骨干网威胁态势感知平台方案

背景与需求

当前,电信网络在承载更多互联网业务流量的同时,也夹杂着大量的已知和新型的攻击流量。攻击流量随意跨越网络空间而不受控制,不仅危害网络正常使用者,也对骨干网络基础设施的可用性造成了重大影响。

工信部在《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)给出指导意见“深化网络基础设施和业务系统安全防护,提升突发网络安全事件应急响应能力,维护公共互联网网络安全环境“等。

《工信部关于开展2017年电信和互联网行业网络安全试点示范工作的通知》也要求建立网络安全态势感知相关的重点试点项目,进行“网络安全威胁监测预警、态势感知、攻击防御与技术处置。具备网络攻击监测、漏洞挖掘、威胁情报收集等能力,对安全威胁进行综合分析,实现政企联动、及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。

解决方案

根据工信部相关指导意见及试点项目需求,基于城域网出口的分光流量,建设覆盖XX城域网的威胁态势感知平台,帮助运营商全面透视骨干网中夹杂的攻击流量,掌控全局安全态势,建立预警溯源机制,维护电信网络的安全运行。

整个方案由流量导入系统和态势感知系统两大部分组成。其中分流器和DPI为城域网出口的现网设备,用于过滤无效流量,将威胁分析所需流量导入到态势感知平台中。态势感知平台包括4个主要组件部分:

  • 前置流量检测子系统:包含流量采集和协议解码、文件还原、僵木蠕检测、入侵攻击、网站攻击检测、APT攻击检测
  • 数据存储子系统:数据格式化、存储、查询
  • 文件分析中心:多模板重沙箱分析平台,对未知文件进行深度分析
  • 态势感知可视化:分类别的威胁态势感知;宏观/微观安全可视化

方案功能

1、全方位、7*24小时威胁监测预警
  • 僵木蠕攻击:远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
  • 入侵攻击:漏洞扫描、漏洞利用、暴力破解、异常登录、异常通信和访问
  • 网站攻击:SQL注入,XSS等,WEBSHELL远程控制
  • APT攻击:邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
2、未知恶意代码样本的深度分析
  • 基于多虚拟机环境的重沙箱分析平台,分析未知恶意代码样本和文件捆绑攻击
3、攻击溯源分析
  • 威胁线索检索查询
  • 攻击事件关联分析
4、态势感知可视化
  • 僵木蠕的态势感知、APT攻击态势感知、入侵攻击态势感知、网站攻击态势感知
  • 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等

方案特点

1、传统的安全态势感知系统及不足
  • 主要是基于三个基础组件:基于特征匹配的已知威胁的检测、传统SOC的集中管理功能、炫目的地图炮可视化
  • 方案“告警风暴无法响应;只有已知没有未知威胁;以网站攻击为主,范围小”的不足
2、本方案作为新一代态势感知系统的亮点
  • 广泛的威胁监测和预警能力。几乎覆盖互联网最重要的攻击类型
  • 新一代的未知攻击分析能力。覆盖APT攻击分析和未知僵木蠕分析
  • 新一代态势感知可视化。安全更易看懂,拒绝告警信息爆炸