(完整版)1.安全感知平台_解决方案
电力物联网全场景安全态势感知解决方案
电力物联网全场景安全态势感知解决方案电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。
摘要电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。
对全业务电力物联网的各环节进行安全保障,防止恶意渗透攻击、防止数据丢失、防止恶意篡改,确保接入终端可信、传输通道可靠、业务应用可控,实现全景安全监测,全面提高全业务电力物联网安全综合防御能力。
关键词:电力物联网;全场景安全态势感知体系;云边协同;局部安全自治;联防联动机制内容目录:0 引言1 目标及内涵1.1 电力物联网特点1.2 总体目标2 关键产品及防护能力2.1 “云”态势感知技术及产品2.2 “网”态势感知技术及产品2.3 “边”态势监测技术及产品2.4 “端”态势监测技术及产品3 应用案例4 结语0引言电力物联网是物联网在电力行业的具体表现形式和应用落地,通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务,以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。
作为落实建设能源互联网,加快新型数字基础设施建设的核心任务,建设电力物联网势不可挡。
然而,电力物联网的建设将极大改变现有电力业务模式和专业体系,也不可避免的对电网现有网络安全防护体系产生冲击;同时,随着国内外安全形势的不断变化,以及国家要求的进一步明确,都对物联网安全提出了新要求。
为贯彻落实国家、行业及企业的相关要求,在电力物联网新业务形态、新部署组成等新形势下,需要加快建设电力物联网全场景安全态势感知体系,形成整体解决方案,全面保障电力系统安全可靠。
信息安全-安全感知平台(SIP)主打PPT
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
脆弱性检测
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
华东某三甲医院
项目背景&部署方式
该医院安全建设非常完善,且内外网隔离环境让客户认为安全 没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生 的篡改事件进行了通报。
客户寻找到多家厂商进行测试,均未发现问题。于是客户找到 我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交 换机上,安全感知平台部署在内网核心交换机上。
安全感知管理平台技术参数及功能要求
联动行为管理
支持联动原有行为管理设备,支持上网行为管理做资产用户名对接,精准识别终端资产责任人。(需提供截图打印加盖原厂公章证明)
★支持联动原有行为管理设备,支持与行为管理设备的联动,包含上网提醒、冻结账号等(需提供截图打印加盖原厂公章证明)
事后异常行为检测
具备元数据行为分析引擎:httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括:内网穿透、代理、远控、隧道、反弹shell等事后检测场景。
先进性
证明
为保障安全服务效果,满足数据和网络安全要求,所投态势感知平台产品厂商需通过可信云评估,提供相应的可信云认证报告
提供三年原厂质保及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
二、
功能项
功能要求说明
性能规格
性能参数:网络层吞吐量≥1Gbps,应用层吞吐量≥500Mbps。
硬件参数:规格≥1U,内存大小≥8G,硬盘容量≥128G SSD,电源:单电源,接口:支持不低于6千兆电口+4千兆光口SFP。
配置要求
挖矿专项检测
支持挖矿专项检测页面,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。
平台内置挖矿安全知识库,对常见的挖矿如:Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux 挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC(MD5、C2、URL)、解决方案。
态势感知方案
XX单位安全感知平台项目建设方案目录1 项目概况 (1)1.1 项目名称 (1)1.2 编制依据 (1)1.3 项目立项依据 (2)1.4 项目建设的必要性 (3)1.5 项目建设目标 (4)1.6 总投资估算 (5)2 需求分析 (5)2.1 信息化和安全建设现状分析 (5)2.2 行业现状和攻防对抗需求分析 (6)2.2.1 传统威胁有增无减,新型威胁层出不穷 (6)2.2.2 已有检测技术难以应对新型威胁 (7)2.2.3 未知威胁检测能力已经成为标配 (8)2.3 现有安全体系的不足分析 (8)2.3.1 看不清自身业务逻辑 (9)2.3.2 看不见潜藏威胁隐患 (10)2.3.3 缺乏整体安全感知能力 (11)3 方案理念 (13)3.1 看清业务逻辑 (13)3.2 看见潜在威胁 (14)3.3 看懂安全风险 (15)3.4 辅助分析决策 (16)4 解决方案 (16)4.1 方案概述 (16)4.2 安全感知系统 (17)4.2.1 系统架构 (17)4.2.2 部署拓扑 (18)4.2.3 组件实现 (19)4.2.4 主要功能 (28)4.3 监测响应服务 (41)4.3.1 安全事件监测、预警和通报 (41)4.3.2 安全事件应急响应处置 (42)4.3.3 重要时期信息安全保障 (44)4.3.4 常规驻场值守服务 (44)5 方案价值和主要技术优势 (44)5.1 全网业务资产可视化 (44)5.2 全网访问关系可视化 (45)5.3 多维度威胁检测能力 (47)5.4 安全风险告警和分析 (48)5.5 全局视角态势可感知 (49)6 价格估算表..................................................... 错误!未定义书签。
1项目概况1.1项目名称XX市局网络安全态势感知项目1.2编制依据《中华人民共和国网络安全法》《“十三五”国家信息化规划》(国发〔2016〕73号)《信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《国家信息化领导小组关于加强信息安全保障工作的意见》《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》(浙公办〔2017〕157号)1.3项目立项依据习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”,将网络安全的思维模式从单纯强调防护,转变到注重预警、检测、响应的格局,安全能力从“防范”为主转向“持续检测和快速响应”,实时防御将以威胁为中心,以数据为驱动解决安全问题。
(word完整版)等保2.0三级需要的设备
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行Fra bibliotek管理三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
安全管理平台解决方案
安全管理平台解决方案简介随着互联网技术的迅猛发展,安全问题日益成为各个领域关注的焦点。
为了保护企业的信息资产和网络安全,建立一个全面、高效的安全管理平台变得至关重要。
安全管理平台解决方案是基于现代信息技术的应用系统,旨在通过集成、协调和优化各类安全管理工具和资源,全面提升安全管理的能力和效率。
解决方案的意义安全管理平台解决方案的引入可以为企业带来多种好处: - 全面的安全管理:通过集成各类安全管理工具和资源,实现全面的安全管理,包括网络安全、数据安全、系统安全等多个方面。
- 高效的风险识别和应对:利用自动化的监测和分析手段,能够快速发现并应对各类安全风险和威胁,降低安全事故的发生概率。
- 统一的安全策略管理:通过统一的安全策略管理平台,能够简化和集中管理各类安全策略,提高管理效率和执行一致性。
- 强大的日志分析和审计能力:通过日志收集、存储和分析功能,能够快速定位和回溯安全事件,提供有效的法律取证和监管合规支持。
- 灵活的扩展和定制能力:根据企业的实际需求,可以定制化开发和集成各类安全管理模块,满足不同规模和行业的安全管理需求。
技术组成一个完整的安全管理平台解决方案通常包含以下主要技术组成部分:安全设备和系统集成安全管理平台需要集成各类安全设备和系统,如防火墙、入侵检测和防御系统、数据加密设备、访问控制系统等。
通过与这些设备和系统的集成,实现对安全资源的综合管理和控制。
安全事件监测与响应安全管理平台需要配备安全事件监测与响应系统,通过实时监测和分析网络流量、日志和其他安全事件数据,及时发现异常行为和潜在威胁,并采取相应的响应措施。
安全策略管理安全管理平台需要提供统一的安全策略管理功能,包括安全策略的创建、编辑、发布和执行。
通过集中管理安全策略,可以实现对整个安全系统的一致性管理和控制。
日志分析与审计安全管理平台需要具备强大的日志分析和审计功能,能够对各类安全事件进行深度分析和溯源,帮助企业快速定位安全事件的原因和性质,并提供有效的法律取证和合规审计支持。
2022年智慧工业园区安全防范智慧安防平台建设整体解决方案完整版
智慧工业园区安全防范智慧安防平台建设整体解决方案
传统手段已无法满足需求
RLEX
传统安防
AI安防
依赖人为管理
偏向于事后取证
智能化管理,
事前预警、事中干预、
减少人力
事后追溯
数据利用率低
操作性差
系统种类繁多
视频大数据运营
可视化操作界面
多系统集成
智慧工业园区安全防范智慧安防平台建设整体解决方案
智慧工业园区安全防范智慧安防平台建设整体解决方案
云中心
通过增强现实、虚拟现实等技术,以自然友好的方式进行人机交互
智慧工业园区安全防范智慧安防平台建设整体解决方案
智慧工业园区安全防范智慧安防平台建设整体解决方案
安防可视化管理平台
RLEX
以独立的安防系统为支撑,通过对不同类型安防产品的深度融合,构建强大的安防管理平台,建立安防系统间的业务联动,高效发挥预警作用,通过建立多级互联的安防平台结构,实现“被动查询、孤立响应”到“主动防护、全面掌控”的根本性转变,从而提高技防水平。
业务现状
RLEX
监控系统老旧数据独立,信息孤岛界面不一,操作复杂维护成本高企,维护困难标准缺失,兼容困难与其他业务系统融合困难
统一品牌交付提升运维效率改进操作体验丰富联动策略人工智能技术
综合&智能
贯穿整个安防的各个环节:
重点区域
停车场
电梯/楼道
生活区/办公区
内部道路
智慧工业园区安全防范智慧安防平台建设整体解决方案
智慧工业园区安全防范智慧安防平台建设整体解决方案
智慧工业园区安全防范智慧安防平台建设整体解决方案
智慧工业园区用户如何提升安防管理水平
RLEX
传统技防公共区域&游客禁区无死角防破坏视频监控、贵重藏品保管室长备电超低照度视频监控贵重藏品保管室实时监听与震动报警室内重要出入口联动门禁展品陈列区被动红外移动侦测与展品柜震动探测报警外围周界入侵探测员工/访客/游客人员实时定位与一卡通智慧安防视频监控智能化实时图像质量自检测与分析报警出入口对象面部信息采集与自动识别展品陈列区、贵重藏品保管室音视频智能分析实时监管——人员聚集报警、逗留报警、剧烈
安全教育平台技术方案怎么做
安全教育平台技术方案怎么做一、背景介绍互联网的快速发展使得网络安全问题日益突出,尤其是在教育领域。
学生们往往容易受到网络攻击和不良信息的影响,因此需要一种安全的教育平台来保障他们的学习环境。
安全教育平台是为了解决这一问题而提出的一种解决方案。
通过该平台,学生可以在一个安全、规范的网络环境下进行学习,同时也可以接受网络安全教育,提高他们的网络安全意识和能力。
二、技术方案1. 教育平台的安全架构设计为了确保安全教育平台的安全性,我们需要设计一个有力的安全架构。
该架构应该包括以下几个方面:(1)网络安全策略:明确安全规范和安全政策,包括网络访问控制、数据加密、防火墙设置等,以确保平台在网络级别上的安全性。
(2)身份验证机制:采用双因素身份验证,包括账号密码验证和手机短信验证等,确保用户的身份真实,并防止恶意攻击者的入侵。
(3)数据安全策略:采用数据备份、数据加密、数据传输加密等方式,确保用户数据在传输和存储过程中不被泄露或篡改。
(4)安全监控策略:通过安全监控系统实时监测平台的运行状态,及时发现并阻止可能的攻击行为。
2. 安全教育系统的搭建(1)用户角色:在安全教育平台中,可以设置不同的用户角色,如学生、教师、管理员等。
针对不同的用户角色,可以设定不同的权限和功能,以确保平台的安全性和管理的便捷性。
(2)教育内容管理:安全教育平台需要提供丰富多样的安全教育内容,包括网络安全知识、网络攻击防范等内容。
同时,需要设置相应的教育内容管理系统,确保教育内容的质量和安全性。
(3)在线课程:安全教育平台可以提供在线课程,包括文字、图片、视频等不同形式的教学内容,为学生提供多样化的学习资源。
3. 安全教育平台的开发与运维(1)技术选型:在开发安全教育平台时,需要选择有良好口碑和稳定性的技术平台,如Java、PHP等,以确保平台的稳定性和安全性。
(2)系统监控:需要设置系统监控系统,对平台的运行状态进行实时监测,并及时处理可能出现的问题,确保平台运行的稳定性和安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率
监督 Supervised机器学习方式:提前知道哪些数据是好的哪些是坏的,通过已有数据找规
律,作为后续判断依据
调整特征feature, 标签label,权重
parameter
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依, 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一:看不见
潜伏威胁探针 下一代防火墙
主机EDR
潜伏威胁探学习 UEBA、专家辅助
领导决策可视化
我现在安全吗? 哪里不安全?
造成了什么危害? 我该如何处置?
可感知:有对高级攻击、潜伏威胁的发现能力 易运营:能看得懂安全,能快速处置威胁
安全大脑的核心能力
精准检测能力
威胁情报(默认标配):深信服云端威胁情报系统与SIP对接,实时下发情报数据给SIP,增加威胁识别效率和概率。
下一代防火墙(NGAF)(可选):网关部署在出口或边界,一方面负责安全防御,另一方面对全流量进行检测,提 取有效安全数据上报给SIP。
其他可对接的安全组件
端点安全(EDR):插件形式部署在终端或虚拟化服务器的操作系统上,负责采集服务器安全数据上报给SIP,同时对僵 木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离,在威胁发生后避免扩散。 上网行为管理(AC):旁路/网桥部署在出口,一方面实现上网行为管理功能,一方面与SIP对接,实现用户身份的识别。 虚拟安全(VSS):Vmware场景下,VSS对东西向流量进行分析,将有效数据同步给SIP平台。 云眼:对外发布业务的在线监测和防护,与平台对接。后续可将网站安全信息同步给SIP平台。 第三方安全设备:支持第三方安全设备日志导入,作为溯源分析、统一管理的分析依据。
第6.3.1节
全网安全感知解决方案
——构建安全大脑,让安全可感知、易运营
CONTENT
01 客户为什么需要安全感知能力 02 如何为客户构建安全大脑 03 最佳实践
01
客户为什么需要安全感知能力
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”,长期“潜伏”在 里面,一旦有事就发作了
恶意软件的通讯URL每 次都不相同,特征库无
对策:自动生成的东西是否有共性特征呢?是否可以通过计算法机穷举分,析AF形也成写不一下个
模糊的特征,再进行特征匹配呢?
但是这些“随机”的通讯 是否有共性的特征呢?
SIP精准检测能力—深度检测能力
用户与实体行为分析(UEBA)
首先,收集网络多个节点产生的信息,进而创建一条基线
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等) 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二:看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
根因:各类安全日志数量大、分散,且异构,看不过来、看不懂
深信服安全大脑模型
安全感知平台(SIP)(默认标配):负责收集汇总探针采集的全流量信息,及接入的NGAF、EDR等各类安全组件日 志,通过关联分析、行为分析、机器学习等智能分析技术,发现网络的脆弱性、潜伏威胁,并简单易懂的展示出来。
潜伏威胁探针(STA)(默认标配):旁路部署在关键节点,对全流量进行检测,提取有效数据上报给SIP。
义了什么的“坏的”、“不好的”,那么除此之外的就是正常的业务;
问题:“坏的”可以穷举吗?(保安能记住所有的通缉犯?) ,换一个思路,我
们不仅可以记住“坏的”,也可以记住“好的”、“合法的”,不同于合法对象就是可 疑和需进一步关注的对象(例如门卫认识办公室所有的人,不认识的可能是坏 人),但白名单有时候也很难抽取;
机器学习算法检测 UEBA检测 横向威胁检测
全局可视能力
宏观可视辅助决策 微观可视辅助运维
协同响应能力
多设备协同联动 一键封堵、一键查杀
海量数据采集能力
以全流量数据采集为主 以各类设备日志收集为辅
深信服安全大脑模型
深信服安全大脑 “全网安全感知”
威胁潜伏探针STA
历史数据
最初模型
好坏结果
生产数据
最终模型
好坏结果
结果预设, 只作分类
精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率 非监督 Unsupervised机器学习方式:并不知道已有数据的好坏,但基于朴素的好人坏人目 标、行为、结果不同,进行总结分类进而区分好坏
调整特征feature, 权重parameter
其次,分析平台可以从时间和空间两个维度关联分析,时间指可以关联分析过去
数分钟、小时甚至数天的数据发现攻击者,而AF不可以因为数据包不能压着不转 发;空间维度是指SIP平台可以搜集多个AF、探针、EDR的数据,多维度多角度分 析问题。
检测的思路
现状:传统检测设备更多的是通过特征库匹配发现问题的,即通过各种手段定
在内部关键节点部署探针,主动提取信息 联动边界、终端自有产品,无缝对接,主动
提取
②第三方设备广泛收集
基于标准格式收集第三方日志收集 基于业务、资产、用户、应用等维度的主
动信息提取
检测的基础:
首先,部署方式决定了多点探针采集能够看到比边界AF更多的信息和数据(东
西向流量、原始数据包),为后续分析提供弹药;
以确定各种不同情况下的正常状态是什么;
其次,基准线建立,UEBA解决方案会跟进聚合数据,寻
找被认为是非正常的模式;
优势:UEBA解决的,更多的是异常行为而非一般的攻击
事件,特别是对于隐蔽的内部攻击和控制内部资产的跳板 攻击效果理想。
SIP精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率
02
如何为客户构建一个“安全大脑”
部署架构
云沙盒 威胁情报 云脑
internet
互联网接入区
分
支
核心层
本地安全大脑
分 支
云眼 云盾 在线专家 快速响应 办公区
传统数据中心区
EDR
VSS
虚拟化中心区
技术架构
来源&提取 防御设备 检测设备 流量探针 威胁情报 云端沙箱 终端安全软件
提取有效数据来源
历史数据 生产数据
最初模型 最终模型
聚类结果 聚类结果
需根据生产 数据重新分 析结果
精准检测能力基础—机器学习
算法举例:分类算法 classification
主要算法:决策树,ID3
主要思路:寻找负向样本序列
主要应用:图像识别, DGA, SPAM, 病毒变种
二类分类
多类分类
精准检测能力基础—机器学习
安全感知平台
······
深信服安全大脑模型
安全感知平台(SIP)(默认标配):负责收集汇总探针采集的全流量信息,及接入的NGAF、EDR等各类安全组件日 志,通过关联分析、行为分析、机器学习等智能分析技术,发现网络的脆弱性、潜伏威胁,并简单易懂的展示出来。
潜伏威胁探针(STA)(默认标配):旁路部署在关键节点,对全流量进行检测,提取有效数据上报给SIP。
威胁情报(默认标配):深信服云端威胁情报系统与SIP对接,实时下发情报数据给SIP,增加威胁识别效率和概率。
下一代防火墙(NGAF)(可选):网关部署在出口或边界,一方面负责安全防御,另一方面对全流量进行检测,提 取有效安全数据上报给SIP。
其他可对接的安全组件
端点安全(EDR):插件形式部署在终端或虚拟化服务器的操作系统上,负责采集服务器安全数据上报给SIP,同时对僵 木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离,在威胁发生后避免扩散。 上网行为管理(AC):旁路/网桥部署在出口,一方面实现上网行为管理功能,一方面与SIP对接,实现用户身份的识别。 虚拟安全(VSS):Vmware场景下,VSS对东西向流量进行分析,将有效数据同步给SIP平台。 云眼:对外发布业务的在线监测和防护,与平台对接。后续可将网站安全信息同步给SIP平台。 第三方安全设备:支持第三方安全设备日志导入,作为溯源分析、统一管理的分析依据。
就很容易被对手简单的改变蒙混过关(病毒变种),那么就需要考虑抽取更加稳 定和共性的特征,例如僵尸网络的动态域名虽然变化多样,但还是具备其规律性 的(即特征的鲁棒性);
行为检测:有时候攻击者的手段灵活到已经难以总结出攻击代码、传输文件和
网络数据包的特征,但任何觊觎不该获取信息的行为,只要目的不同于合法用户,
主要算法:iForest, one-class SVM, SH-ESD 主要思路:寻找离群点 主要应用:web攻击变种,0 day webshell,
全局可视能力
宏观可视辅助决策 微观可视辅助运维