AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
運營商
OPERATOR
中國移動浙江分公司項目案例
安全審計服務
項目背景
面對當前不斷出現的安全威脅和業務復雜性的增加,安全事件發生不可避免,基于互聯網Web應用訪問日志、網絡流量日志、安全設備監控日志、安全威脅態勢等信息,如何利用大數據平臺獲取數據量大、維度全面等特性,建立安全風險監控、分析模型,及時發現潛在安全威脅及已經面臨的安全風險,采取有效防護措施,降低可能造成的損失,是浙江移動面臨的重要課題。
項目內容
對Web應用安全威脅及風險的監測∶監測網絡流量、系統日志、安全工具發現的可疑行為及成功入侵行為,包括∶各種掃描探測、惡意賬號攻擊、漏洞利用、惡意業務邏輯攻擊、網站掛馬、Web后門訪問、Web滲透、DDoS、APT攻擊等行為。
Web安全風險大數據安全分析∶通過對監測到的所有行為進行綜合分析和挖掘,建立威脅分析與數據挖掘模型,實現元數據關聯、關聯場景分析、挖掘模型分析等識別各種惡意威脅和安全風險的行為。
總體業務邏輯架構圖
1.典型威脅場景分析
大數據安全分析可針對采集到的日志信息,提供內置典型的威脅場景分析, 判斷實時存在的高可疑威脅和已經成功的威脅
支持判斷分析非授權時間系統登錄、用戶密碼暴力破解成功、可能成功的DOS攻擊、可能的DDoS攻擊嘗試、可能成功的緩沖區溢出攻擊、可能的自動化工具入侵嘗試等
支持對可疑入侵行為進行有效檢測分析,包含攻擊者非法掃描并登錄系統成功、攻擊者非法掃描并有提權行為、攻擊者非法掃描的服務器有帳戶異常行為、攻擊者暴力破解并有提權行為、攻擊者進行高威脅行為并登錄系統成功、可能成功的上傳木馬、受攻擊服務器短時間內帳戶添加和刪除操作等?
2.Web攻擊事件深度分析
支持對Web業務系統可能遭到數據竊取、病毒爆發、蠕蟲活動和成功的弱點被利用等進行分析
支持不同源和目標的關聯跟蹤,可通過攻擊源、攻擊目的對攻擊路線進行統計,并以圖形化的方式展現,包括攻擊的行為、告警,從攻擊來源、攻擊時間、攻擊方式、攻擊結果等多個緯度綜合對事件進行追溯,快速定位確認攻擊源、漏洞成因、攻擊結果等
支持但不限于檢測SQL注入、命令注入、跨站腳本、代碼注入、協議錯誤、異常訪問、惡意代碼攻擊、WebShell后門程序訪問、Web滲透、Web CC等風險;支持根據來源IP、MAC、HTTP請求方法、URL、請求頭、請求參數、響應碼等內容設置審計規則,可自定義高、中、低等風險等級。
支持基于行為的關聯分析,發現更為隱蔽的Web威脅,包含SQL注入取數、表單破解、XSS測試、目錄穿越讀取文件、多人訪問 WebShell、APT攻擊等。
Web應用威脅攻擊監測日志及系統日志可上傳數據至大數據平臺,并利用大數據平臺進行安全分析,
可支持基于包括攻擊來源、目的、攻擊事件名稱等信息實現基于海量數據的綜合關聯分析、溯源分析、一致性分析、用戶終端分析、用戶群體分析、元數據關聯等。
可支持根據周期性,挖掘時間段,模式長度,模式支持度大于,挖掘數據源,挖掘模型字段,挖掘目標字段信息對數據進行聚類、分類統計分析。
項目價值
大數據智能化自學習方式建模分析通過大數據技術結合智能分析模型,將安全事件由被動防御轉變為更具智能化的主動響應
實現安全防御多平臺系統綜合縱深分析
充分利用大數據分析的優勢,將多個安全平臺的防御結果綜合分析,并結合第三方威脅情報、網絡指紋數據,更加全面深層次的分析,增大了大數據系統的安全能力
實現安全事件多維度多層面縱深挖掘
充分利用大數據分析的優勢,將多個安全事件通過時間相似性、手法相似性、攻擊者網絡指紋相似性等多個層面,多個維度縱深挖掘,深層分析攻擊者的意圖,增大了主動防御的能力
發現殘余高危漏洞,成功保障G20期間網絡安全
G20峰會期間,安全態勢感知平臺通過深度分析安全事件,成功發現高危安全漏洞,并即時告警,通知安全人員處理,成功保障了企業網絡在G20期間零安全事故
