网络空间安全态势感知与大数据分析平台建设方案.docx

该【网络空间安全态势感知与大数据分析平台建设方案 】是由【书犹药也】上传分享，文档一共【14】页，该文档可以免费在线阅读，需要了解更多关于【网络空间安全态势感知与大数据分析平台建设方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。网络空间安全态势感知与大数据分析平台建设方案
网络空间安全态势感知与大数据分析平台建立在大数据基本架构的基本上,波及大数据智能建模平台建设、业务能力与核心应用的建设、网络安全数据采集和后期的运营支持服务。
网络空间态势感知系统系统建设
平台按系统功能可分为两大部分:平常威胁感知和战时指挥调度应急处置。
平常感知部分涉及大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害限度启用不同的处置机制。
战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的迅速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同步为哈密各单位提高网络安全防御能力进行流程管理,定期组织攻防演****br/>安全监测子系统
安全监测子系统实时监测哈密全市网络安全状况,及时发现国际敌对势力、黑客组织等不法分子的袭击活动、袭击手段和袭击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高档威胁袭击的发现和辨认,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。
安全监测子系统有六类安全威胁监测的能力:
一类是网站云监测,发现网站可用性的监测、网站漏洞、网站***、网站篡改(黑链/暗链)、钓鱼网站、和访问异常等安全事件
第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,她们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。
第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC机房流量等流量采集上来后进行检测,发现***等袭击运用事件。
第四类把流量日记存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT等高档威胁告警。
第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日记比对,把流量的历史、多种因素都关联起来,发现深度的威胁。
第六类是基于机器学****模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站***、网站篡改(黑链/暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。
2、DDOS袭击数据监测:在云端实现对DDoS袭击的监测与发现,对云端的DNS祈求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同步将分析成果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多种省的流量监控资源,可以迅速获取互联网上DDoS袭击的异常流量信息,运用互联网厂商的云监控资源,结合本地运营商抽样采集的数据,才干迅速有效发现DDoS袭击,同步对袭击进行追踪并溯源。
3、僵木蠕毒数据监测:通过云端下发本地数据,结合流量数据进行分析,迅速发现我省/市感染“僵木蠕毒”的数据。僵木蠕毒监测重要来自两种方面:一是360云端僵木蠕毒平台对国内终端的僵木蠕毒感染信息进行采集,如果命中我省/市终端僵木蠕毒感染数据,通过对IP地址/范畴筛选的方式,筛选出属于我省/市的数据,运用加密数据通道推送到态势感知平台;二是对本地城域网流量抽样和重点单位全流量进行检测,将流量数据进行报文重组、分片重组和文献还原等操作后,传送到流检测引擎和文献检测引擎,通过流特性库、静态文献特性检测、启发式检测和人工智能检测方式及时的发现重点保护单位的僵木蠕毒事件
4、高档威胁数据监测:安全监测子系统需要结合所有的网络流量日记和威胁情报继续持续性的袭击追踪分析。云端IOC威胁情报覆盖袭击者使用的域名、IP、URL、MD5等一系列网络基本设施或袭击武器信息,同步威胁情报中还涉及了通过互联网大数据分析得到的APT袭击组织的有关背景信息,这对于APT袭击监测将提供至关重要的作用。
态势感知子系统
态势感知系统基于多源数据支持安全威胁监测以及安全威胁突出状况的分析展示。综合运用多种获取的大数据,运用大数据技术进行分析挖掘,实时掌握网络袭击对手状况、袭击手段、袭击目的、袭击成果以及网络自身存在的隐患、问题、风险等状况,对比历史数据,形成趋势性、合理性判断,为通报预警提供重要支撑。该模块支持对网络空间安全态势进行全方位、多层次、多角度、细粒度感知,涉及但不限于对重点行业、重点单位、重点网站,重要信息系统、网络基本设施等保护对象的态势进行感知。
态势感知子系统分为两部分:态势分析和态势呈现
态势分析:针对重保单位、网站数据采集分析,通过安全监测子系统对DDos袭击监测、高档威胁袭击检测与APT袭击检测、僵木蠕毒检测、IDS检测等功能,通过歹意代码检测、异常流量分析、威胁分析等技术进行宏观分析后,以监管单位为视角,对本项目监管范畴下的单位安全状态进行监测。并且根据系统内置的风险评估算法给出目前被监管单位的整体安全评估。
态势呈现:通过都市安全指数、区域安全指数、单位安全指数、威胁来源、袭击分析、威胁同比、威胁环比、告警具体等呈现整体安全态势。
通报预警子系统
通报预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取的态势、趋势、袭击、威胁、风险、隐患、问题等状况,运用通报预警模块汇总、分析、研判,并及时将状况上报、通报、下达,进行预警及迅速处置。可采用特定对象安全评估通报、定期综合通报、突发事件通报、专项通报等方式进行通报。
等保管理子系统
等保管理模块针对全省信息安全级别保护建设工作进行监管,通过等保信息系统管理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保安全事件管理和等保综合分析报表对列管单位及其重要信息系统有关的备案信息、测评信息、整治信息和检查信息等业务数据进行管理。
追踪溯源子系统
追踪溯源子系统在发生网络袭击案(事)件或有线索状况下,对袭击对手、其使用的袭击手段、袭击途径、袭击资源、袭击位置、袭击后果等进行追踪溯源和拓展分析,为侦查打击、安全防备提供支撑。追踪溯源子系统针对高档威胁袭击、DDoS袭击、钓鱼袭击、木马病毒等歹意行为通过云端数据进行关联分析、拓展扩线,进行事件溯源,为案件侦破提供技术、数据的支撑。通过关联分析、同源分析、机器学****等技术手段对互联网端的海量数据(典型如:Whois数据、歹意软件样本MD5、DNS数据、网站访问数据等)进行数据梳理与数据挖掘,扩大互联网的歹意行为线索信息,还原出本次歹意行为大体的原貌,并可以通过歹意网络行为的一种线索扩展发现出更多的诸如袭击所用的网络资源,袭击者信息,受害人信息等线索。具有根据源ip、源端口、宿ip、宿端口、传播层合同等条件收集数据,具有联通日记、dns解析数据以及网络安全事件日记的关联挖掘能力等。
威胁情报子系统
威胁情报子系统通过采集360云端获取APT及高档威胁事件分析、黑产事件分析、影响范畴较广的核心漏洞分析等威胁情报信息,将其中抽取出来的袭击手法分析、袭击组织分析、袭击资源分析等信息,运用通报处置核心组件接口,向本地其她核心组件及有关部门进行情报报送。运用情报数据拟定和处置安全事件后情报信息核心组件提供情报处置审计追踪的功能,对基于情报处置的安全事件进行处置流程、处置成果、处置经验等信息进行审计追踪并归档,便于后续安全事件的分析处置,提高安全事件处置工作效率。
指挥调度子系统
指挥调度模块重要用于在重要会议或重大活动期间,加强网络安保人员调度,全方位全天候掌握我省与活动有关的单位、系统和网站安全状况,及时通报预警网络安全隐患,高效处置网络安全案事件。协同多家技术支撑单位、互联网安全厂商、网络安全专家以及其她职能部门保障整个过程的网络安全和数据安全,实现网络安全的态势感知、监测预警、指挥调度、告知告示、应急处置及协同技术支持等能力,对网络安全威胁、风险、隐患、突发事件、袭击等进行通报预警,对重点保护对象进行全要素数据采集,重点保护,并进行全要素显示和展示,实现重保期间全方位全天候的指挥调度能力。
侦查调查子系统
侦查调查核心组件重要波及网络案事件的处置工作,在案事件发生后,办案民警运用该功能模块进行调查、取证,查找袭击来源、袭击手段以及袭击者等基本状况,形成案件线索,有必要时可以提供应网综平台,协助网络案情的侦查打击。同步提供案事件处置状态的跟踪与沟通,实现对案事件的闭环业务解决。
应急处置子系统
应急处置根据安全监测发现的网络袭击、重大安全隐患等状况及有关部门通报的状况,下达网络安全事件迅速处置指令。指令接受部门按照处置规定和规范进行事件处置,及时消除影响和危害,开呈现场勘察,固定证据,迅速恢复。对事件处置状况、现场勘察状况以及证据等方面状况及时建档、归档并入库。
移动APP
提供手机APP应用功能,用于发布信息安全通报、信息安全告示、等保政法规、风险提示等信息。通报预警、迅速处置等可以通过平台与移动APP相结合的方式进行通报实现。预警通报可以采用移动APP告知有关负责人。通过网安专网下发到有关单位,使有关单位可以及时接受并处置,移动APP支持多级组织机构管理,针对公安顾客提供网络安全监测和通报数据管理的功能,针对重保单位顾客提供通报消息告知和公开预警通报查看功能。
运营工作台子系统
运营工作台子系统为安服人员提供平常工作的待办提示以及快捷入口并能体现平常工作的成果,平常工作涉及:资产维护、告警分析确认、安全事件深度分析(袭击者、受害者、袭击链)、有关告示的下发、现场检查、应急响应、各类报告的定期生成。提供平常运营常用工具的使用。具有平台平常的设备、服务、数据的状态监听功能。前场安服人员,可以在系统的规范下,更好的运营系统,最大限度的发挥平台的价值。
网络空间安全数据采集系统建设
安全数据采集能力建设是平台建设的基本,为大数据安全分析、安全态势呈现、通报预警、应急处置、等保管理、追踪溯源、威胁情报和指挥调度等业务模块提供数据资源。
安全数据采集能力建设重要涉及如下内容:
流量采集与分派
高档威胁监测与采集
僵木蠕毒监测与采集
云端威胁情报采集
DDoS袭击监测与采集
网站云安全监测与采集
级别保护数据采集
其她业务系统数据采集
流量采集与分派
根据项目状况可采集城域网流量、重保单位出口流量、IDC机房流量、电子政务外网流量:
重保单位出口流量:根据业务需要在重保单位出口进行全流量采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成原则化日记。
城域网流量:根据业务需要可在城域网出口进行流量抽样采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成原则化日记。
IDC机房流量:根据业务需要可在IDC机房进行流量抽样采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成原则化日记。
电子政务外网流量:根据业务需要可在电子政务外网机房进行全流量采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成原则化日记。
采集方式如下:
分流:正常业务数据的分流功能,按照五元组规则将同一种会话的所有报文(即一种上网顾客的所有数据)输出到同一台数据解决设备,并且为所有后台数据解决设备提供相对均衡的流量,保证数据的解决能力,提高网络的灵活性和可用性。
抽样:未命中规则的报文采样井口采集直接输出,命中原则规则的报文采样在还原设备上软件实现,然后通过SDN互换网转发给第三方顾客使用。
复制:对重点IP报文数据的复制,然后转发给第三方顾客使用。
流量自动迁移:当后台个别数据解决设备浮现因硬件或软件故障死机时,SDN分流设备自动将数据分发到其她机器上,待设备恢复正常后,再将数据迁移到该设备上,从而保证数据的完整性。
高档威胁监测与采集
高档威胁涉及高档持续性威胁袭击(APT)、未知威胁袭击等,采用流量特性检测、自动连接关联、行为特性分析和端口匹配技术,对城域网的流量进行分析,结合第三方威胁情报数据,及时发现针对我省重保单位的高档威胁袭击。具体流量还原使用如下技术:
流量特性检测:流量特性辨认方式重要分为两种:一种是有原则合同的辨认,原则合同规定了特有的消息、命令和状态迁移机制,通过度析应用层内的这些专有字段和状态,就可以精确可靠地辨认这些合同;另一种是未公开合同的辨认,一般需要通过逆向工程分析合同机制解密后,采用报文流的特性字段来辨认该通信流量。
行为特性分析:针对某些不便于还原的数据流量,可以采用行为特性的措施进行分析。这种措施不试图分析出链接上面的数据,而是使用链接的记录特性,如连接数、单个IP的连接模式、上下行流量的比例、数据包发送频率等指标来辨别应用类型。
端口匹配技术:端口匹配指合同与端口的原则相应关系,根据TCP/UDP的端口来辨认应用。这种方式具有检测效率高的长处,弱点是容易被伪造,因此在端口检测的基本上,还需要增长特性检测的判断和分析,进一步解决数据。
通过以上技术,采集重保单位全流量并进行还原分析,存储到大数据存储分析平台,为感知平台提供进一步高档威胁检测及溯源追踪的数据基本。
僵木蠕毒监测与采集
僵木蠕毒监测重要来自两种方面:一是对本地城域网抽样流量和重点单位全流量在检测引擎上进行检测;二是360云端僵木蠕毒平台对国内终端的僵木蠕毒感染信息进行采集,通过对IP地址/范畴筛选的方式,筛选出属于我省/市的数据推送到态势感知平台。该数据来源于360云端安全数据采集,由于老式僵木蠕毒检测往往需要对所有镜像流量进行分析,而整个项目骨干链路较大,如果对所有流量进行僵木蠕毒分析将带来巨大的资金消耗,也增长系统维护的复杂度。而360云端监测方式获取的主机僵木蠕毒告警信息可以较好的满足安全态势方面的需求。360云端僵木蠕毒监测数据对平台本地监测数据进行补充,根据哈密有关的域名、IP地址等信息,对全国网络安全数据筛选出XX僵木蠕毒数据数据,按一定的时间规则推送到本地数据中心,是对本地安全监测数据资源的重要补充。
云端威胁情报采集
高档威胁情报来源于360互联网云端安全数据采集,需要依赖于360的互联网大数据技术,针对互联网上活跃的数百亿样本以及样本的行为做到实时追踪分析,并结合机器学****高档人员运营等手段对特定样本做到事先预测和进一步分析,逐渐挖掘出一系列与APT袭击有关的组织和袭击行为信息等情报信息,尚有通过其她方式获取的袭击者(敌对国家、敌对势力、恐怖组织、黑客组织、不法分子等)情报信息、袭击措施手段、袭击目的等情报信息。
DDoS袭击监测与采集
这部分数据来源于360云端安全数据采集。通过互联网可以对DDoS袭击的控制端进行监控,在云端实现对DDoS袭击的监测与发现,对云端的DNS祈求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同步将分析成果实时推送给本地的大数据平台数据专用存储引擎,运用360数据资源可以对DDoS监控提供整网意义上的追踪。
网站云安全监测与采集
网站的监测数据重要依托于运用360网站云监测系统,针对重点网站进行漏洞、篡改、可用性、众测漏洞、***以及钓鱼网站的监测。360公司根据本项目网安提供的列表,对网站进行持续的安全监测,并将监测成果推送到本地分析中心。网站监测数据涉及如下几类数据:网站暗链数据、网站***数据、网页篡改数据、钓鱼网站数据、网站漏洞数据、网站众测数据、网站可用性数据。
众测漏洞平台数据
360补天漏洞平台是漏洞众测平台,目前平台注册4万多白帽子,她们会将发现的漏洞提交到补天漏洞平台,在本项目中可将所辖区域的漏洞同步到态势感知平台,第一时间告示最新披露的本地网站的漏洞信息。
级别保护数据
级别保护数据采集为等保管理模块提供重要的数据支撑,采用批量导入或手工录入方式采集级别保护单位基本信息、系统定级备案信息、系统测评报告、检查信息和整治信息等数据。通过将级别保护数据与监测数据深度关联,全面反映我省重要信息系统的安全状况。级别保护数据采集的成果存入级别保护基本库,作为大数据中心基本资源库的重要构成部分。
其她业务系统数据
可以与“网安综合应用平台”通过调用查询接口、实时布控接口以及数据资源调用接口进行对接,获得网络安全歹意行为数据以及有关虚拟身份、网络行为数据等数据。也可以将平台关联分析与转化,形成的网络袭击重点人、历史重大网络安全事件数据等共享给“网安综合应用平台”供网安业务部门使用。
网络违法犯罪发现预警系统建设
模型名称
模型阐明
公司法人股东传销经历预警
如果公司的法人、股东曾经是传销组织的核心成员,对公司进行预警
疑似传销公司网络舆情预警
如果网络中浮现征询、怀疑、举报、曝光公司涉嫌传销的舆情,对公司进行预警
110报警疑似传销公司预警
发生对某公司传销的110报警,对公司进行预警
网站程序具有传销特性预警
分析ICP备案网站或公司的网站网页代码,如果符合以往发现的传销网站的代码特性,对公司进行预警
公司法人股东亲属传销经历预警
如果公司的法人、股东的亲属曾经是传销组织的核心成员,对公司进行预警
公司法人股东与传销人员同住预警
如果浮现公司的法人、股东频繁和历史传销组织核心成员多次同住,对公司进行预警
疑似传销公司被法院裁判预警
如果公司曾经被法院裁判过,对公司进行预警
疑似传销公司被行政惩罚预警
如果公司曾经被行政惩罚过,对公司进行预警
疑似传销公司纳税异常预警
如果公司的营业流水和纳税差别很大,对公司进行预警
公司法人股东经济犯罪前科预警
如果公司的法人、股东曾经有过经济犯罪前科,对公司进行预警
公司地址频繁变更异常预警
如果公司注册地址短期内多次变更,对公司进行预警
产品宣传疑似传销预警
如果公司的理财产品、实物产品、商城商品的销售具有返利、积分、会费、多级提成等传销特性,对公司进行预警