測分析能力和追溯能力，無法提

供有效的事件應對處置閉環；而安全治理所需系統狀態、安全態勢

也缺乏相應的感知和可視手段，無法實現真F的看到和看懂。

11

關?風a分析金全覺狀評估

肛BIN

—cm

以7木i9

圖2-1傳統的安全體系缺乏看到看懂的感知環節

＞事后難以追溯取證

市面上絕大多數網絡安全類產品只能保持HTTP、DNS等常見應用

日志的記錄，而ARP請求、數據包和特殊的網絡行為則無法存儲和識

別。這將導致日志記錄太過單一，引起文件誤報等行為，給用戶決

策帶來干擾。其次，在追溯網絡犯罪過程中沒有原始的數據包作為

支撐，當我們故障排查的時候很難準確定位問題環節，阻礙深入追

溯分析的進行，給攻擊目標帶來無法挽回的損失。

＞單點檢測管中窺豹

現如今的安全防御軟件檢測方式單一。如傳統防火墻根據一定

格式的協議對文件訪問進行過濾，不能防范攻擊者IP欺騙攻擊；反

病毒軟件根據病毒特征或者黑白名單判斷文件攻擊性，無法阻止變

種軟件攻擊等。而當前新型病毒具備多樣性和高度隱藏功能，能夠

在不同的環境中通過合理的變形和偽裝躲避反病毒軟件的查殺，最

終侵入系統核心部位爆發。

12

這些新型攻擊手段，顯然需要防御者能夠綜合分析多維度的信

息，進行綜合判斷才能進行及時的檢測和處置。

3方案理念

針對傳統安全保障體系難以新型威脅和APT攻擊，以及缺乏看到

看懂的感知環節的不足，提出了基于行為檢測和關聯分析技術、對

全網流量進行安全監測的可視化和預警檢測解決方案。方案設計體

現適用性、前瞻性、可行性的基本原則，實現安全效果可評估、安

全態勢可視化。主要基于“看清業務邏輯、看見潛在威脅、看懂安

全風險、輔助分析決策”的思路進行設計實現的。

圖3」安全感知平臺整體邏輯架構

3.1看清業務邏輯

信息安全的核心目標是解決組織和企業核心業務的安全、穩定

運行，如果安全檢測系統不了解信息系統的資產有哪些、業務邏輯

關系如何，而是無論在哪一個客戶的網絡中都復用同一套安全判斷

13

準則，那么它提供的檢測能力顯然是脫離實際的。所以未知威脅檢

測和安全感知的首要需求就是看清業務邏輯，即：

＞能夠對業務系統的核心資產進行識別，梳理用戶與資產的訪問關

系；

＞對業務資產存在的脆弱性進行持續檢測，及時發現新業務上線以

及系統更新產生的漏洞及安全隱患，識別新增業務資產以及業務

訪問關系；

3.2看見潛在威脅

信息安全是一個涉及多個領域的復雜問題，攻擊者可能包括外

部黑客、心懷不滿的員工、以及內外勾結等各種情況，攻擊途徑更

是包括了暴力攻擊、社會工程學、惡意代碼、APT、漏洞利用等等數

百種不同手段。防御者需要全面監控，但攻擊者只需要一點突破即

可，如果沒有系統的檢測能力，即使別人告訴你被黑客攻擊了，都

找不出黑客是怎么攻擊的。

而新一代的未知威脅檢測和安全感知技術，正是由于其對現有

業務及其邏輯關系具備深入的理解，就能夠有別于傳統檢測系統，

實現更加全面的潛伏威脅檢測和安全態勢感知分析能力：

＞傳統的安全防御體系過于關注邊界防護，對繞過邊界防御的進入

內網的攻擊缺乏監測手段，需要對東西向流量和訪問行為進行監

測和分析，彌補傳統邊界和靜態防御的不足；

14

＞黑客攻擊過程特別是以竊取信息為目的的APT攻擊，都具備較長

的攻擊鏈條，如果能夠對網絡內部信息資產已發生的安全事件進

行持續檢測，就能夠通過對不同事件和告警之間的關聯分析，真

正還原整個攻擊鏈從而及時遏止黑客進一步攻擊，在產生實際危

害前進行封堵；

＞對內部用戶、業務資產的異常行為進行持續檢測，通過建立合法

行為基線，對傳統入侵防御系統無能為力的內鬼作案和內外勾結

竊取敏感信息行為進行監控；

＞針對新型威脅快速更新迭代的特點，就更加需要建立海量威脅情

報關聯體系，通過國內外權威情報庫和云端關聯強化新型威脅檢

測能力；

3.3看懂安全風險

信息安全系統除了需要能夠及時發現問題外，還需要保障系統

的易用性，確保客戶技術人員能夠方便快速的發現安全問題、了解

影響范圍、定位問題源頭，提供響應的展示告警和分析舉證服務。

只有人性化的安全事件分析告警和舉證分析服務，才能真正為安全

保障部門的事件分析和應急處置提供有效幫助：

＞打破傳統的網絡拓撲展示局限，采取基于系統業務邏輯的業務訪

問視圖，安不安全、哪里不安全一目了然；

＞從運維和安全應急人員視角，在失陷業務、風險用戶和有效攻擊

等不同維度分析和展示安全風險，方便定位安全問題；

15

3.4輔助分析決策

除了專業的威脅檢測和風險分析效果，安全感知的核心目

標還是全面展示安全態勢與輔助安全決策分析：

＞安全態勢展示：可視化的形式呈現關鍵業務資產及針對關鍵業務

資產的攻擊與潛在威脅，通過全網攻擊監測、分支機構監管、風

險外聯監測等多個不同視角的大屏展示，提供對失陷業務和主機

的報告導出和分析服務，為信息安全主管提供駕駛艙式的輔助決

策服務。

＞輔助決策分析：通過訪問邏輯展示、主機威脅活動鏈分析、安全

日志舉證和查詢、以及基于特定資產的深度業務邏輯分析和威脅

攻擊鏈鉆取（潛伏威脅黃金眼），更是可以快速定位問題影響和

源頭，進行相應的分析研判；

4解決方案

4.1方案概述

基于“看清業務邏輯、看見潛在威脅、看懂安全風險、輔助分

析決策”的思路，安全感知解決方案主要通過技術監測平臺和相關

安全監測服務共同實現，由安全感知系統建立基本的潛伏威脅檢測

和安全感知能力，而專業的云端安全專家和應急響應專家團隊則為

客戶提供系統的檢測響應閉環服務。

16

4.2安全感知系統

4.2.1系統架構

MMKUi

tyvxrix-.Lf.znxb"T*公，陽川

-FvnrtiMMN

t?CUI

心充.玻價孰“常行為》.■汕[犬**

IIr：E5￡1CNVO

*2./行為1由■經■ICNCtRT

ViriTotel

CNNVD

ANVA

夏金BHt，口IFUEsptoitM

AaMfc/UWLMMHMAPF

""方?甲K

CVt

?flAFt

E4NKS3.48

hXM*I[ZlM伊*?ua|

圖3-2安全感知平臺系統架構

安全感知平臺是基于威脅建模、行為分析技術，對全網流量進行

檢測分析的可視化平臺，支持模塊化的方式逐步引入多種數據源，基

于大數據分析和威脅情報共享技術提供全網安全感知和預警服務。

圖3-3安全感知平臺數據流程

＞采集層基于探針/EDR/其他安全設備進行收據收集，數據來源更齊

17

全。

＞核心處理層采用安全感知平臺進行簡單交付，應用最前沿的UEBA

（用戶和實體行為分析）、威脅建模、機器學習等新型技術，特

征檢測和行為檢測相結合，威脅檢測能力大幅度加強；

＞威脅情報源以的千里馬實驗室為核心，結合CNVD、CNCERT、CNNVD、

MAPP、CVE等眾多合作單位，提供數據最廣的威脅情報來源。

＞展示/控制層面，提供資產狀態、報表平臺、全網可視化平臺幫助

用戶直觀的掌握現有業務安全風險。

結合安全服務云打造7*24小時的安全服務，主動發現未知威脅,

對網業務進行持續安全監測與快速應急響應，解決安全黑洞與安

全洼地的問題，做到快速及時的發現和處理網絡安全事件。

4.2.2部署拓撲

圖3-4安全感知平臺部署邏輯拓撲圖

18

在XX市局網絡的重要匯聚結點和區縣網絡核心交換旁路部署潛

伏威脅探針，在市局部署安全感知平臺進行綜合分析和展示，分支大

屏可以讓市局管理人員全局把控和了解全市網的安全狀態，對每個區

縣網絡安全狀態進行實時監測預警。

4.2.3組件實現

全網安全感知平臺核心主要由威脅潛伏探針、安全感知系統兩

部分組成，并提供基于安全服務云的深度分析、威脅關聯和服務響

應能力。威脅潛伏探針構筑在64位多核并發高速硬件平臺之上，采

用自主研發的并行操作系統(SangforOS),將轉發平面、安全平面

并行運行在多核平臺上，多平面并發處理，緊密協作，極大的升了

網絡數據包的安全處理性能。安全感知系統利用大數據并行計算框

架支撐關聯分析、流量檢測、機器學習等計算檢測模塊，從而實現

海量數據分析協同的全方位檢測服務。

4.2.3.1威脅潛伏探針

19

圖4-1潛伏威脅探針數據采集架構

＞分離平面設計

威脅潛伏探針通過軟件設計將網絡層和應用層的數據處理進行

分離，在底層以應用識別模塊為基礎，對所有網卡接收到的數據進

行識別，再通過抓包驅動把需要處理的應用數據報文抓取到應用

層。若應用層發生數據處理失敗的情況，也不會影響到網絡層數據

的轉發，從而實現高效、可靠的數據報文處理。

＞多核并行處理

威脅潛伏探針的設計不僅采用了多核的硬件架構，在計算指令

設計上還采用了先進的無鎖并行處理技術，能夠實現多流水線同時

處理，成倍提升系統吞吐量，在多核系統下性能表現十分優異，是

真正的多核并行處理架構。

＞單次解析架構

威脅潛伏探針采用單次解析架構實現報文的一次解析一次匹

配，有效的提升了應用層效率。實現單次解析技術的一個關鍵要素

就是軟件架構設計實現網絡層、應用層的平面分離，將數據通過

“0”拷貝技術提取到應用平面上實現威脅特征的統一解析和統一檢

測，減少冗余的數據包封裝，實現高性能的數據處理。

A跳躍式掃描技術

20

威脅潛伏探針利用多年積累的應用識別技術，在內核驅動層面

通過私有協議將所有經過探針的數據包都打上應用的標簽。當數據

包被提取到內容檢測平面進行檢測時，設備會找到對應的應用威脅

特征，通過使用跳躍式掃描技術跳過無關的應用威脅檢測特征，減

少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么

FTPserver-u的相關漏洞攻擊特征便不會對系統造成威脅，便可以

暫時跳過檢測進行轉發，提升轉發的效率。

＞流量記錄

能夠對網絡通信行為進行還原和記錄，以供安全人員進行取證

分析，還原內容包括：TCP會話記錄、Web訪問記錄、SQL訪問記錄、

DNS解析記錄、文件傳輸行為、LDAP登錄行為。

＞報文檢測引擎

可實現IP碎片重組、TCP流重組、應用層協議識別與解析等，具

備多種的入侵攻擊模式或惡意URL監測模式，可完成模式匹配并生成

事件，可提取URL記錄和域名記錄，在特征事件觸發時可以基于五元

組和二元組（IP對）進行原始報文的錄制。

＞SangforRcgexiE則引擎

正則表達式是一種識別特定模式數據的方法，它可以精確識別

網絡中的攻擊。經安全專家研究發現，業界已有的正則表達式匹配

方法的速度一般比較慢，制約了探針的整機速度的提高。為此，設

計并實現了全新的SangforRegex正則引擎，將正則表達式的匹配速

21

度提高到數十Gbps,比PCRE和Google的RE2等知名引擎快數十倍,達

到業界領先水平。

威脅潛伏探針的SangforRegex大幅降低了CPU占用率，有效提

高了威脅潛伏探針的整機吞吐，從而能夠更高速地處理客戶的業務

數據，該項技術尤其適用于對每秒吞吐量要求特別高的場景，如運

營商、電商等。

4.23.2安全感知平臺

智安全：人工智能+安全專家

海量數據聚合、處理

圖4-2安全感知平臺實現架構

＞資產業務管理

按照功能劃分，內網設備可分為資產和業務。安全感知平臺可

以主動識別內網資產，主動發現內網未被定義的設備資產的IP地

址，無需用戶進行繁瑣的統計和錄入，節省用戶時間。資產配置詳

情展示模塊，可以識別內網服務器資產的IP地址，操作系統，開放

22

端口以及傳輸使用協議和應用。業務與資產關系展示模塊，能夠按

資產IP地址/地址段，組合成為特定的業務組。

＞內網流量展示

訪問關系展示模塊，通過訪問關系學習展示用戶、業務系統、

互聯網之間訪問關系，能夠識別訪問關系的who、what、when.

howo通過顏色區分不同危險等級用戶、業務系統。內網違規訪問、

攻擊行為、異常流量的圖形化展示，展示為網針對不同業務資產的

正常訪問、違規訪問、攻擊行為、異常流量，并用不同顏色加以區

分，讓用戶查閱更直觀。

＞監測識別知識庫

安全感知平臺內建的檢測識別知識庫，涵蓋的應用類型超過

1100種，應用識別規則總數超過3000條，具備億萬級別URL識別能

力；知識庫涵蓋的入侵防護漏洞規則特征庫數量超過4000條，入侵

防護漏洞特征具備中文介紹，包括但不限于漏洞描述、漏洞名稱、

危險等級、影響系統、對應CVE編號、參考信息和建議的解決方案；

知識庫具備獨立的僵尸主機識別特征庫，惡意軟件識別特征總數在

50萬條以上。

＞日志收集和關聯

安全感知平臺可以收集和分析公司的下一代防火墻（NGAF）、

端點安全系統（EDR）相關日志和告警信息，并進行相應的分析和關

23

聯，同時對于平臺分析發現的安全隱患，也可以迅速調用這些防護

系統阻斷和查殺響應的安全隱患和攻擊代碼。

對于支持syslog的第三方安全設備，平臺同樣支持相關日志的

搜集、存儲和查詢服務。

＞可視化平臺

全網攻擊監測可視化平臺支持安全態勢感知，對全網安全事件

與攻擊的地圖展現與可視化展現。按攻擊事件、攻擊源、攻擊目

標、攻擊類型、危害級別進行統計與展示。可視化平臺支持全網業

務可視化，可以呈現全網業務對象的訪問關系與被入侵業務的圖形

化展示。支持用戶自定義的業務資產管理的可視化。支持對經過設

備的流量進行分析，發現被保護對象存在的漏洞（非主動掃描）。

業務外連監控大屏，展示資產、業務被外網攻擊的實時動態地圖，

圖形化大屏展示。分支安全監測，能夠以地圖拓撲的形式展示分支

機構/被監管機構的安全狀態，對風險狀態進行排名并羅列分支機構

/被監管機構的安全趨勢。安全日志展示支持所有安全設備的安全

日志匯總，并能夠通過時間、類型、嚴重等級、動作、區域、IP、

用戶、特征/漏洞ID、回復狀態碼、域名/URL、設備名稱等多個條件

查詢過濾日志。

＞風險可視化

基于等保部分要求，展示以用戶組為粒度的風險詳情及對業務

系統的影響情況，風險用戶可視化對高危用戶進行可視化展示，對

24

高危用戶的風險操作、攻擊行為、違規行為、影響業務進行可視化

展現，并按確定性分類為失陷用戶、高危用戶、可疑用戶。風險業

務可視化，對高危業務進行可視化展示，對業務的有效攻擊、篡

改、后門的攻擊路徑進行圖形化和可視化的展示，并按確定性分類

為失陷業務、高危業務、可疑業務。

＞大數據分析引擎

大數據分析引擎負責實現各類檢測能力及大數據關聯分析能

力。該引擎由數據預處理、數據融合、模型構建、模型融合、分析

結果生成等主要模塊構成，以MapReduce為底層計算框架、以MLib和

Tensorflow作為主要機器學習框架，實現了SVM、貝葉斯網絡、隨機

森林、LDA、DGA、馬爾科夫聚類、iForesuRNN等關鍵機器學習算

法，從而支撐UEBA、失陷主機檢測、及大數據關聯分析等安全能

力C

＞管理功能

管理功能由多個模塊組成。登錄模塊支持用戶身份安全認證模

式，多次登錄失敗將鎖定賬號5分鐘內不得登錄，支持用戶初次登陸

強制修改密碼功能；升級模塊支持在線升級和離線升級兩種升級方

式，并支持定時自動升級，平臺統一管控探針的升級；用戶管理模

塊支持新增并管理用戶，可控制用戶使用權限，權限包括讀取和編

輯；時間管理模塊支持時間同步，支持NTPV4.0協議；網絡管理模

塊提供網絡管理功能，可進行靜態路由配置；設備管理模塊可實時

25

監控設備的CPU、內存、存儲空間使用情況，能夠監控監聽接口的實

時流量情況；數據管理模塊可以分析統計1天或1周時間內的文件還

原數量情況及各個應用流量的大小和分布情況。

4.2.3.3安全服務云

圖4-3安全服務實現架構

安全服務云是為VIP用戶打造的專業安全服務體系，有別與傳統

被動應急響應服務。新安全理念下的閉環版務設計。旨在快速發

現，主動響應問題C主要由深圳安全專家、全國各區域安全服務工

程師、攻防研究和開發團隊三大部分組成。由深圳安全專家團隊運

營大數據平臺，根據事件分類做出主動響應安排。

A安全威脅情報

26

安全云威脅情報中心不斷的挖掘和監測業內高危漏洞事件，并

分析漏洞危害及影響范圍，快速向用戶告警。當ODay漏洞事件爆發

后，威脅情報預警與處置中心會在48小時為制作出針對該事件的熱

點事件庫，事件庫包含：事件內容、詳細威脅說明、檢測工具、防

護規則。

puvem.eu

■次發現：201509X)618:12:33UTC

攻擊JI;忘尊病同?訪活動：2016-11-28072106UTC

?艇務同位.Portugal(Portugal)高峰值201602.1912:14:57UTC113630次)

僖息可視化

I關聯他目圖

QSIP

O工儂

o篇

I坡心礴

圖4-4大數據威脅情報能力

＞權威的安全專家團

專家團隊由業內權威專家組成，20人的安全服務專家團隊，70

人的安全實驗室。其中有業內知名的白帽子，具有多年從事安全攻

防對抗經驗，為多個漏洞平臺如烏云、補天等提供過眾多重大漏

洞。為服務過程中的重大決策和計劃提供技術指導和咨詢。

＞區域安全服務團隊

27

依托公司的人才儲備優勢，技術隊伍人員結構合理。目前安全

服務團隊擁有約200人的一線安全工程師隊伍。分布圍繞著為公司的

人才核心目標，努力搭建一個有特色的學習型服務團隊，提供一套

完整的服務體系。

4.23.4其他安全組件

＞下一代防火墻

下一代防火墻NGAF提供L2-L7層安全可視的全面防護，通過雙向

檢測網絡流量，有效識別來自網絡層和應用層的內容風險，抵御來

源更廣泛、危害更明顯的應用層攻擊。

＞端點安全系統

很多管理人員都開始逐漸意識到，要想把惡意攻擊者完全攔截

在企業環境之外不像部署防火墻和防病毒軟件那么簡單。大多數黑

客都能夠利用定制的惡意軟件繞過傳統的防病毒解決方案，所以需

要采取更為主動強大的方法來保護端點，兼備實時監控、檢測、高

級威脅分析及響應等多種功能。

4.2.4主要功能

從企業網絡安全建設的角度看，過去的網絡流量可以說是非黑

即白，黑即風險流量，白即安全流量，防火墻類邊界防護設備的黑

白名單過濾配合基于特征的方法就能攔截大多數威脅。然而隨著互

聯網接入設備的日益增加、網絡結構的日益復雜，網絡環境出現了

28

越來越多的可利用弱點，黑客攻擊的方式也在不斷改進和變異，形

成了黑和白之間的灰色區域，并且規模仍在不斷擴大。

傳統方法難以有效發現灰色區域中潛在的風險，對此我們采取

了一種應對未知威脅的關鍵技術，通過這些技術可以更快更準的發

現黑客入侵的蹤跡，從而將黑客的攻擊計劃扼殺在搖籃之中。針對

黑客攻擊特點的設計實現，統籌考慮黑客攻擊鏈的每個環節，是在

黑客攻擊手段不斷升級的今天監護內網安全態勢、保障企業網絡安

全的不可或缺的關鍵能力。

威脅檢測和攻防對抗

1）基礎檢測能力

黑客之所以能入侵企業內網，有時并不是憑借多么高明技巧，

相反，對網絡安全事件進行復盤總結發現，許多黑客入侵企業內網

給企業造成損失，憑借的僅是一些傳統的、簡單的手段。對于企業

的網絡安全建設而言，檢測技術由簡單和復雜之分，但對于檢測黑

客入侵而言，基礎檢測能力同樣是至關重要的。基礎檢測能力是指

針對那些傳統的、常見的異常流量進行檢測的能力，主要包括異常

會話檢測、Web應用安全檢測、敏感數據泄密檢測。

異常會話檢測可實現外聯行為分析、間歇會話連接、加密通道

分析、異常域名分析、上下行流量分析等在內的多場景網絡異常通

信行為的分析檢測，而Web應用安全檢測針對B/S架構應用，應用范

29

圍包括ASP、PHP、JSP等主流腳本語言編寫的webshell后門腳本上

傳，檢測SQL注入、XSS、系統命令等注入、CSRF攻擊、惡意爬蟲攻

擊、文件包含、目錄遍歷、信息泄露攻擊等攻擊，對主流網站內容

管理系統CMS進行安全防護，如dedeems,phpems,phpwind等。而敏

感數據泄密檢測能力則是通過對敏感信息的自定義，根據文件類型

和敏感關鍵字進行信息過濾和檢測。

2）深度檢測能力

294068

嗣修石務界雙任可及修務器收o楊期內網

小群〔RM國務器

涮6人關鍵字P批呈壇方已短?全殍笑la等吸?全甚*等出?±2

全部業務；n序號服務migt所庫分支所底業務失ta?定性―威?海鉗M蒼國餐近發生時期

?SVN120020C09es聘訊通國口"辦彩眄外網2017-11-0122:1617

?信息空市部ea9220020C0.137=BU皿外網2017-11-012307:00

?安全面計GS0320020C012s部安全BU能通外網2017.11-0122078

■A20020C.02*幫安仝豐計露明外河2017-11-012207M

520020C011巳都於字出版部次不外網2017-11-012007.8

切!外網

?功考報的039620020C010essea2017-11-0112078

圖4-5失陷業務深度檢測

黑客繞過傳統防護措施之后，往往是先選擇潛伏和隱藏，比如

病毒是黑客入侵內網的常用工具之一，病毒程序進入系統之后一般

不會馬上發作，而是在幾周或者幾個月甚至幾年內隱藏在合法文件

中，對其他系統進行傳染且不被發現，大部分病毒的發作是通過

HTTP協議訪問特定的URL來獲取或提交信息來完成的，還有病毒會通

過DNS查詢出某個域名的IP,然后再與該IP建立連接交互數據。再比

30

如，僵尸網絡為了同C&C服務器通信，會通過請求DNS來獲取C&C服務

器對應的IP,這些URL地址和域名對應IP的主機通常就是為病毒提供

交互信息的關鍵所在，有效識別出這些主機就能夠阻斷內網病毒和

外界的連接。這些攻擊方式比傳統的攻擊方式更加復雜和隱蔽，而

深度檢測能力就是針對這種具有隱蔽性的惡意行為進行檢測。

安全感知平臺的深度檢測能力可提供網絡流量的會話級視圖，

根據網絡流量的正常行為輪廓特征建立正常流量模型，判別流量是

否出現異常，可發現網絡蠕蟲、網絡水平掃描、網絡垂直掃描、IP

地址掃描、端口掃描、ARP欺騙。同時深度檢測能力還包含口令暴力

破解檢測、弱密碼掃描檢測、黑鏈檢測、終端病毒/惡意軟件檢測。

針對僵尸機、病毒程序的發作需要通過和外界C&C服務器通信來實現

發作的特點，安全感知平臺獨有的融合馬爾科夫模型和信息病的DGA

檢測算法，利用機器學習的方法識別域名是否由算法生成，根據隨

機性估計域名信譽值，從而檢測出與惡意IP地址相關的流量。

3)UEBA和訪問異常檢測

在企業網絡環境中，當某員工沒有值夜班的情況下，該員工主

機在凌晨4點對業務服務器進行訪問就屬于的訪問異常。過去用戶業

務訪問控制和Web業務訪問控制主要靠規則實現，但由于個體行為模

式存在較大差異，同時黑客的攻擊越來越領向于偽裝成正常用戶行

為從而避開訪問規則，因此基于規則的控制策略已經難以有效應對

31

訪問異常。而機器學習算法恰恰能夠對多樣化的用戶行為模式和Neb

訪問模式進行建模，從而達到更好的檢測效果。

安全感知平臺的用戶業務訪問異常檢測基于用戶歷史行為和用

戶之間的行為相似性，相似性作統計分析，利用機器學習進行建

模，從而對用戶和主機等實體進行分析（UEBA）、識別出用戶對業

務系統的異常訪問，進而發現客戶憑據被盜、用戶主機失陷等潛在

威脅。而Web業務訪問異常檢測使用馬爾科夫隨機過程和貝葉斯遞歸

估計，結合其它機器學習算法對Web業務的交互行為進行分析和是

模，從而檢測出Web業務的各類攻擊，如數據泄漏、WebShell,內

網數據代理轉發等高危行為。

4.2.4.2事前事中事后全監測

1）失陷主機檢測

黑客攻入內網之后，會在被攻陷主機上放置木馬、后門，從而

達到對該主機控制的目的。而在黑客控制大量失陷主機之后，還會

對目標主機發起DDOS攻擊、掃描暴破等惡意行為。主機失陷是黑客

進入內網的第一步，及時發現失陷主機就能夠盡早的扼制黑客的進

一步行動，從而確保企業網絡環境的安全。

目前已知的失陷主機檢測算法有20多種，如基于規則、基于庫

的算法等。安全感知平臺內建的算法能夠對病毒行為、異常外聯行

為、黑客常用攻擊行為等特征進行分析，該算法融合了fast-flux識

32

別、iForest、主機網絡流量模型、協議模型學習，同時結合大數據

關聯分析引擎提供的聯動分析以及DGA域名判別構建融合檢測模型，

從而從及時發現失陷主機。

2）橫向威脅感知

圖4-6橫向威脅感知能力

對于大多數客戶來說，核心業務系統都會部署大量的安全防護

系統和制定詳細的管理保障制度，非公眾服務的系統甚至根本不會

暴露在攻擊者直接可訪問的視野當中。所以，黑客和攻擊者往往難

以直接對這些系統進行滲透和攻擊，于是就出現了經典的APT“攻擊

滲透-控制跳板-橫向移動-控制目標-竊取破壞”過程，通過攻擊和

控制防御薄弱的內部非核心資產，以其為跳板進行滲透和攻擊。

33

橫向威脅檢測將監測分析的對象定位在內部業務和資產的行為

邏輯分析上，實時監測系統之間的訪問請求、數據包內容和業務邏

輯，包括：

＞進行基于特征匹配的攻擊檢測，即掃描、滲透等傳統攻擊手

段

＞基于白名單策略的違規檢測，發現資產行為偏離預設的安全

策略

＞基于UEBA技術的行為異常檢測，發現資產行為邏輯與自身安

全基線或同類資產安全基線驗證偏離

＞常見的風險遠程登錄、數據庫請求行為

通過這些資產的行為特征判斷其是否出現被黑客控制并成為內

部攻擊跳板。由于攻擊滲透和控制跳板的過程多數情況下總是基于

ODay和未知威脅的新型攻擊手段，但內部橫向移動的過程必然伴隨

受控資產的訪問請求、數據包內容和行為邏輯異常，可以作為有效

的APT攻擊檢測手段，通過在橫向移動階段檢測和阻斷攻擊，可以有

效防止核心業務失陷和敏感信息失泄密。

3）外聯威脅感知

許多客戶經常抱怨傳統的網絡安全設備和解決方案只注重功

能，即便是專業的安全運維人員也難以實時了解整個網絡的安全狀

態。企業需要的不只是安全的網絡環境，還需要以簡單、直觀的方

34

式了解網絡環境的安全狀態，比如對于事后檢測而言，客戶關心的

重點是其核心業務服務器是否已經失陷，客戶的業務系統是否存在

外連情況、與哪些國家和省份外連、外連訪問存在什么風險和態

勢、如何解決等等。

從業務服務器的外發流量進行檢測是判斷該服務器安全狀況的

一個有效手段。失陷的服務器一般會表現得與正常運行時不一樣。

通過分析服務器外連的行為，建立服務器正常運行的模型，以此為

基準檢測服務器的異常運行情況。可視化平臺將客戶的業務系統外

連情況進行可視，讓客戶直觀感知業務系統動態，形成完整的“外

連態勢覺察、外連態勢理解、外連態勢預測以及外連風險解決”的

閉環，在交互體驗上，幾乎零操作零學習成本，結合大屏幕投放，

清晰而直觀的做到“安全態勢可感知、安全價值可呈現“。

4）成功的事中攻擊

典型的APT攻擊過程，攻擊者往往不會止步于控制目標主機或系

統，而是會通過該系統作為媒介，實施進一步的攻擊和滲透。所

以，在進行安全事件的分析和研判過程中，就不僅僅需要對攻擊的

來源和方式進行分析，從而確定當前的應急處置方案和事后的安全

加固策略，還需要對其可能的影響面和攻擊手段進行跟蹤和分析，

確保這一成功的事中攻擊尚未對其他更多的資產造成實際影響，或

者如果造成影響了，進一步確認危害和啟動相應的處置流程。

5）外部風險訪問

35

對于多數單位來說，來自外部的攻擊者依然是其面臨的主要威

脅主體，所以對來自互聯網或分支機構等不可信/相對不可控網絡的

數據進行深度分析和檢測，關聯其直接訪問邏輯、訪問請求和行為

特征，對目錄遍歷、ftp爆破、知名漏洞利用攻擊、遠程文件包含、

SQL注入、網站登錄爆破、wenshell文件上傳等多種主流的高風險

滲透攻擊進行全面檢測。

4.2.4.3情報關聯和智能分析

1）威脅情報關聯

圖4-7業務漏洞感知

如今的網絡安全攻防戰已經形成了攻擊者有組織有預謀、防御

者有偵查有戰術的局面，要保障企業自身的網絡安全，不僅需要軟

硬件基礎設施，還需要通過威脅情報來了解黑客攻擊的套路和動

向，做到知己知彼C威脅情報是針對某種已經存在或正在顯露的威

36

脅，通過證據知識（包括情境、機制、影響等），來解決威脅或危

害并進行決策的知識。

安全感知平臺利用威脅規則及預先風險評估等威脅情報，匹配

當前發生的事件，從而識別威脅并做出響應。情報系統具有如下能

力：根據事件參與者的信譽程度對事件進行威脅評估；在事件產生

的威脅程度沒有達到告警級別的情況下，如果事件符合威脅情報特

征，則提高其威脅度；將大部分低威脅行為的事件篩選出來，有利

于分析潛在威脅；利用共享機制和協同作用，保證第一次攻擊后再

遇到攻擊可以快速識別并響應；提高攻擊者攻擊成本，攻擊者需要

更高深的隱藏方法才能繞過這種協防體系；針對性的威脅情報可以

發現APT攻擊；威脅情報為安全日志、事件等分析提供更多維度的信

息，通過關聯分析的方法可以發現潛藏在正常流量中的威脅。

2）大數據關聯分析

傳統的網絡邊界安全技術往往關注于防范來自Internet上的攻

擊，主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊，而當

黑客繞過邊界防護進入內網之后，一般都會先控制局域網絡內部的

一臺Server,然后以此為基地，對網絡中其他主機發起惡性攻擊。

僅僅靠單一的數