首页 > 解决方案 > 运营商骨干网威胁态势感知平台方案

运营商骨干网威胁态势感知平台方案

产品文档

一.  背景和需求

当前,电信网络在承载更多互联网业务流量的同时,也夹杂着大量的已知和新型的攻击流量。攻击流量随意跨越网络空间而不受控制,不仅危害网络正常使用者,也对骨干网络基础设施的可用性造成了重大影响。

工信部在《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014368号)给出指导意见“深化网络基础设施和业务系统安全防护,提升突发网络安全事件应急响应能力,维护公共互联网网络安全环境“等。

《工信部关于开展2017年电信和互联网行业网络安全试点示范工作的通知》也要求建立网络安全态势感知相关的重点试点项目,进行“网络安全威胁监测预警、态势感知、攻击防御与技术处置。具备网络攻击监测、漏洞挖掘、威胁情报收集等能力,对安全威胁进行综合分析,实现政企联动、及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。

二.  方案设计

2.1  概述

根据工信部相关指导意见及试点项目需求,基于城域网出口的分光流量,建设覆盖XX城域网的威胁态势感知平台,帮助运营商全面透视骨干网中夹杂的攻击流量,掌控全局安全态势,建立预警溯源机制,维护电信网络的安全运行。

2.2  方案组成

整个方案由流量导入系统和态势感知平台两大部分组成。流量导入系统一般为城域网出口的分流器和DPI设备,用于采集和过滤无效流量,并将威胁分析所需流量导入到态势感知平台中。态势感知平台包括4个主要组件部分:

1. 前置流量检测子系统:包含流量采集和协议解码、文件还原、僵木蠕检测、入侵攻击、网站攻击检测、APT攻击检测

2. 数据存储子系统:数据格式化、存储、查询

3. 文件分析中心:多模板重沙箱分析平台,对未知文件进行深度分析

4. 态势感知可视化:分类别的威胁态势感知;宏观/微观安全可视化

2.3  功能

1、  全方位、7*24小时威胁监测预警

1. 僵木蠕攻击:远控行为、隐蔽信道通信、DGA检测、失陷主机、远控主机、木马异常通信行为

2. 入侵攻击:漏洞扫描、远程漏洞利用、暴力破解、异常登录、异常通信和访问

3. 网站攻击:SQL注入,XSS等,WEBSHELL远程控制

4. APT攻击:未知邮件攻击(鱼叉),未知文件捆绑攻击,WEB挂马攻击(水坑)

2、  未知恶意代码样本的深度分析

1. 基于多虚拟机环境的重沙箱分析平台,分析未知恶意代码样本和文件捆绑攻击

3、  攻击溯源分析

1. 威胁线索检索查询

2. 攻击事件关联分析

4、  态势感知可视化

1. 僵木蠕的态势感知、APT攻击态势感知、入侵攻击态势感知、网站攻击态势感知

2. 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等

2.4  特点

1. 广泛的威胁监测和预警能力。覆盖互联网各类的攻击类型

2. 新一代的未知攻击分析能力。覆盖APT攻击分析和未知僵木蠕分析

3. 新一代态势感知可视化。安全更易看懂,拒绝告警信息爆炸。

2.5  方案价值

1. 帮助运营商实现“管道”的安全可视化,为“智能管道”的运营提供决策数据。

2. 实时监测城域网内关键业务系统和信息基础设施的安全,提升流量业务竞争力。

3. 构建高级别的安全手段,全面满足工信部对互联网服务的安全要求。