360态势感知与安全运营平台
产品白皮书
█文档编号█密级
█版本编号█日期
目录
1 产品概述 (2)
2 平台介绍 (2)
2.1 产品组成 (2)
2.2 产品架构 (4)
3 技术特点 (6)
3.1 全面的数据采集与分析 (6)
3.2 大数据基础架构 (7)
3.3 高性能关联分析 (7)
3.4 丰富的威胁情报 (9)
3.5 精准的多维度威胁检测 (9)
4 产品功能 (10)
4.1 威胁管理 (10)
4.2 资产管理 (11)
4.3 拓扑管理(收费模块) (11)
4.4 漏洞管理(收费模块) (12)
4.5 日志搜索 (12)
4.6 调查分析(收费模块) (13)
4.7 报表管理 (14)
4.8 仪表展示 (14)
4.9 态势感知(收费模块) (15)
5 服务支持 (16)
5.1 安全规则运营服务 (16)
5.2 全流量威胁分析服务 (16)
6 应用价值 (17)
6.1 安全监控的范围更大 (17)
6.2 威胁发现及时性提升 (17)
6.3 安全管理效率提升 (17)
6.4 降低宏观安全理解成本 (18)
1产品概述
360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。
NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。
NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。
在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。
2平台介绍
2.1产品组成
NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
图1 :NGSOC产品组成
1)流量传感器
流量传感器的功能主要是采集网络中的流量数据,将原始的网络全流量转化为按session方式记录的格式化流量日志,全流量日志会加密传输给分析平台存储用于后期的审计和分析。同时对网络流量中传输的文件进行还原,还原后的文件会传输给文件威胁鉴定器用于判定文件是否有威胁。流量传感器内置了一级流量检测引擎,主要有三类检测规则:WEB漏洞利用检测引擎、webshell活动检测引擎、以及网络入侵检测引擎等,可实时的发现流量中存在攻击特征的行为。
流量传感器通常部署在网络出口交换机旁,或者其他需要监听流量的网络节点旁,接收镜像流量。
2)日志采集探针
日志采集探针的主要功能是对网络内各业务应用系统、设备、服务器、终端等设备通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理,方便数据流后面的关联规则和数据分析能够快速使用。同时日志采集探针还负责对内网资产进行扫描识别,收集资产数据。
3)关联规则引擎
关联规则引擎主要负责对来自日志采集探针的大量日志信息进行实时流解析,并匹配关联规则,对异常行为产生关联告警。通常关联规则引擎与分析平台和日志采集探针部署在同一位置。
4)分析平台
分析平台用于存储流量传感器和日志采集探针提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
5)文件威胁鉴定器(360天眼新一代威胁感知系统相关组件)
文件威胁鉴定器接收流量中传输的文件,并通过静态和动态检测方法对文件特征和文件行为进行检测,及时发现有恶意行为的文件并产生告警。文件分析结果也会作为安全数据的一部分传给分析平台存储,以便威胁分析过程中进行调用。
6)360天擎终端安全管理系统
NGSOC可以实现和360天擎终端安全管理系统的数据对接,由终端安全管理系统实时的将发生在终端上的各种主机行为日志发送至分析平台进行存储,为网络高级威胁发现及事件追踪溯源提供有力支撑。相关日志覆盖包含了终端进程网络行为日志、终端DNS 请求行为、注册表更改、文件操作、文件传输(包含IM、U盘、邮箱等多种方式)等多个方面。
NGSOC也可提供EDR自动响应功能,将相关告警推送到天擎终端管理系统执行在主机上的调查分析和阻断操作,完成威胁检测与响应闭环。
2.2产品架构
NGSOC将覆盖安全管理与运营的各个环节,下图为整个平台的缩略架构图。
图2 NGSOC功能架构图
由图可见,NGSOC将建设成一个以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全运营中的检测、响应、预警、防御多个领域环节的完整安全体系。
NGSOC数据采集部分,除了传统的Syslog、Flow、各种系统日志和安全设备日志以外还突破性的针对原始流量日志(依赖于流量传感器)和终端日志(依赖于天擎EDR组件)进行采集。依赖于更加原始的日志信息,NGSOC产品可以发现隐藏更深的各种威胁,同时能够提供完整的事件回溯分析能力。
拥有更加全面的日志虽然提供了更强的分析能力,但也对产品架构提出了严苛的挑战。为此NGSOC产品在数据的存储和分析中大量使用大数据相关技术,在标准化产品组件中可以依赖于分布式全文检索技术提供接近PB级日志量的存储和快速计算,同时能够提供良好的可靠性保证,以解决意外断电、磁盘故障可能对系统带来的可靠性问题。
存储和分析能力之上,NGSOC产品使用多种分析引擎针对不同的使用和管理目标提供相应支撑,关联分析、统计分析、快速搜索等功能相较于传统产品具有明显的性能优势。
产品最外层,针对安全分析与运营人员,NGSOC产品可以提供友好、高效的交互管理页面,既满足了使用需求,又能够提升工作效率。再结合威胁情报、安全服务等来自于360特有的安全知识输入,NGSOC可以极大的提升本地安全运营的相关效率。
3技术特点
3.1全面的数据采集与分析
NGSOC产品为实现对企业内部安全管理的全面监控,在数据采集方面支持更加全面的采集范围。
针对传统事件(event)的采集,NGSOC可以支持对各种安全设备、网络设备的syslog 和flow日志进行采集,并能够提供适配linux与windows双平台的专业Agent针对数据库、系统日志、中间件日志、其他文本日志提供全方位的采集。
在传统的事件(event)采集外,还支持原始流量行为的还原与采集,区别于netflow 等采样式流量采集方法,NGSOC使用专有的流量采集设备-流量传感器对流量中的会话行为、事务、应用动作进行还原并形成相关日志进入存储和分析环节。由于并无采样,所以NGSOC能够还原的流量日志可以更加完整的还原流量行为,不存在类似netflow的丢具体会话信息的情况。
在传统事件信息、流量行为日志以外,NGSOC还能对接来自360企业安全集团天擎终端安全管理系统的各种终端行为日志,目前能够采集包括终端进程流量行为、终端文件行为、U盘文件传输、邮件文件传输、IM文件传输等行为日志,由于终端日志相比网络日志更加具体、可以帮助分析人员发现启动恶意进程的相关文件,所以在整个威胁的发现、回溯过程中也会体现重大价值。
3.2大数据基础架构
更全面的日志采集,即带来了分析的便利也带来了性能的烦恼。传统SOC产品在10亿条日志规模下会出现性能的剧烈下降,该问题主要受限于传统SOC产品普遍使用的关系型数据库自身设计上的局限性。如果由该架构实现来承接流量日志和终端日志,甚至是操作系统日志都可能导致灾难性的后果。为解决相关问题,NGSOC产品在国内开创性的使用了大数据基础架构更替了传统的数据存储和计算方式。
为解决海量数据的快速存储和读取问题,NGSOC产品使用了分布式全文检索技术,该技术可以在日志入库前针对日志建立全文索引,并进行分片存储于多台设备或多块磁盘。系统在进行日志查询时可以将对应查询指令分发到多台设备执行,并利用大内存再次提升检索性能。最终NGSOC产品可以面向千亿条日志提供存储查询功能,查询效率为秒级。
在海量日志场景下,数据的可靠性成为另一难题。NGSOC产品可以将接收到的日志进行自动备份,并进行分片,再存储于不同的磁盘。通过该实现可以保证任意一块硬盘损坏后系统数据不丢失,可恢复。同时系统提供了良好的扩展机制,存储和计算能力都支持即插即用式的扩展,所有存储和计算的负载均衡均在后台自动处理,无需人工干预。
3.3专业化日志搜索分析
用户的业务场景千差万别,针对用户不同的数据统计及呈现需求,传统SOC/SIEM 产品往往需要通过定制化开发实现,将极大增加交付及维护成本。NGSOC产品设计了专家搜索模式,将 SQL 的最佳功能与 Unix 管道语法封装为脚本命令,用户直接在搜索框里输入相关命令即可实现对海量日志的搜索、关联、分析和可视化。NGSOC产品可提供30多种搜索命令,可灵活适应不同的应用场景。
例如使用功能强大的"stats"命令,以及 20 多种不同参数选项,能够计算统计数据并生成趋势。然后,在一定任何时间范围和粒度内图表化并可视化这些结果和统计数据。
图3 NGSOC专家模式日志搜索结果呈现
3.4高性能关联分析
关联分析作为传统SIEM产品的必备功能,往往承担了威胁发现的主要职责。但与定位相左的现实情况是,传统的关联分析往往仅能提供3000EPS(Event per Second)到5000EPS的性能,这种性能完全无法应对当前动辄上百台安全设备、上千台服务器的客户IT环境。
为此,NGSOC产品重新设计了关联分析的核心引擎,将CEP(复杂事件处理)的技术实现结合安全业务场景进行了大量的实现加速、逻辑优化,最终可以提供20000EPS (50条规则)的关联性能。同时在关联规则引擎中独创性的加入了流量日志关联功能,用户可以将流量日志引入到关联分析过程中,通过回溯任务的方式对流量中的历史行为进行规则化分析。
3.5丰富的威胁情报
传统SOC产品经过多年发展,可以面向用户提供全面的安全管理功能,但对于真正威胁的发现、分析、处理上并无法提供更多的知识输入,相关高级威胁的检测更多地还是依赖于IPS或APT检测类设备实现。为了解决相关问题,NGSOC产品引入了360企业安全集团的核心威胁情报数据,可以通过失陷类威胁情报直接对高级威胁或APT攻击进行检测和跟踪、并使用云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。
威胁情报的使用,直接可以扩展客户的安全视野,通过使用360企业安全集团的知识储备帮助客户理解自身的安全状况和突发情况的处置方式。而目前360企业安全集团开放的失陷类威胁情报中相关失陷指标数量多达数万条,同时保持着每天更新的快速更新频率以保证对高级威胁的及时跟踪。这些失陷类威胁情报中包含了360实时跟踪的几十个APT组织的活动信息,还有大量黑产使用的高级攻击方式。在云端威胁情报中心,360更是提供了多达数亿的恶意样本的查询、全球域名whois信息查询、域名判定标签、IP归属地及相关样本等高价值信息。
同时NGSOC产品也支持用户威胁情报的自定义和第三方威胁情报(OpenIOC、STIX 格式)的导入,通过这种方式可以为客户提供更加灵活和开放的失陷类情报管理。
3.6精准的多维度威胁检测
企业用户经常会淹没在各种IDS、WAF设备的安全告警中,而这些告警的分析、处置往往成为另一头疼的问题。在这方面,传统安全管理产品往往会通过过滤、归并、关联等方式实现一定程度的告警量下降。但依靠这种方式无法对真正威胁做到有效追逐,因为告警的准确度会受限于IDS或WAF等检测设备的实现情况和告警的过滤、归并手段。任何一个环节有问题都将导致大量误报或漏报出现。而且传统检测技术更加侧重于所有攻击企图的发现,无法有效鉴别哪些攻击是真正造成恶劣影响的、是需要处理的。
为了解决相关问题,NGSOC产品采集了大量的原始日志和流量信息,相关数据会经过多维度的检测手段进行分析,以帮助客户判断真正的威胁在哪里。除了关联分析、失
陷类情报关联以外,NGSOC产品还使用了网站漏洞利用检测、WEBSHELL检测、远控检测等一系列手段。
网站漏洞利用检测
NGSOC产品可以依靠来自于机器学习算法的语料库规则对WEB攻击进行高精确度判断,再结合语义检测和动态响应特征检测技术,可以实时的发现利用成功的WEB漏洞攻击行为。通过该实现可以对WEB安全进行及时预警,也可解决海量WAF日志但无重点的问题。只要出现相关WEB漏洞利用告警,安全管理人员需要迅速做出相关响应动作。
WEBSHELL检测
利用轻沙箱检测机制和控制指令监控功能,NGSOC可以对WEBSHELL上传、控制等一系列攻击行为进行监测和跟踪,对WEB主要威胁进行针对性处理。
远控监测
通过对远控通道和指令进行监控,NGSOC可以发现网络中存在的已经被恶意软件或黑客组织控制的主机,由于相关告警直接反映了网内主机失陷的情况,必须进行有针对性的处理,所以也是安全管理中的重要部分。
4产品功能
4.1威胁管理
NGSOC产品提供面向威胁全生命周期的管理功能,可以通过多种威胁检测手段对威胁进行发现,并集中呈现全网的各种威胁情况。客户可结合各自需要对威胁进行筛选、标记、处置。同时NGSOC产品也支持针对威胁的处置工单下发,管理者可以指定对应威胁的处置责任人,通过邮件、短信、消息中心等方式进行通知,由其对威胁进行处理,并跟踪工单流转状态。NGSOC产品也支持根据设定的动作进行自动化通知下发告警,提升日常运营工作的效率。如果方案中包含360天擎终端安全管理系统,还可以对其进行威胁情报告警的通报以推动相关EDR处置组件的运行。系统支持对威胁告警自定义各种维度的可视化统计分析,这些维度包括源IP、目的IP、危害等级、告警类型、告警状态、关注点、告警IOC、单位等,可以进行两个维度的对比使用,统计出各种维度的告
警数量。用户可以生成各种所需维度的视图并进行展示,展示方式包括统计视图,视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。同时可视化的告警视图可以被仪表板及报表系统调用。针对告警用户可以指定告警加白策略,指定哪些条件下的告警内容不进行告警展示。
4.2资产管理
资产管理是NGSOC的重要功能模块,NGSOC产品能够提供对网内资产的扫描发现、手工管理、资产变更比对、资产信息整合展示等基本功能。资产发现部分,NGSOC可以通过IP扫描、SNMP扫描、流量发现等手段对网内IP的存活情况进行跟踪,一旦发现超出当前管理范围的IP,用户可以导出相关数据进行编辑再录入资产数据库。而对于已经录入资产数据库的资产,用户可以通过分组、标记等方式对资产作更加细致的管理,NGSOC也会提供长期的服务、流量、威胁相关的监控,所有资产相关的监控数据在资产详情页均可查看。而且为了方便用户快速掌握资产信息,NGSOC产品上任何一个威胁如果涉及到资产信息,用户均可直接在告警上查看到相关资产的基本信息并能够快速切换到资产页面查看对应详情。资产详情中将展现资产属性基本信息、资产相关告警信息、资产相关漏洞信息及资产相关账号信息,可视化呈现资产的多维度信息。系统支持对资产自定义各种维度的可视化统计分析,这些维度包括资产IP地址、资产组、责任人、责任部门、网关标识、操作系统类型、权重、厂家等,可以进行两个维度的对比使用,统计出各种维度的资产数量或待处置漏洞。用户可以生成各种所需维度的视图并进行展示,展示方式包括统计视图,视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。同时可视化的资产视图可以被仪表板及报表系统调用,
4.3拓扑管理(收费模块)
NGSOC产品支持对企业网络拓扑进行扫描和发现,用户可以将管理好的资产直接添加到任何一个自定义网络拓扑中,并对拓扑进行相关编辑。在拓扑管理页面,用户可以连接任意资产、调整拓扑的展示布局、隐藏连接关系、隐藏资产名称、查看资产详情,完成拓扑绘制相关的所有工作。同时为了实现逻辑拓扑和实际拓扑的映射,NGSOC产品提供了实际拓扑与逻辑拓扑图映射的功能,用户可以将实际拓扑上的关键设备映射到逻
辑拓扑图上的指定区域,以此帮助用户快速理解实际拓扑对应的管理责任。拓扑管理生成的拓扑图在态势感知模块中将作为重要展示元素结合风险值进行展示,以从宏观层面体现企业内网的安全情况。
4.4漏洞管理(收费模块)
NGSOC产品能够支持直接调度指定厂家的漏洞扫描器及人工漏扫报告,实现扫描任务的创建和下发。同时NGSOC产品支持导入多种厂家的漏洞报告,并且支持灵活自定义的漏洞报告解析规则,可以轻松适配不同客户的漏洞管理需求。对于导入的漏洞,NGSOC 产品将按照资产的情况进行漏洞的归并展示,帮助用户直观的掌握资产漏洞情况。漏洞详情描述支持关联查询漏洞知识库,漏洞详细信息为处置提供依据。NGSOC产品支持针对漏洞进行处置状态管理、处置任务的工单下发,实现漏洞的闭环管理。系统支持对漏洞自定义各种维度的可视化统计分析,这些维度包括资产IP地址漏洞名称、发现时间、CNNVD编号、CVE编号等,可以进行两个维度的对比使用,统计出各种维度的漏洞数量。用户可以生成各种所需维度的视图并进行展示,展示方式包括统计视图,视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。同时可视化的漏洞视图可以被仪表板及报表系统调用。
4.5日志搜索
NGSOC产品提供了三种针对事件/流量日志/终端日志的查询、检索模式,分别为快捷模式、高级模式及专家模式。用户可以使用快捷模式对日志中的各种字段进行查询。高级模式中支持与或非等逻辑语法,精确匹配、模糊匹配、通配符查询多种匹配方式,同时支持时间段、地址区间、数值范围等一系列区间查询,为用户提供了多样化的查询条件。NGSOC产品创新提供了专家模式搜索,通过学习成本较低的类SQL数据分析语言,实现数据累加求和、排序、筛选、剔除重复数据、计算差值、替换空值、格式化、提取正则表达式、比较差异、计算相关性等统计计算功能,并支持查询结果的可视化展现,提供柱状图、折线图、面积图等10余种常见图表的配置展现。可下载或另存为视图供仪表板引用呈现。
为了方便用户的查询操作,NGSOC提供搜索欢迎页面和搜索帮助中心,可快速了解快捷模式、高级模式、专家模式的使用说明和搜索结果字段说明。同时支持搜索规则的收藏和搜索历史记录。NGSOC也提供了快速筛选和字段统计功能,每次查询完成后,NGSOC 产品都会形成搜索结果的时间轴分布图,用户可以直接在图表上通过拖拽进行时间段的筛选。用户也可以针对任意字段进行追加查询、撤销查询等操作对现有查询结果进行进一步过滤。由于系统架构的升级,所以以上查询功能都将在1分钟内返回查询结果。
4.6场景化分析(收费模块)
场景是指在特定的主题下,通过一系列图、表等可视化手段,依据攻防等经验构造的数据展示形式。场景化分析旨在提供用户相关的视角来查看相关数据,为其发现、判断网络安全问题提供帮助。解决了规则判定时,无法确定具体阈值的问题,用户可根据自己网络特点和经验进行判断。NGSOC可提供丰富的场景化分析结果呈现,包括内网安全、VPN安全、账号安全及邮件安全等。
图4 NGSOC场景化分析功能呈现效果
4.7工单
NGSOC产品可提供流程化的工单管理功能,能够派发或接收针对威胁告警和漏洞的处置工单,并对与责任人相关的工单流转状态及处置进展进行跟踪。同时NGSOC产品支持根据待处置内容定义工单的级别及通知方式,可查看、编辑处置内容和工单任务,也支持对处置中的工单任务进行撤销及根据查询条件批量导出工单列表。
4.8调查分析(收费模块)
在企业的日常安全管理中,安全工程师经常需要不断地对安全事件进行分析、定性、处置。这一系列工作中都需要广泛的调取各种数据信息以保证每次判断都是有事实依据的,而传统的SOC产品均忽略了相关功能,安全工程师只能以纸质报告和截图代替。为此NGSOC产品特别开发了调查分析模块。用户可使用该功能针对任何需要调查的安全问题创建实例(case),将所有与要调查的问题相关的告警、日志、甚至其他文本、图片信息都录入case中,然后通过时间趋势展示、标注等功能可以回溯并记录问题的发展过程和相关影响,再通过搜索等功能不断的扩展其他的日志线索,丰富该问题的相关证据。最后在有支撑的情况下形成调查结论。
4.9知识库(收费模块)
NGSOC产品提供知识库功能,预置漏洞知识库等,漏洞知识库可根据漏洞名称、漏洞类型、CVE编号、CNNVD编号进行快速查询搜索,同时支持对漏洞扫描报告结果详情进行关联查询,也允许用户在系统使用过程中不断丰富和完善知识库。
4.10报表管理
NGSOC产品可以提供灵活的报表管理功能,可以支持快速报表,实时的输出期望的报表内容,也可按照客户指定的周期自动生成报表以帮助用户周期回顾安全情况。同时系统提供了报表模板的灵活编辑,用户可以根据自身需要在数十个预置报表展示内容中选择自身需要内容,调整顺序以形成自身需要的报表。对于用户定制化的报表内容,360企业安全团队可以根据情况进行报表定制以应对用户报表需要。
4.11仪表展示
NGSOC产品能够提供人性化的首页仪表板展示,用户可根据个人需要创建自己的仪表板,通过拖拽、拉伸等交互调整仪表板上每一个展示内容的布局和大小,以形成用户化的仪表板展示。同时用户可以选择是否将相关仪表板设置为首页、分享给其他用户。仪表板上目前预置了几十种具体展示内容,其中覆盖了威胁统计、资产统计、日志统计、
漏洞统计、工单分析等多个方面,可以帮助用户宏观的查看或监控整个企业的安全情况和NGSOC系统的工作情况,而且用户可以直接通过仪表板跳转到对应功能页面,实现由宏观到微观的工作流程。
4.12态势感知(收费模块)
安全问题纷繁复杂,如何整体查看企业的安全情况并作出准确判断一直以来是安全管理的难题。NGSOC产品可以在多种安全功能基础之上提供态势感知模块。该模块可以帮助用户快速的、宏观的了解整个企业的安全情况。目前NGSOC产品可以提供资产风险态势感知、外部威胁态势感知、网站安全态势感知三部分模块。
资产风险态势感知:按照不同的资产分组展示资产风险以及对应在逻辑拓扑上的安全问题分布、威胁变化趋势,帮助用户快速掌握风险的分布以及变化,有针对性的进行处置动作。
外部威胁态势感知:可以展示所有来自于企业外部安全威胁的攻击来源地分布,支持3D地球和2D地图切换展示,轻松掌握外部威胁趋势、威胁的主要分类、主要来源国,内网资产威胁,可以帮助用户快速感知外部威胁的攻击分布和攻击重点。
网站安全态势感知:用户购买使用网站云监测产品和网站安全态势感知系统后,可在NGSOC上直接调用网站安全态势感知系统大屏,大屏包括安全事件概况、网站安全态势感知、网站资产安全态势感知、事件详细信息态势感知等内容,可以第一时间感知网站篡改、挂马、黑词、暗链、漏洞、DDoS、可用性、网站钓鱼等网站安全威胁,并进行处置。
在常规态势感知以外,不同用户经常有自身的感知需求,360企业安全可针对不同场景进行态势感知定制。
4.13级联管理
级联管理提供了NGSOC分析平台的分级部署模式,可面向用户多分支单位进行多分析平台的级联部署及管理,级联部署可制定多分析平台的上下级关系。在级联部署中由上级平台集中维护各级平台的单位信息,并以单位为视角集中获取下级平台的告警数据,告警数据可在告警管理模块中按单位进行分组并向用户呈现。下级单位对告警的处置状
态也会自动同步到上级平台,使上级单位实时掌握下级组织中告警问题的解决情况。多级管理支持通过权限控制指定用户角色对下级告警的监视范围。
5服务支持
5.1安全规则运营服务
NGSOC产品团队可以为客户提供事件解析文件编辑、关联规则编辑等安全运营服务,相关安全运营服务可有针对性的结合客户的业务或网络情况进行。通过服务的方式将360企业安全集团丰富的安全知识固化为企业客户的各种规则,输出高价值告警信息。接收360知识输入的同时,NGSOC对客户的技术要求也会随着服务的引入而迅速降低,用户仅需要对运营服务人员提出有客户特色的管理要求或威胁判定标准,安全运营人员可自行转化为系统规则执行。
5.2驻场运营服务
360企业安全集团安全服务团队可在NGSOC产品上线后的持续运营阶段提供驻场运营服务,主要协助用户运维人员,从事NGSOC平台的日常告警处置、定期统计报告、流量分析、安全规则调优等工作,与后端产品专家和安全专家建立快速响应通道,能够做到事件的及时反馈与处理,提升安全运营工作效率。
5.3威胁分析服务
360企业安全集团安全服务团队可针对NGSOC产品提供威胁分析服务,该服务可以通过定期定次的服务方式帮助用户梳理已经采集到的流量日志信息,利用产品中提供的各种工具和接口对隐藏在流量中的攻击行为、失陷信息进行挖掘,发现企业面向互联网的攻击包路面,并结合360独有的数据信息为客户提供高级威胁告警的深入分析与判定。所有服务内容都将以报告形式详细的提供给客户。
6应用价值
6.1安全监控的范围更大
依赖于强大的大数据平台架构支撑,以及全面的日志采集能力,NGSOC可以帮助企业客户对IT基础设施进行更广泛的安全监控。企业客户不用再纠结于现实中的数千台资产与传统SOC凌弱性能之间的矛盾,可以更细致、更全面的采集原始日志信息。即使出现存储空间或计算性能不足的情况,仍然可以通过水平扩展的方式快速的线性提升能力。
更广阔的监控范围将直接影响NGSOC产品的使用,它可以为威胁发现、态势感知提供基础数据支撑。NGSOC产品之所以能够更及时、更准确的发现威胁,正是因为日志采集上并未遗漏那些可能记录威胁发生过程的日志。而相关日志的存储也可以帮助企业客户应对日志审计的合规检查。
6.2威胁发现及时性提升
利用多种新型威胁监测手段,再结合威胁情报的使用,NGSOC产品能够比传统SOC 或SIEM产品更快的发现隐藏在各类日志中的安全问题。而借助于威胁情报中的APT类情报,NGSOC还可对国际上30多个APT组织的入侵和活动行为进行跟踪,在被上级通报前主动发现问题。更早的发现威胁一方面可以帮助企业或单位在安全管理上更为从容,无需面临可能被通报追查的窘境,另一方面可以留下更多挽回损失的机会,为快速的弥补安全问题提供宝贵的时间窗口。
6.3安全管理效率提升
NGSOC产品注重技术、工具、知识三者的结合,希望以此推动安全管理效率的提升。
技术层面,NGSOC不仅能够快速的发现威胁,还能够发现那些确认度更高的威胁。威胁确认度能够帮助安全工程师更容易的分辨不同威胁之间的重要度,对于那些确实已经造成恶劣影响的、已经绕过安全防御体系的威胁,可以采取更有针对性的处置动作,而对于那些失败了的攻击企图,完全无需耗费过多精力。通过告警确认度的提升,安全管理的效率相应的也会得到提升。
除了威胁管理的效率提升,NGSOC还提供了高性能的日志检索查询工具和调查分析工具,可以极大的提升分析人员的分析效率。安全分析人员可以使用NGSOC灵活的、高效的进行数据分析,摆脱传统SOC一次查询需要等10分钟的噩梦,可以顺畅连续的进行数据下钻,搜索。同时可以对任何一条有意义的日志进行标记、记录、拓线,形成调查分析结论,一扫纸质分析报告的烦恼。
安全分析中,经常会面临知识缺乏而导致的分析无法进行或深入的情况。NGSOC集成了360企业安全集团的威胁情报中心(https://https://www.doczj.com/doc/4419151519.html,/)接口,安全分析人员可以对NGSOC上出现的IP、域名、文件MD5进行深入的情报判定,以此获得覆盖全球的安全知识数据。此外NGSOC产品内置了大量的关联分析规则,也可为用户提供广泛的规则配置指导。
6.4降低宏观安全理解成本
安全管理并不如网络、业务等内容更容易被管理者理解,因为安全所涉及的技术内容纷繁复杂,存在天然的技术屏障。但同时,安全管理经常会涉及到多部门的重要业务或全公司的IT运行,此时安全又体现出其至关重要的一面。
传统SOC会借鉴风险管理的思路,依靠对资产的梳理、威胁预测、脆弱性评估等一系列手段实现风险级别的判定,但由于其更注重数值体现,而忽略了宏观图形展示,仍然难以让管理者快速理解并判断当前安全态势。
使用NGSOC后,用户可以直接通过态势感知模块直观的查看企业内部不同资产组的风险分布,相关风险值会在逻辑拓扑上直接映射,可以将风险以可视化的形式呈现的大屏幕上。外部威胁的攻击态势则能直接以地图展示的方式帮助管理者理解外部攻击的主要来源地,主要的外部攻击分类、本地最容易被攻击的资产等信息。所有态势感知的展示都可实时刷新,及时的将最新的安全态势呈现在管理者眼中。
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
基于可视化的安全态势感知 -世博会业务系统的信息保障 郁郎 关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度 1.引言 被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。 在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。 为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。 本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知(Security Awareness)? “一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采 取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点,并介绍一下安全态势感知平台哪家比较好。 事件收集,安全态势感知平台提供主动获取和被动接收多种事件获取方式,可收集所有类 型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵 活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 流量监控,安全态势感知平台流量监控实时监控网络流入流出的网络流量,通过对流量进 行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进 行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 事件分析,安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 告警分析与处理,安全态势感知平台告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间 的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,
智能态势感知系统 产品简介 产品文档
【版权声明】 ?2013-2018 腾讯云版权所有 本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录 产品简介 产品概述 产品优势 应用场景
产品简介 产品概述 最近更新时间:2018-12-18 17:16:40 什么是腾讯态势感知(私有云)? 腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。 主要功能 态势总览 通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。 资产感知 提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。 威胁发现 对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。 风险预警 实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期
目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理(收费模块) (11) 4.4 漏洞管理(收费模块) (12) 4.5 日志搜索 (12) 4.6 调查分析(收费模块) (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知(收费模块) (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)
1产品概述 360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
探索网络安全态势感知系统 本文档格式为WORD,感谢你的阅读。 最新最全的学术论文期刊文献年终总结年终报告工作总结个人总结述职报告实习报告单位总结演讲稿 探索网络安全态势感知系统 1网络安全态势感知系统的模型 网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。 2网络安全态势感知系统关键模块分析 网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
安全态势感知信息模型 王东霞1 黄晓燕2 方兰1 冯学伟 1 (信息系统安全国家重点实验室,北京系统工程研究所1 ,北京9702信箱19号,100101, Dongxiawang@https://www.doczj.com/doc/4419151519.html, 成都军区第一通信总站2 ) 摘要:信息模型是安全态势感知系统各部分协同工作的公共数据基础,也 是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了具有 层次式结构的安全态势感知信息模型,该模型规范的定义了网络空间中哪些安 全元素构成了态势信息,对安全事件、攻击行为、态势评估和使命影响等不同 层次的态势元素予以了表示,同时以IDMEF为基础定义了信息之间的交换格式,最后对相关的存储结构进行了说明。关键字:安全态势感知信息模型态 势评估 一、引言 网络安全是一个动态过程,是通过在网络空间这个战场上进行网络对抗并 取得优势获得的。要掌握网络战场主动权,实施机动灵活卓有成效的管理或指挥,必须及时掌握战场的状态,也就是说需要不断了解网络的安全状态,及时 指挥对入侵做出反映,保障信息网络处于可接受的安全状态。安全态势感知指 安全管理员形成网络空间安全状态“全局视图”的过程。 二、安全态势感知信息模型 态势感知系统遵循从数据到信息再到知识的过程,可以抽象为针对目标对 象进行数据处 理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间准 确的传递,并实现与预警和应急响应等系统之间的信息共享,必须建立公共的 安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义,要给出 结构化的安全态势信息描述方法及规范,以此作为安全态势感知系统处理分析 的数据基础,以及态势感知与应急响应等多个系统联动的公共数据基础。
Computer Science and Application 计算机科学与应用, 2019, 9(8), 1611-1624 Published Online August 2019 in Hans. https://www.doczj.com/doc/4419151519.html,/journal/csa https://https://www.doczj.com/doc/4419151519.html,/10.12677/csa.2019.98181 Research and Application of IDC Security Situation Awareness System Zongfu Li1*, Kang Chen1, Ang Li2, Yang Li1 1School of Computer Science, Wuhan University, Wuhan Hubei 2Shenzhen Power Supply Bureau Co. Ltd., Shenzhen Guangdong Received: August 7th, 2019; accepted: August 22nd, 2019; published: August 29th, 2019 Abstract IDC equipment room is responsible for handling the massive data information at all times, and it is of great significance to discover and deal with the hidden dangers in time. In view of the lack of security awareness in data center, the lack of management work, the stubborn existence of illegal and illegal information, and the lack of trace information, this paper designs and implements an IDC security situational awareness system, which implements the early warning of abnormal de-vice information and IP and statistics of illegal and illegal information. Firstly, the overall solution of the system is proposed. The overall architecture, logical architecture, functional modules and structural units of the system are designed. Then the specific implementation methods of each function are described. Finally, the system is fully tested and the feasibility of the system is veri-fied, it has been put into practical use. Keywords IDC, Information Security, IP Detection, Keyword Filtering, Report Statistics IDC安全态势感知系统研究与应用 李宗福1*,陈康1,李昂2,李阳1 1武汉大学,计算机学院,湖北武汉 2深圳供电局有限公司,广东深圳 收稿日期:2019年8月7日;录用日期:2019年8月22日;发布日期:2019年8月29日 摘要 IDC机房时刻承担着处理海量数据信息的重任,及时发现和处理其中的安全隐患具有十分重要的意义。 *通讯作者。