運(yùn)營(yíng)商

OPERATOR

中國(guó)移動(dòng)浙江分公司項(xiàng)目案例

閱讀量：

安全審計(jì)服務(wù)

項(xiàng)目背景
面對(duì)當(dāng)前不斷出現(xiàn)的安全威脅和業(yè)務(wù)復(fù)雜性的增加，安全事件發(fā)生不可避免，基于互聯(lián)網(wǎng)Web應(yīng)用訪(fǎng)問(wèn)日志、網(wǎng)絡(luò)流量日志、安全設(shè)備監(jiān)控日志、安全威脅態(tài)勢(shì)等信息，如何利用大數(shù)據(jù)平臺(tái)獲取數(shù)據(jù)量大、維度全面等特性，建立安全風(fēng)險(xiǎn)監(jiān)控、分析模型，及時(shí)發(fā)現(xiàn)潛在安全威脅及已經(jīng)面臨的安全風(fēng)險(xiǎn)，采取有效防護(hù)措施，降低可能造成的損失，是浙江移動(dòng)面臨的重要課題。

項(xiàng)目?jī)?nèi)容
對(duì)Web應(yīng)用安全威脅及風(fēng)險(xiǎn)的監(jiān)測(cè)∶監(jiān)測(cè)網(wǎng)絡(luò)流量、系統(tǒng)日志、安全工具發(fā)現(xiàn)的可疑行為及成功入侵行為，包括∶各種掃描探測(cè)、惡意賬號(hào)攻擊、漏洞利用、惡意業(yè)務(wù)邏輯攻擊、網(wǎng)站掛馬、Web后門(mén)訪(fǎng)問(wèn)、Web滲透、DDoS、APT攻擊等行為。
Web安全風(fēng)險(xiǎn)大數(shù)據(jù)安全分析∶通過(guò)對(duì)監(jiān)測(cè)到的所有行為進(jìn)行綜合分析和挖掘，建立威脅分析與數(shù)據(jù)挖掘模型，實(shí)現(xiàn)元數(shù)據(jù)關(guān)聯(lián)、關(guān)聯(lián)場(chǎng)景分析、挖掘模型分析等識(shí)別各種惡意威脅和安全風(fēng)險(xiǎn)的行為。
總體業(yè)務(wù)邏輯架構(gòu)圖

—數(shù)據(jù)建模

—數(shù)據(jù)業(yè)務(wù)分析

1.典型威脅場(chǎng)景分析
大數(shù)據(jù)安全分析可針對(duì)采集到的日志信息，提供內(nèi)置典型的威脅場(chǎng)景分析，判斷實(shí)時(shí)存在的高可疑威脅和已經(jīng)成功的威脅

支持判斷分析非授權(quán)時(shí)間系統(tǒng)登錄、用戶(hù)密碼暴力破解成功、可能成功的DOS攻擊、可能的DDoS攻擊嘗試、可能成功的緩沖區(qū)溢出攻擊、可能的自動(dòng)化工具入侵嘗試等
支持對(duì)可疑入侵行為進(jìn)行有效檢測(cè)分析，包含攻擊者非法掃描并登錄系統(tǒng)成功、攻擊者非法掃描并有提權(quán)行為、攻擊者非法掃描的服務(wù)器有帳戶(hù)異常行為、攻擊者暴力破解并有提權(quán)行為、攻擊者進(jìn)行高威脅行為并登錄系統(tǒng)成功、可能成功的上傳木馬、受攻擊服務(wù)器短時(shí)間內(nèi)帳戶(hù)添加和刪除操作等?

2.Web攻擊事件深度分析
支持對(duì)Web業(yè)務(wù)系統(tǒng)可能遭到數(shù)據(jù)竊取、病毒爆發(fā)、蠕蟲(chóng)活動(dòng)和成功的弱點(diǎn)被利用等進(jìn)行分析
支持不同源和目標(biāo)的關(guān)聯(lián)跟蹤，可通過(guò)攻擊源、攻擊目的對(duì)攻擊路線(xiàn)進(jìn)行統(tǒng)計(jì)，并以圖形化的方式展現(xiàn)，包括攻擊的行為、告警，從攻擊來(lái)源、攻擊時(shí)間、攻擊方式、攻擊結(jié)果等多個(gè)緯度綜合對(duì)事件進(jìn)行追溯，快速定位確認(rèn)攻擊源、漏洞成因、攻擊結(jié)果等

3. Web入侵事件深度分析
支持但不限于檢測(cè)SQL注入、命令注入、跨站腳本、代碼注入、協(xié)議錯(cuò)誤、異常訪(fǎng)問(wèn)、惡意代碼攻擊、WebShell后門(mén)程序訪(fǎng)問(wèn)、Web滲透、Web CC等風(fēng)險(xiǎn);支持根據(jù)來(lái)源IP、MAC、HTTP請(qǐng)求方法、URL、請(qǐng)求頭、請(qǐng)求參數(shù)、響應(yīng)碼等內(nèi)容設(shè)置審計(jì)規(guī)則，可自定義高、中、低等風(fēng)險(xiǎn)等級(jí)。
支持基于行為的關(guān)聯(lián)分析，發(fā)現(xiàn)更為隱蔽的Web威脅，包含SQL注入取數(shù)、表單破解、XSS測(cè)試、目錄穿越讀取文件、多人訪(fǎng)問(wèn) WebShell、APT攻擊等。

4.安全環(huán)境深度分析

5.安全態(tài)勢(shì)感知綜合評(píng)估分析
Web應(yīng)用威脅攻擊監(jiān)測(cè)日志及系統(tǒng)日志可上傳數(shù)據(jù)至大數(shù)據(jù)平臺(tái)，并利用大數(shù)據(jù)平臺(tái)進(jìn)行安全分析，
可支持基于包括攻擊來(lái)源、目的、攻擊事件名稱(chēng)等信息實(shí)現(xiàn)基于海量數(shù)據(jù)的綜合關(guān)聯(lián)分析、溯源分析、一致性分析、用戶(hù)終端分析、用戶(hù)群體分析、元數(shù)據(jù)關(guān)聯(lián)等。
可支持根據(jù)周期性，挖掘時(shí)間段，模式長(zhǎng)度，模式支持度大于，挖掘數(shù)據(jù)源，挖掘模型字段，挖掘目標(biāo)字段信息對(duì)數(shù)據(jù)進(jìn)行聚類(lèi)、分類(lèi)統(tǒng)計(jì)分析。

—數(shù)據(jù)可視化

項(xiàng)目?jī)r(jià)值

大數(shù)據(jù)智能化自學(xué)習(xí)方式建模分析
通過(guò)大數(shù)據(jù)技術(shù)結(jié)合智能分析模型，將安全事件由被動(dòng)防御轉(zhuǎn)變?yōu)楦咧悄芑闹鲃?dòng)響應(yīng)
實(shí)現(xiàn)安全防御多平臺(tái)系統(tǒng)綜合縱深分析
充分利用大數(shù)據(jù)分析的優(yōu)勢(shì)，將多個(gè)安全平臺(tái)的防御結(jié)果綜合分析，并結(jié)合第三方威脅情報(bào)、網(wǎng)絡(luò)指紋數(shù)據(jù)，更加全面深層次的分析，增大了大數(shù)據(jù)系統(tǒng)的安全能力
實(shí)現(xiàn)安全事件多維度多層面縱深挖掘
充分利用大數(shù)據(jù)分析的優(yōu)勢(shì)，將多個(gè)安全事件通過(guò)時(shí)間相似性、手法相似性、攻擊者網(wǎng)絡(luò)指紋相似性等多個(gè)層面，多個(gè)維度縱深挖掘，深層分析攻擊者的意圖，增大了主動(dòng)防御的能力
發(fā)現(xiàn)殘余高危漏洞，成功保障G20期間網(wǎng)絡(luò)安全
G20峰會(huì)期間，安全態(tài)勢(shì)感知平臺(tái)通過(guò)深度分析安全事件，成功發(fā)現(xiàn)高危安全漏洞，并即時(shí)告警，通知安全人員處理，成功保障了企業(yè)網(wǎng)絡(luò)在G20期間零安全事故

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>