湖南农信：基于全流量未知威胁感知平台的安全编排自动化与响应（2023）（26页）.pdf

《湖南农信：基于全流量未知威胁感知平台的安全编排自动化与响应（2023）（26页）.pdf》由会员分享，可在线阅读，更多相关《湖南农信：基于全流量未知威胁感知平台的安全编排自动化与响应（2023）（26页）.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、基于全流量未知威胁感知平台的安全编排自动化与响应全流量未知威胁感知平台建设背景项目建设背景发展是安全的基础，安全是发展的保障网络安全已成为数字化转型的底板工程 数字化转型在推动业务模式创新、提升服务效率的同时，使风险的形态、路劲和安全边界发生变化，网络安全问题更为突出并日趋复杂。发展是安全的基础，安全是发展的保障，信息化和安全已经是一体之两翼，驱动之双轮，网络安全已成为数字化转型的底板工程。如何通过持续的安全运营保障数字化业务的发展和数据中心运营的安全，是我社网络安全研究的重点方向。对于数字化转型衍生的新型网络攻击，既需要利用威胁情报建立主动的检测和防御体系，也需要确保在检测与防御系统被绕过或

2、失效的情况下，仍然能尽快发现入侵事件，快速追踪溯源，清晰掌握攻击过程全貌，并能迅速采取响应动作，有效遏制攻击的进一步扩散。项目建设目标紧密围绕湖南农信数字化转型战略规划，全盘考虑，整体布局，重点突出，建设覆盖湖南农信全省网络安全感知“大脑”，提升内外部的安全风险感知预警能力、安全攻击检测分析能力以及安全运营能力，分阶段逐步建立起服务全省农信的威胁感知平台和安全运营体系，护航数字化转型战略规划落地。全流量未知威胁感知平台技术架构及特点平台整体技术架构一套管理平台：采用二级架构模式在省中心及各办事处部署全流量未知威胁感知系统平台，平台由数据资产接入、资产风险管理、威胁检测分析、威胁处置响应、数据可

3、视化管理等核心模块组成。一套运营机制：基于平台提供资产管理、威胁分析、漏洞管理、预警通知、威胁建模、安全事件管理等安全运营服务，构建可持续的安全运营体系闭环。多套产品能力协同：平台预留API接口，与现有或未来待规划安全产品进行对接，实现平台的联动处置、资产风险管理以及告警输出等。全流量未知威胁感知平台全流量采集与大数据分析1通过部署相关流量采集设备，对核心交换节点的所有上、下行流量进行采集，并将采集到的所有流量送给到分析系统。分析系统对 2-7层协议进行识别、过滤和还原，记录全流量五元组信息、7层协议流量请求信息、响应信息与 post payload 等，实现全流量采集及关键信息存储。同时结合

4、大数据安全威胁分析模型，通过大数据分析安全事件特征，与原始流量信息进行强关联的绑定，提升威胁发现的全面性。流量采集探针全流量五元组7层协议流量响应数据7层协议流量请求数据五元组、包统计信息请求头信息UA、Refer、X-forwarded-for等返回结果集大数据流式处理数据存储：日志封装、时间、五元组、触发规则、敏感数据、敏感级别、文件名、sql语句、结果集、客户端工具、客户端MAC地址、url、.流量流量分片请求体、Post Payload全流量协议双向探测安全告警格式化流量信息、原始报文信息模型算法安全告警与原始日志关联全流量未知威胁感知平台安全日志分析恶意威胁检测业务风险分析攻击行为分

5、析威胁情报关联Flow引擎分析Web应用日志分析异常流量分析流量采集探针流量分片全流量采集与大数据分析2流量探针网络流量分析流量分析检测引擎文件分析引擎行为分析引擎HTTP协议文件分离SMTP/POP3/IMAPDNSWebShell检测通用漏洞检测Web动态行为分析Shellcode检测C&C IP/URLDGA域名请求异常访问行为威胁检测检测引擎Web攻击恶意文件攻击异常访问SMB远程溢出攻击 风险识别Web后门勒索病毒挖矿软件威胁情报共享高级威胁检测服务其他异常流量SMB漏洞攻击敏感信息传输其他类型攻击态势感知、大数据平台kafka/syslog关联分析引擎机器学习引擎支持对HTTP、F

6、TP、SMTP、POP3、IMAP、DNS等常见协议的流量分析，通过流量特征检测、行为分析、关联分析、文件分析等流量检测引擎，从流量中检测IDS、IPS、WAF等传统安全设备未知的攻击行为，实现安全威胁“看得全”。全流量采集与大数据分析3将所有的行为进行综合分析后以攻击链的视角完美的呈现整个攻击过程。异常行为流量中恶意行为流量中的异常行为文件的异常行为关联分析白名单检测特征检测引擎威胁情报碰撞AI检测沙箱检测引擎侦察入侵命令控制横向渗透数据外泄痕迹清理平台建设三大阶段省中心平台搭建及初步运营 省中心平台建设，覆盖湖南农信各数据中心，接入省中心各网络区域流量，采集所有安全数据 开展业务场景的威胁