一、项目背景及目标

随着云计算、大数据、物联网、区块链等新兴技术的发展，网络安全攻击手段越来越多样化，网络安全事件层出不穷，尤其是针对云平台、数据中心关键信息基础设施等的攻击事件越来越频繁，传统安全解决方案：IDS/IPS、WAF、防火墙等将面临极大的挑战，这种被动防御能力和服务已经不能使安全能力有所提升。

另外以高级持续性恶意攻击（APT 攻击）为代表的新威胁，更是防不胜防。针对高级威胁，传统的头痛医头脚痛医脚的安全防御并无法解决问题，反而还带来了割裂的安全，缺乏全过程的防护。

充分考虑网络安全现状，着眼未来，邢台银行构建了网络安全态势感知系统。该系统解决了传统安全防护的薄弱环节，提升了我行网络安全事件分析、安全检测、分析、发现和保护的能力，形成对整体安全风险的全局视野和掌控。做好安全威胁的主动应对，真正实现“事前预判、事中防护、事后取证”的网络安全主动防御。

二、技术实现特点

1、UEBA行为画像

长期以来，传统安全技术都是依赖于规则进行检测，检测引擎里内置了很多已知规则、专家经验和人为设定的阈值，这种技术通常会导致误报率很高、准确率很低的问题，甚至对于一些新型的未知威胁行为根本检测不出来。

用户实体行为分析（UEBA）则是从另外一个视角去发现问题，从单维度检测到多维度分析，从单点检测到长周期分析，从基于规则分析到关联分析、行为建模、异常分析来发现更多更准确的安全威胁。

态势感知系统利用UEBA技术进行内部用户和资产的行为分析，对这些对象进行持续的学习和行为画像构建，以基线画像的形式检测基于基线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为，对用户/资产进行综合评分，识别内鬼行为和已入侵的潜伏威胁，提前预警。

在UEBA行为画像过程中，态势感知系统还会通过聚类等方式识别和划分具有相似行为、属性的群体，通过群体分析来实现小概率事件发现及未来风险的趋势预测：

1）通过群体发现异常。

如不同类型服务器如果被识别到同一个群体里，有可能是感染了相同的僵木蠕毒才有相似的群体行为，结合识别依据可发现异常，定位问题源。以此为模型可以延伸到帐号异常的行为检测模型。

2）通过群体关系异常预测未来风险趋势。

如通过群体内的访问关系，预测异常主机或已失陷主机是否会对同群组内的核心资产产生影响，是否应切断其到达核心资产的路径。

2、追踪溯源可视化

态势感知系统创新性地将网络流量访问可视化，同时形成“基于正常（未检测到问题）发现异常”的追踪溯源思路。以采集全流量NETFLOW，并结合几十种协议的深度解析和元数据采集、存储、关联分析，形成了一套可视化工具。结合伴随的追溯指引让安全分析人员可快速进行追踪溯源，还可结合业务相关差异实现从“正常”发现异常的行为。

1）流量可视

态势感知系统将采集的全网流量进行深度审计和数据关联，梳理形成访问关系。通过可视化技术，将流量从“横向访问”“外连访问”“外对内访问”等各个维度进行可视化呈现。

横向的访问（内对内），聚焦在横向的扫描扩散行为、可疑主动访问、风险应用访问等，通过对访问目标数排行来快速分析出潜在的“扫描行为”。

外连访问则可以快速定位服务器或终端访问了哪些地区，让安全分析人员可以快速从“可疑的地区”“可疑的应用、端口”来切入开始下一步的检索追踪。

通过可视化的逐层下钻，可将可视化呈现的异常路径下钻到具体的源主机责任人、访问的应用、持续时间、传输数据大小等具体流量细节，深挖隐藏在正常流量下的真实面貌。

2）威胁追捕

网络威胁追捕指对潜伏威胁进行主动搜索的一种积极网络防御活动。态势感知系统威胁情报及流量可视，构建成本地威胁情报中心，基于流量可视的形式建设了一个统一的威胁追捕入口。分析人员将可疑的IOC进行搜索，即可找到与该IOC有关的详细访问关系，可清晰看到谁访问了它，或者它访问了谁，以及使用的端口和应用等，结合下钻来追溯内网存在的共性现象和违规行为。

3）统一检索

为快速检索具体IOC匹配情报的相关数据，态势感知系统提供了威胁追捕的统一检索入口，参考kibana框架实现对所有安全日志、第三方日志和流量元数据的统一检索引擎，细化到每个日志字段的关联查询和多个正则条件的组合查询，并提供亿万级日志的秒级查询性能，便于快速溯源分析。

3、机器学习技术使用

传统的规则检测技术无法应对新威胁，通过机器学习不断构建的检测模型可适用于发现未知威胁和可疑行为，提升检出率，避免规则库依赖。

态势感知系统将机器学习技术应用到整个攻击链的每个过程中，为威胁溯源/追捕、攻击路径可视、安全可视提供基础。主要应用于以下两个场景，来增强产品对已知、未知威胁的应对能力。

1）精准的已知威胁检测

与特征检测结合，解决当前已有能力在应对已知威胁上的不足，如检出率低、性能消耗等问题，甚至是以机器学习算法模型来直接替代规则检测，发现已知威胁，提升态势感知系统对已知威胁的检出率好准确率。

2）发现内鬼和未知威胁

在规则无法检测的情况下，态势感知系统通过机器学习技术应用到行为分析中，发现变种行为、未知威胁及内鬼行为。

4、威胁深度分析

1）攻击事件深度挖掘

暴露在互联网的资产每天都可能遭受到大量的攻击，万级甚至亿级的日志告警容易掩盖针对性的攻击和潜在威胁，使IT运维复杂化，靠人工又难以分析出有效的风险，导致重要威胁被遗漏，未能及时发现风险。

态势感知系统针对攻击日志进行深度挖掘分析，通过内置关联分析模型将亿级日志进行事件化，减少大量冗余的无效告警。区别于传统的归并方式，态势感知系统的攻击事件化是针对相似攻击意图进行关联，用于挖掘针对性的攻击，并结合攻击事件给出相应的处置建议，形成攻击闭环。

2）成功的攻击事件检测

针对绕过的外部攻击或内部发起的攻击行为，若不能及时知道其对受损主机的影响，就难以及时发现受控情况，从而导致未知风险。

态势感知系统构建了基于机器学习方式的“攻击命令和响应模型”，结合主机正常网络请求的基线学习，形成了针对重要攻击是否成功的入侵检测能力，协助评估受损情况。如针对Struts2漏洞攻击，能识别攻击是否成功、攻击的命令语句和执行结果等，识别攻击影响；而针对暴力破解，可识别爆破的协议、被爆破成功的账号等信息，结合流量审计可直接判定主机是否已失陷且已被登陆。

5、威胁情报结合

态势感知系统通过从云脑（云端威胁情报中心）获取可机读的威胁情报，结合本地智能分析引擎，对本地网络中采集的流量元数据进行实时分析比对，发现已知威胁及可疑连接行为，增加智能分析技术的准确性和检出率。如通过行为分析发现的隐蔽隧道通信行为（如DNS隧道）仅为可疑行为，但若其连接的地址信息与威胁情报的僵木蠕毒情报相关联，通过分析模型可检测为远控行为。

同时，下发的威胁情报结合本地流量数据，可形成本地化的威胁情报，安全分析人员可利用威胁情报及时洞悉资产面临的安全威胁进行准确预警，了解新的威胁动态，实施积极主动的威胁防御和快速响应策略，准确地进行威胁追踪和攻击溯源。

三、项目过程管理

1、需求分析阶段

此阶段时间段为2020年8月至2020年9月，其间对态势感知系统需要实现的各个功能进行详细需求分析，同时完成了系统性能、可靠性、响应时间、可扩展性等方面的非功能性需求分析，另外对系统软件构架和部署模式进行了初步设计。提交了现状需求分析报告、技术构架和部署方案等文档。

2、系统设计开发阶段

此阶段起始时间为2020年9月至2020年11月，其间根据需求分析阶段对态势感知系统的各个功能模块的要求，并考虑到经济、技术条件、运行环境和进度要求等，确定了系统的总体结构和系统各组成部分的技术方案，提交了态势感知系统设计方案等文档。

3、系统测试阶段

此阶段起始时间为2020年11月至2020年12月，其间完成了态势感知系统各个功能模块的联动测试以及系统整体性的测试工作，提交了态势感知系统测试报告、系统操作文档等文档。

4、上线运行阶段

此阶段起始时间为2020年12月至今，完成了态势感知系统的上线工作，并持续监测上线运行的情况，对系统功能模块进行持续完善优化。

四、运营情况

1、全面监测

要做到全网威胁感知，必须需要具备多维度的监测、分析体系。态势感知系统从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建，来达成全面的检测体系。这三大维度均有其对应的终目标，包括：

1）脆弱性：以业务资产为核心，寻找暴露面。

2）外部攻击：寻找基于攻击突破的入口点及攻击绕过情况，结合脆弱性感知来针对性的调整防御策略，决策加固方向。

3）内部异常：寻找已经被入侵成功的失陷主机及内鬼，揪出已在内部潜伏的威胁，避免继续受损及影响扩散。

2、安全可视

1）宏观决策

基于宏观视角，展示整体安全情况，能清楚的了解当前网络安全状况、评级分数、爆发的重大事件等，并能评估防御不足还是内部威胁，决策哪里需要加固。

2）微观运维

微观运维主要价值在于固化运维工作流程、并简化运维，让管理员可以结合安全态势感知进行有效运营，提升效率，提升全网安全高度。

3、运营处置

为固化工作流程，简化运维，构建了一套基于“应急处置 -> 影响面分析 -> 入口点溯源 -> （外传数据）会话分析”的分析处置逻辑链，当安全事件发生时，运营人员通过固化的处置逻辑流程即可快速完成处置。

1）应急处置：当安全事件发生时，为避免势态升级或影响到重要业务，需要对事件进行快速应急处置。

2）影响面分析：当安全事件处置后，态势感知系统提供了基于影响面分析的可视化工具，用于分析风险主机导致的影响面，了解其对内、对外已经影响了哪些资产，需要在下一步对哪些资产进行处置，消除已产生的受损情况，评估整体危害程度。

3）主动溯源：通过主动回溯分析的方式，分析攻击的入口点，挖掘已知威胁是通过什么方式进入内网的，便于加固闭环，封堵缺口，避免同类事件发生。

4）会话分析：基于采集的流量和会话数据，可以分析主机在失陷过程是否存在对外、对内的异常会话，分析是否有数据外传、泄漏等风险发生。便于在溯源处置后，分析已发生的其他威胁。

五、项目成效

1、全局安全可视

通过全流量分析、多维度的有效数据采集和智能分析能力，实时监控全网的安全态势、内部横向威胁态势、业务外连风险和服务器风险漏洞等，让运营管理人员可以清楚的感知全网是否安全、哪里不安全、具体薄弱点、攻击入口点等，围绕攻击链（kill-chain）来形成一套基于“事前检查、事中分析、事后检测”的安全能力，看清全网威胁，从而辅助决策。

2、大数据分析、检索能力

态势感知系统基于hadoop大数据框架，结合Eleastic Search引擎进行设计，默认具备TB级别的海量数据存储、关联分析能力，并可通过集群等方式进行扩充。

3、智能分析能力，应对未知威胁

随着黑客的技术发展以及变种、逃逸技术的不断改进，传统安全设备的静态规则防御手段已经捉襟见肘，依靠规则仅能防御小部分已知威胁，已无法检测新攻击、未知威胁。安全平台具备智能分析技术，利用机器学习、关联分析、UEBA等新技术，能够检测APT攻击、网络内部的潜伏威胁等高级威胁，无需更新检测规则亦能发现新威胁。

4、实时监测，精准预警

态势感知系统通过对全网流量、主机日志和第三方日志的采集分析，实现对已知威胁（僵木蠕毒、异常流量、业务漏洞等）和未知威胁（网络僵尸、APT、0day漏洞等）的全天候实时监测，同时结合智能分析和可人工干预的便捷运营支撑，对已发现的威胁进行精准化预警，简化运维，有效通报预警。

5、高效协同响应，阻断风险扩散，辅助闭环

态势感知系统可与安全设备进行联动，安全设备不仅作为安全数据采集，当发生重要安全事件或风险在内部传播时，亦可通过联动进行阻断、控制，避免影响扩大。联动方式涉及到网络阻断、安全隔离、终端安全查杀，可有效辅助管理员进行问题闭环。

6、威胁举证与影响面评估

传统的安全分析主要以日志为核心，以IP为分析源，难以实现详细的事件级举证呈现，无法全面的了解受损情况。

态势感知系统自动将IP以资产类型进行划分，区分业务安全、终端安全等多维度展示不同类型的受损情况，迎合运维人员对业务资产的侧重点。结合详细的攻击内容举证、多维度潜伏威胁、基于流量可视的威胁黄金眼，可清晰直观看清威胁影响面，评估受损情况。

7、追踪溯源支撑

态势感知系统基于全流量和设备日志（中间件、操作系统、安全设备等）的有效数据提取能力，实时提取有助于威胁分析和追踪溯源的关键元数据，结合TB级别的超大存储空间及集群部署能力，可存储至少1年以上的元数据。同时，利用可视化技术形成以流量可视、潜伏威胁黄金眼、威胁攻击链可视、统一检索及大数据能力等技术为主的追踪溯源支撑体系，为安全专家的溯源分析提供有力支撑。

六、经验总结

通过态势感知系统的建设，解决了传统网络安全单点管理模式的信息孤岛问题，实现对我行安全信息全方位、全天候的总览监测和态势数据综合分析。该系统为我行提供了基于汇总全网相关的攻击行为相关信息的攻击感知，通过统计分析、关联融合等手段对攻击信息进行闭环处理。同时提供了全景式的攻击态势监视，从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等多维度进行攻击态势呈现，预警行内的重要安全风险，实现对我行行网络安全整体的“可见、可查、可控”能力。