H3C 安全威胁发现与运营管理平台是以安全大数据为基础,对能引起网络态势发生变化的要素进行获取、理解、评估和呈现,并对未来发展趋势预测;从全局视角对安全威胁进行发现识别、理解分析、响应处置;通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,安全能力的落地实践。
为了满足多方面、多维度的安全检测需求,安全威胁发现与运营管理平台提供多业务感知引擎,提升对全网风险威胁的检测、判断、识别、预测和告警能力。根据业务场景,不同业务引擎间可模块化组合,协同完成威胁检测、异常发现、攻击溯源、态势呈现和联动响应等功能,同时将机器学习引入多业务感知引擎,可以对海量的安全信息进行自动分析与深度挖掘。
为了全面采集情报、网络、终端等信息,为风险分析提供支撑,安全威胁发现与运营管理平台一方面接入外部威胁情报,另一方面采用主动、被动技术对全网中各种网络设备、安全设备、漏扫设备、互联网爬虫、主机及业务应用系统的异构海量日志进行采集,通过日志范式化处理和日志分类,实现不同厂家日志与系统的快速适配。
基于机器学习和专家系统,对大范围样本数据进行安全分析,利用机器学习算法,建立用户行为、异常流量和威胁攻击等基线,训练出异常流量检测、威胁行为分析和流量趋势预测等模型,同时建立知识库不断优化调整模型,发现威胁并预判趋势。
为了还原攻击链条,完成取证分析,安全威胁发现与运营管理平台以威胁事件为入口,以安全威胁模型为基准,针对攻击全过程中攻击者留下的任意线索进行多维拓展,利用云端丰富的实时威胁情报和本地的网络行为、终端行为、文件信息,对安全事件进行回溯和调查,可视化绘制出完整的攻击链条,覆盖攻击的源头、手段、目标、范围等相关信息,并对被发现的未知威胁进行快速溯源和定性。
为了实现对外部威胁的主动防御,构建“云-网-端”协同的主动防御体系,通过知识库进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网关键设备,现有安全硬件网关充当执行单元,通过云端检测与边界防御,实现安全事件的预警、响应和处置。
为了有效监控在网资产运行及风险状态,快速处置故障及风险事件,平台支持基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
为了从不同角色、实体维度进行风险呈现,为安全运营提供决策依据,平台支持针对不同角色差异化展示安全风险信息。平台以安全大数据为基础,通过可视化技术,从第三方监督专员、业务运营专员、信息安全专员和IT运维管理员等视角进行风险呈现,从资产/流量/业务/行为等维度形成可视化视图,同时提供丰富多样的数据可视化效果,包括3D图表、雷达图、拓扑图、热度图等样式,实现安全事件多维可视。
安全威胁发现与运营管理平台的关键在于采集大量分散的异构传感器提供的安全信息,将这些信息归一化处理,进行大数据关联分析,从而生成有效的安全事件,并以可视化方式呈现出来,使网络管理者能够迅速把握复杂、动态的安全态势。平台系统工作流程架构如下图所示。
数据采集包括主动采集、被动采集和日志导入三个部分,用于将数据源日志信息采集至平台。
· 主动日志采集:平台主动向数据库、日志服务器发起FTP、ODBC、JDBC等连接,主动获取日志或业务数据信息。
· 被动日志采集:平台接收各安全传感器和流量传感器通过Syslog、SNMP、NetStream、HTTP、HTTPS等协议上报的日志信息。
· 日志导入:平台支持接收文本格式日志信息导入。同时,数据采集对采集到的日志信息完成原始编解码处理。
数据处理流程包括数据预处理、分布式存储、分布式检索三个部分。
· 数据预处理:对编码后的原始日志信息进行适配解析和归一化处理,并完成上下文信息丰富(资产、用户、地理位置、区域等信息)。
· 分布式存储:丰富后的日志信息数据、原始流量抓包文件、大数据分析及计算结果信息归类存储,所存数据用于关联分析、AI机器智能学习、取证溯源和威胁信息可视化;考虑到处理性能和可靠性要求,数据进行分布式存储,并且支持按需扩展存储节点。
· 分布式检索:ClickHouse和ElasticSearch分布式检索引擎相结合,兼顾稳定性和检索效率,支撑平台海量日志存储与处理;大数据的快速检索引擎为高速网络流量的深度安全分析提供了技术支持,为高智能模型算法提供计算资源。
安全威胁发现与运营管理平台采用大数据存储架构和集群计算分析引擎构建大数据存储、计算平台。
· 事件关联分析
事件关联分析是指挖掘大量事件之间的关联和时序的关系,进行清洗、聚合。借助先进的关联分析引擎,抽取出真正重要的威胁事件。
平台系统引入威胁情报数据,通过安全日志、流量日志与情报的深度线索关联,实现对高级威胁或APT攻击的有效检测和跟踪,并可结合云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。
功能实现方面,平台内置了部分关联分析规则,同时支持用户自定义关联分析规则。用户可以定义基于逻辑表达式和统计条件的关联规则,所有日志字段都可参与关联,从而有效发现针对特定场景下的安全事件。
当多条日志匹配了某一关联规则,则认为它们之间存在对应的关联关系,系统将输出异常事件,同时将匹配用到的原始日志记录到异常事件中。
· 场景化分析
场景化分析针对关联分析后的安全事件,对危害程度高、业界关注度高的安全事件,通过一系列图、表等可视化界面,依据攻防等经验构造的数据展示形式进行专项场景化归类分析呈现。包括挖矿感染分析、勒索感染分析、C&C外联分析、恶意文件分析和热点事件分析。
· 流量和行为分析
平台可通过知识库的配置,将监测区域内地址分为服务器对应资产信息和个人终端对应用户信息。基于会话日志和审计日志对全网流量进行深度检测和分析。
一方面,对于资产而言,实现相关业务访问的精细化管理,建立网络流量的多维度流量基线,从而为后续的链路、带宽、和服务器扩容提供技术支撑;对用户而言,对其访问轨迹、互联网访问的内容和关注重点等进行分析,同时通过数据挖掘找到其兴趣爱好,对用户进行画像,从而为后续的信息推送等服务提供支撑。
另一方面,通过资产和用户的流量分布情况、访问关系、流量走向、协议端口等维度建立流量和行为基线,发现隐藏在流量中的攻击行为和失陷信息,即异常流量和异常行为。在实际应用中,此功能可有效监测出绕过传统安全产品防御的未知威胁攻击。
流量基线来源有两种:系统自学习和用户自定义。
○ 流量基线自学习,就是系统自动统计一段时间内(比如一个月)网络内访问信息和流量信息,以此访问和流量信息为基础(对于流量数据,还会自动设置合适的上下浮动范围),自动生成流量基线。
○ 用户自定义流量基线:用户手工配置访问和流量规则。
· 脆弱性分析
脆弱性分析是指,平台管理和分析漏洞检测和风险评估的漏洞数据,并对漏洞状态进行持续跟踪。提高漏洞检测、漏洞数据管理、漏洞运维各个环节的自动化程度,让用户能够掌握漏洞态势。提高漏洞管理和运维工作效率,降低工作难度和成本。帮助用户形成快速测试,快速分析、快速响应的能力,减少黑客利用的时间窗口。同时改进检测方法和策略,形成良性的循环。
· AI机器学习
利用人工智能技术构建“安全大脑”,对全网海量安全信息进行自动分析与深度挖掘,及时掌握安全状况和发展趋势,快速进行自适应联动响应,从而全面增强整体安全防护能力。
安全威胁发现与运营管理平台应用机器学习等技术构建安全大脑,基于样本数据的训练,利用LSTM(Long Short Term Memory)算法、CNN模型(卷积神经网络)等生成分类器模型,并在客户环境利用分类器模型进行DGA域名访问、DNS隐蔽隧道利用等方面的检测,从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为,实现从被动监测到主动防御的跨越。
· Web监测分析
通过沙箱技术、威胁情报、漏洞扫描等技术提供主动的网站安全监控与检测功能。帮助客户全面掌握网站风险情况(漏洞、弱口令等)、实时监控网站安全状态(钓鱼、木马、暗链等)并及时发现网站篡改事件。
· 深度综合关联分析
安全威胁发现与运营管理平台对安全事件分析引擎、异常流量检测引擎、AI机器学习引擎、脆弱性检测引擎等进行有效整合,再次进行高精度深层次关联分析,通过主机IP、文件MD5和URL等建立异常的时序和关联关系,根据预定义的行为判定模式判定是否高级威胁,同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估,从而产生可信度高的威胁事件。
安全威胁发现与运营管理平台通过“Web+APP”方式进行威胁事件和风险状态的可视化呈现。
· Web页面方式为网络安全运维人员进行威胁事件排查和处置提供数据依据和解决方案。
· APP方式的大屏可视化,具备多维度图形化和3D立体图滚动展示界面,实时展现企业在全球范围内面临的威胁和攻击,预判全网安全走势。
· 浏览器推荐使用Chrome85及以上版本。
· PC的推荐显示分辨率为1600*900像素。
在Chrome浏览器地址栏输入平台IP地址(标准版IP地址缺省为192.168.0.3/16,可在“系统配置 > 全局配置 > 平台网络配置”页面进行修改;集群版IP地址在平台安装过程中手动配置),即可进入登录界面。系统设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTPS服务登录设备的Web界面。
安全威胁发现与运营管理平台基于最小特权和权值分离的原则,将用户特权集进行划分,分别授予管理员、业务管理员、系统管理员、审计管理员:
· 管理员:拥有系统所有权限。
· 业务管理员:拥有业务相关信息查看和威胁处置权限。
· 系统管理员:仅拥有系统相关配置功能。
· 审计管理员:仅拥有日志查看功能。
缺省的Web登录信息如下表。
用户名/密码 |
用户角色 |
用户权限 |
admin/secCsap@12345 |
管理员 |
拥有系统所有权限 |
buzAdmin/buzCsap@12345 |
业务管理员 |
拥有“概览”、“分析中心”查看权限,以及“处置中心”、“报表中心”管理权限 |
sysAdmin/sysCsap@12345 |
系统管理员 |
拥有“资产中心”、“系统配置”及“配置中心 > 数据源配置”管理权限。但只能查看用户及角色信息,不能新增、删除或修改用户及角色 |
auditAdmin/auditCsap@12345 |
审计管理员 |
拥有“系统日志”查看权限 |
首次登录建议使用admin用户登录。首次登录设备后,可以进入“系统配置 > 权限管理 > 用户管理”界面修改用户的密码,以提高安全性;还可以创建新的用户,方便对设备进行管理。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。单击Web页面右上角的用户名后面的三角符号,选择注销,即可退出Web。
· 不同设备型号及软件版本的Web界面可能有差异,请以设备实际情况为准。
· 首次登录时浏览器可能会提示证书错误,选择继续前往即可。
· 用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。
配置向导用于指导用户快速配置系统基础功能。配置向导主要在以下两个场景中使用:
· 首次部署后:系统首次部署后,引导运维人员进行基础功能配置。
· 基础功能配置不完全:用户登录后,系统将自动检测当前是否已完成基础功能配置,未完成则弹出配置向导进行提示。
1. 首次登录系统后,系统会自动弹出配置向导页面;用户也可通过单击页面右上角用户名后面的下拉三角符号进入配置向导页面。
2. 根据页面提示完成相关配置。配置完成后,单击<完成>按钮完成操作。
3. 如需后续登录时不再弹出本页面,请勾选页面下方“不再提示配置向导”。
· 网络配置
网络配置用于修改本系统的网络参数,包括DNS服务器IP地址、网络代理参数、系统IP地址、网关以及Web端口。
○ DNS服务器设置:情报在线升级功能需要配置DNS服务,用户可根据实际情况配置DNS服务器IP地址。
○ 网络代理设置:当系统不能访问公网时,可配置代理服务器,使系统能够通过代理访问公网。
○ 平台IP地址/网关设置:系统首次部署或网络变更时,可修改系统IP地址。修改系统IP地址后,采集器IP地址将自动更新为修改后的IP。此时,需要将被动采集日志源设备上配置的日志主机IP地址更新为修改后的IP,否则系统无法接收设备上报的日志。
仅安全威胁发现与运维管理平台标准版支持配置本参数。
○ Web端口设置:用于配置web服务使用的端口,默认端口为443。若修改后的端口为内部服务已使用端口,系统会提示端口已被占用。
有关网络配置的详细介绍请参见平台网络设置。
· 日志源配置
系统支持主动采集和被动采集两种方式采集日志。被动采集是指如防火墙、流量探针等具有日志外发功能的设备主动向系统发送日志,系统被动接收;主动采集是指数据库、FTP服务器等设备不能主动外发日志,系统需主动访问这些服务器获取日志。添加设备为日志源并关联采集器后,采集器会定时采集设备日志并上报给系统,以便系统分析网络态势。有关日志源配置的详细介绍请参见日志源配置。
· 区域配置
区域是本系统针对用户网络进行的逻辑划分,与内网IP段绑定,方便识别IP地址是否为内网IP及其地理位置;同时,系统通过分析区域中IP的安全状态,从而推断出区域的网络安全状况。有关区域配置的详细介绍请参见区域配置。
· 资产配置
资产是安全事件发生时的直接承受者或发起者,如防火墙、路由器、交换机、服务器、摄像头、固定IP地址的终端等均可配置为资产。配置资产及其所属区域后,系统可以统一监测资产安全状态。有关资产配置的详细介绍请参见资产配置。
· 用户配置
实际组网中存在动态分配IP地址的终端时,需要配置用户网段。用户网段与内网IP段绑定,用户网段中所有IP都会被标识为用户,并关联到相应区域。方便系统统一监测用户安全状态。有关用户配置的详细介绍请参见用户配置。
· 威胁情报配置
情报中包含了威胁的上下文信息,通过威胁情报可以识别渗透、数据盗取等网络安全事件,以及攻击者的动机、攻击过程及使用工具等。有关情报配置的详细介绍请参见威胁情报。
· 综合概览
从全局风险评估视角展示整网风险。
· 处置中心
对网络中发生安全事件、存在的风险资产和风险用户进行处置。支持与自有防火墙、IPS设备进行联动,通过黑名单和访问控制策略的自动或手动下发,实现基于安全事件的攻击阻断和告警。
· 分析中心
提供全网流量分析、场景分析等功能,便于管理员直观掌握全网行为态势。同时,在用户进行调查取证分析时,支持日志智能检索。用户可通过输入关键字条件快速检索到相关的日志和流量元数据,并可以进一步查看日志和流量元数据的详细信息。
· 资产中心
用于管理区域、资产和用户信息。
· 报表中心
提供基于风险、流量、行业等多种报表模板,提供多层次、多角度、多种格式、满足不同管理角色需求的详细的分析报表,方便管理员将整网安全状态分析结果生成报表,导出到本地分析。同时,支持客户指定的周期自动生成报表以帮助用户周期回顾安全情况。
· 配置中心
提供系统基础配置,包括数据源配置、关联规则、情报等配置。
· 设备中心
提供管理和监控设备功能,包括物理设备和虚拟设备,并支持同步设备上的业务配置到平台进行管理以及向设备下发业务配置。
· 通报中心
提供事件通报处置功能,对全网通报的事件进行汇总和展示,方便用户快速了解通报事件信息。同时提供流程化的工单管理功能,基于安全事件维度,支持工单层级下发,并可跟踪流转状态可跟踪,形成安全事件闭环处理。支持以短信或者邮件方式将针对关键资产,危害等级高的安全事件通告给运维人员的告警功能,使威胁事件得到及时处理,将威胁事件带来的危害降到最低。
· 应用中心
提供设备联动功能,并支持用户根据实际需求自行接入其他第三方管理平台。同时,为方便系统运维人员了解全网安全和流量状态,支持移动终端APP功能。运维人员登录APP,可进行系统初始化配置、系统状态查看、威胁统计查看、资产查看及管理、流量分析统计、行为分析统计、策略联动下发等操作。
· 系统配置
提供用户权限、个性化信息的配置、平台升级及系统监控等功能。管理员可实时监控平台整体运行状态和资源消耗情况, 包括平台CPU使用率、内存使用率、磁盘的系统区与数据区的使用率,还可以查看平台的核心服务与各服务器节点的运行状态。
在云安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 租户资产威胁监测
实时监测云租户网络资产,及时响应威胁,保持云网络的健康状态。
· 云自动化安全运维
基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
· 云安全可视化
提供丰富多样的数据可视化效果,通过大屏展示3D图表、雷达图、拓扑图、热度图等,实现云安全事件多维可视。
· 定制化报表展示
指定周期自动生成报表以帮助云网络租户掌握安全情况。同时系统提供的报表模板可灵活编辑,用户可根据自身需要在预置的报表展示内容中进行选择、调整顺序,以形成自身需要的报表。
在电子政务网络监测平台场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 安全运维一体化
实现运维平台与监测平台资产、安全信息、管理信息同步,实现政务外网资源的统一纳管。
· 监管流程化
通过工单、短信邮件实现监测流程化,建立应急机制,建设运维知识库,保证IT服务的知识传承有序,常规问题可通过知识库解决,提升效率。
· 能力定制化
定制对外展示门户;定制智能分析报表,实现数据的汇总分析;定制处置流程,实现安全事件处置可管可控。
· 安全可视化
构建安全大脑,采集全网事件,掌握全局安全状态,保障安全事件从发现到闭环全流程可管可视。
· 监防协同化
在监测的基础上,实现自动化防护能力;与终端安全管理、脆弱性发现系统、安全防护设备形成联动,实现快速响应。
· 资产数据化
梳理资产,将信息系统的基础信息、组件构成、责任单位及人员等信息电子化、数据化。为实现多级单位分级防护流程,划分权责界面奠定基础。
在企业场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 平台融合
安全管理平台与网络运维平台相融合,快速发现并定位问题,提升管理效率。
· 区域管理
按照区域和管理范围划分不同区域,按区域进行监控和管理,提升整体安全性。
· 定制化展示
根据企业自身需要量身打造定制化大屏,页面风格同企业风格相匹配。
· 自动化报告
按时生成安全报告发送给相关人员,报告内容可读性强,可指导后续安全加固。
在视频安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 持续监测
○ 掌握视频专网安全态势
○ 提升视频安全监测能力
○ 直观体现视频安全工作成果
· 威胁发现
○ 快速发现视频专网安全隐患
○ 提升视频专项安全分析预警能力
○ 威胁情报加强对威胁的多维度信息补充
· 处置响应
○ 提供安全事件响应处置管理抓手
○ 缩短安全事件响应处置时间
○ 提升视频安全防护策略变更效率
· 资产风险分析
○ 量化视频资产风险评估
○ 掌握整体视频资产风险走势
○ 掌握全网视频资产脆弱性
在高校场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 统一安全防护
通过机器学习、关联分析、情报融合,涵盖攻击、漏洞、外联风险监控,通过自动化编排实现主动防御。
· 资产梳理及核查
以信息系统为核心,完善的信息系统备案审批流程,上线前的安全核查。
· 安全运维管理
分级分权管理,定义校级、院级、信息系统及管理员,细粒度角色控制。
· 事件闭环处置
信息系统各角色接收、处置工单,并对风险进行自动化验证,上报风险处置结果,形成风险闭环。