方案描述
Scheme description
方案业务架构
Scheme business architecture
系统按照数据接入、分析预警、告警展示、态势感知功能过程进行设计其中态势感知包括网络入侵态势感知、异常流量态势感知、僵木蠕传播态势感知、高级恶意威胁检测、网站安全态势感知、系统漏洞态势感知六部分。数据接入源包括入侵检测/防护系统、流量分析系统、网站安全监测/防护系统、流量分析系统、漏洞扫描系统、未知威胁检测系统。
流量接入后首先经过入侵检测/防护系统处理后,Netflow数据转发到流量分析系统处理后经过底层大数据平台分析,到达态势感知平台;未识别的恶意文件转发到未知威胁检测系统,处理后经过底层大数据平台分析,到达态势感知平台。网站安全检测系统、漏洞扫描系统结果数据接入经脆弱性分析模块到达态势感知平台,由态势感知平台统一展示,整体流程如下图所示:
方案技术架构
Scheme Technology Architecture
态势感知平台整体分为四层,采集、存储分析层、展示层四部分。
采集层
部署各种采集探针、包括网络入侵探针、异常流量探针、僵木蠕探针、系统漏洞探针、网站安全探针五种类型探针,用于数据采集。
数据处理层
部署大数据处理引擎,用于采集上来的数据进行处理、存储。
应用分析层
部署各分析子系统及溯源追踪子系统,用于分析各类安全数据,为上层门户做支撑。
展示层
部署态势感知呈现门户,用于底层分析结果呈现。
方案业务场景
Scenario business scenario
浪潮云经过多年的研究,提出“基于对抗的智能态势感知预警模型”,形成“入侵攻击推理引擎”,取得较好的网络入侵态势感知效果。尤其是对“基于对抗的智能态势感知预警模型”的相关研究,团队吸收了 “杀伤链”(Kill Chain)和“攻击树”(Attack Tree)等相关理论,形成了独有的推理决策引擎,借助大数据安全分析系统的分布式数据库,可以实现网络入侵态势感知。
经过实际测试,在网络带宽1Gbps的典型环境中,入侵检测系统每日的日志在20万条左右,经过“入侵威胁感知引擎”分析处理后,形成500个左右的威胁事件,再经过“APT攻击推理引擎”分析处理后,仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一,大幅节省数据处理的时间成本和人工成本。
目前,DDoS攻击越来越频繁,尤其针对发达地区和重点业务。从重大攻击事件分析,追逐利益仍然是黑客攻击的主要动机,“黑客主义”事件也在不断挑战政府的网站。
在抗拒绝服务攻击方面,浪潮云经过多年研究,并与国内知名流量清洗厂商合作。可以对全网流量进行深度流检测,且具有网络流量自学习功能,与同类产品相比误报率降低80%以上。网络流量分析系统可以准确发现DDoS攻击事件并掌握攻击源、攻击目的、攻击总流量和峰值流量,协助客户准确掌握网络DDoS攻击态势。
僵尸网络、木马、蠕虫病毒三者合称“僵木蠕”。
僵木蠕对互联网和企业内部网络危害非常巨大。僵木蠕消耗大量网络带宽,引起ARP攻击等问题,造成骨干网络瘫痪。同时受到僵木蠕传染的主机受到命令控制服务器的控制,成为DDoS攻击的帮凶。更为严重的是,目前大多数僵木蠕的命令控制服务器位于海外,对国家网络安全造成严重的威胁。
浪潮云针对僵木蠕的传播特点,对网络上传播的僵木蠕进行识别,并追踪溯源僵木蠕的传播路径、控制命令路径,最终追踪溯源发现命令控制服务器。通过发现的命令控制服务器,再反查受控主机,最终实现对僵木蠕网络态势的感知,为后续采取行动打击僵木蠕创造条件。
黑客攻击本质上是利用系统存在的安全漏洞对系统进行危害。因此要避免黑客攻击,一个重要的安全防护手段就是在黑客之前发现重要信息系统存在的脆弱性问题,并进行修补,做到防患于未然。浪潮云与国内知名安全厂商合作,采用知名漏洞扫描引擎,可及时发现网络信息系统脆弱性,形成脆弱性态势感知。
网站作为网络信息系统对外提供服务的重要窗口,面临的安全威胁也是最多的。对重要网站信息系统的黑客攻击,不仅会对网站造成严重破坏,还会让黑客能够利用被黑网站对网站浏览者进行攻击,造成更为恶劣的影响。因此,需要对网站的安全态势进行监控,及时发现网站安全问题。
网站安全态势感知,可以及时监控到网站漏洞情况,发现网站挂马、网页篡改、域名劫持等黑客攻击行为,对网站平稳度、网站敏感内容等进行持续监控,并有效进行运维管理,从而避免因为网站出现问题导致公众问题。
快速选配套餐
Quick selection package
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过30点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站安全态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失。 | 1 |
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过100点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 入侵态势感知APP | 提供入侵态势监控分析服务 | 1 | |
| 漏洞态势感知APP | 提供漏洞态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失。 | 1 |
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过200点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 入侵态势感知APP | 提供入侵态势监控分析服务 | 1 | |
| 漏洞态势感知APP | 提供漏洞态势监控分析服务 | 1 | |
| 异常流量态势感知APP | 提供异常流量态势监控分析服务 | 1 | |
| 僵木蠕态势感知APP | 提供僵木蠕态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失 | 1 |
方案优势
Scheme advantage
深度包检测技术(DPI)与深度流检测技术(DFI)相结合
已知威胁检测技术与未知威胁检测技术相结合
安全事件分析引擎与攻击链模型相结合
大数据安全分析技术与数据可视化技术相结合
合作伙伴
Recommended products
