运营商
operator
安全审计服务
项目背景
面对当前不断出现的安全威胁和业务复杂性的增加,安全事件发生不可避免,基于互联网web应用访问日志、网络流量日志、安全设备监控日志、安全威胁态势等信息,如何利用大数据平台获取数据量大、维度全面等特性,建立安全风险监控、分析模型,及时发现潜在安全威胁及已经面临的安全风险,采取有效防护措施,降低可能造成的损失,是浙江移动面临的重要课题。
项目内容
对web应用安全威胁及风险的监测∶监测网络流量、系统日志、安全工具发现的可疑行为及成功入侵行为,包括∶各种扫描探测、恶意账号攻击、漏洞利用、恶意业务逻辑攻击、网站挂马、web后门访问、web渗透、ddos、apt攻击等行为。
web安全风险大数据安全分析∶通过对监测到的所有行为进行综合分析和挖掘,建立威胁分析与数据挖掘模型,实现元数据关联、关联场景分析、挖掘模型分析等识别各种恶意威胁和安全风险的行为。
总体业务逻辑架构图
1.典型威胁场景分析
大数据安全分析可针对采集到的日志信息,提供内置典型的威胁场景分析, 判断实时存在的高可疑威胁和已经成功的威胁
支持判断分析非授权时间系统登录、用户密码暴力破解成功、可能成功的dos攻击、可能的ddos攻击尝试、可能成功的缓冲区溢出攻击、可能的自动化工具入侵尝试等
支持对可疑入侵行为进行有效检测分析,包含攻击者非法扫描并登录系统成功、攻击者非法扫描并有提权行为、攻击者非法扫描的服务器有帐户异常行为、攻击者暴力破解并有提权行为、攻击者进行高威胁行为并登录系统成功、可能成功的上传木马、受攻击服务器短时间内帐户添加和删除操作等
2.web攻击事件深度分析
支持对web业务系统可能遭到数据窃取、病毒爆发、蠕虫活动和成功的弱点被利用等进行分析
支持不同源和目标的关联跟踪,可通过攻击源、攻击目的对攻击路线进行统计,并以图形化的方式展现,包括攻击的行为、告警,从攻击来源、攻击时间、攻击方式、攻击结果等多个纬度综合对事件进行追溯,快速定位确认攻击源、漏洞成因、攻击结果等
支持但不限于检测sql注入、命令注入、跨站脚本、代码注入、协议错误、异常访问、恶意代码攻击、webshell后门程序访问、web渗透、web cc等风险;支持根据来源ip、mac、http请求方法、url、请求头、请求参数、响应码等内容设置审计规则,可自定义高、中、低等风险等级。
支持基于行为的关联分析,发现更为隐蔽的web威胁,包含sql注入取数、表单破解、xss测试、目录穿越读取文件、多人访问 webshell、apt攻击等。
web应用威胁攻击监测日志及系统日志可上传数据至大数据平台,并利用大数据平台进行安全分析,
可支持基于包括攻击来源、目的、攻击事件名称等信息实现基于海量数据的综合关联分析、溯源分析、一致性分析、用户终端分析、用户群体分析、元数据关联等。
可支持根据周期性,挖掘时间段,模式长度,模式支持度大于,挖掘数据源,挖掘模型字段,挖掘目标字段信息对数据进行聚类、分类统计分析。
项目价值
大数据智能化自学习方式建模分析通过大数据技术结合智能分析模型,将安全事件由被动防御转变为更具智能化的主动响应
实现安全防御多平台系统综合纵深分析
充分利用大数据分析的优势,将多个安全平台的防御结果综合分析,并结合第三方威胁情报、网络指纹数据,更加全面深层次的分析,增大了大数据系统的安全能力
实现安全事件多维度多层面纵深挖掘
充分利用大数据分析的优势,将多个安全事件通过时间相似性、手法相似性、攻击者网络指纹相似性等多个层面,多个维度纵深挖掘,深层分析攻击者的意图,增大了主动防御的能力
发现残余高危漏洞,成功保障g20期间网络安全
g20峰会期间,安全态势感知平台通过深度分析安全事件,成功发现高危安全漏洞,并即时告警,通知安全人员处理,成功保障了企业网络在g20期间零安全事故
