網(wǎng)絡(luò)安全行為分析方案介紹

1、網(wǎng)絡(luò)安全行為分析方案介紹 TSOC-NBA目錄用戶面臨的挑戰(zhàn)應(yīng)用場景成功案例2TSOC-NBA網(wǎng)絡(luò)行為分析模塊介紹服務(wù)優(yōu)勢當前面臨的挑戰(zhàn)之網(wǎng)絡(luò)無秩序隨著科技的不斷發(fā)展，網(wǎng)絡(luò)的作用及面臨的風險也在不斷擴大，沒有詳細要求的無序的網(wǎng)絡(luò)使用模式已經(jīng)無法滿足網(wǎng)絡(luò)安全的越來越高的要求。我們需要建立一套完善的、適用自身業(yè)務(wù)需求的網(wǎng)絡(luò)秩序。網(wǎng)絡(luò)秩序：網(wǎng)絡(luò)井井有條的狀況。為維護企業(yè)網(wǎng)絡(luò)安全，員工必須遵守的行為規(guī)范。當前面臨的挑戰(zhàn)之網(wǎng)絡(luò)無秩序Tip：對于網(wǎng)絡(luò)秩序的建立，如同交通秩序一般，最重要的是要有手段對網(wǎng)絡(luò)中現(xiàn)行的訪問關(guān)系清晰明了的展現(xiàn)出來，才能更好的設(shè)定規(guī)則，并監(jiān)督規(guī)則的執(zhí)行。如何建立網(wǎng)絡(luò)秩序？當前面臨的挑

2、戰(zhàn)之APT威脅Tip：關(guān)注“行為異常”，因為無論是隱蔽通道、惡意代碼、漏洞利用，未知威脅或APT的存在一定會給網(wǎng)絡(luò)流、網(wǎng)絡(luò)訪問行為帶來“異常”。隱蔽能力強攻擊空間路徑不確定攻擊渠道不確定長持續(xù)性當前面臨的挑戰(zhàn)之云環(huán)境云計算迅猛發(fā)展，網(wǎng)絡(luò)邊境模糊、消失，傳統(tǒng)信息安全防護體系失效。當前面臨的挑戰(zhàn)之云環(huán)境Tip：業(yè)務(wù)流的邊界來說是沒有改變的，如果從業(yè)務(wù)訪問行為的角度進行安全分析，則不受云環(huán)境的影響。當前面臨的挑戰(zhàn)之大數(shù)據(jù)大數(shù)據(jù)時代來臨，海量網(wǎng)絡(luò)數(shù)據(jù)，如何發(fā)現(xiàn)信息安全問題？Tip：微觀的分析和檢測遇到了瓶頸，那么宏觀層面的行為模式分析和檢測則更為重要。當前面臨的挑戰(zhàn)之BYODBYOD安全管理嚴重缺失

3、盲目應(yīng)用導致企業(yè)“零隱私”Tip：對于新出現(xiàn)在網(wǎng)絡(luò)中的設(shè)備要及時進行告警，并且對其訪問進行合規(guī)性判定。結(jié)論需要一個采用宏觀分析方法對內(nèi)網(wǎng)業(yè)務(wù)流進行可視化展現(xiàn)和合規(guī)性分析，并能夠?qū)Y產(chǎn)進行持續(xù)性監(jiān)測的產(chǎn)品，以協(xié)助客戶梳理并建立網(wǎng)絡(luò)秩序，提高網(wǎng)絡(luò)安全等級，應(yīng)對大數(shù)據(jù)、云計算及APT攻擊等新興技術(shù)的挑戰(zhàn)。目錄用戶面臨的挑戰(zhàn)應(yīng)用場景成功案例11TSOC-NBA網(wǎng)絡(luò)行為分析模塊介紹服務(wù)優(yōu)勢泰合TSOC-NBA網(wǎng)絡(luò)行為分析模塊12SPAN*Flow日志告警事件USM綜合分析與呈現(xiàn)NBA網(wǎng)絡(luò)行為分析是什么？部署在內(nèi)網(wǎng)中，實現(xiàn)內(nèi)網(wǎng)通訊流量的可視化，進行網(wǎng)絡(luò)通訊的行為建模，并以此發(fā)現(xiàn)網(wǎng)絡(luò)異常（包括入侵和違規(guī)）長

4、什么樣？硬件盒子，千兆可多路抓包，也可直接采集*Flow可與USM集成部署，也可以獨立部署核心技術(shù)創(chuàng)新的VFlow（VenusFlow）流描述語言定義了37個流屬性，還支持屬性擴展基于流的行為建模（Flow-based Behavior Profiling）基于行為的分析，而非基于特征的分析國內(nèi)第一款流安全分析產(chǎn)品TSOC-NBA系統(tǒng)特點13網(wǎng)絡(luò)秩序分析業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯TSOC-NBA業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)14網(wǎng)絡(luò)秩序分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)TSOC-NBA無需手動連線，自動形成業(yè)務(wù)訪問拓撲圖網(wǎng)絡(luò)秩序

5、分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)行為合規(guī)檢查15TSOC-NBA黑名單白名單全網(wǎng)行為灰名單業(yè)務(wù)上有應(yīng)用需求，訪問控制策略中允許的訪問關(guān)系。業(yè)務(wù)上無應(yīng)用需求，訪問控制策略中禁止的訪問關(guān)系。業(yè)務(wù)應(yīng)用需求無知，還沒有設(shè)置相應(yīng)的訪問控制策略。網(wǎng)絡(luò)秩序分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)資產(chǎn)持續(xù)監(jiān)測16TSOC-NBA行為追溯17網(wǎng)絡(luò)秩序分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)TSOC-NBA多維度可視化展現(xiàn)18網(wǎng)絡(luò)秩序分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)TSOC-NB

6、ANOYES網(wǎng)絡(luò)秩序分析19網(wǎng)絡(luò)秩序分析行為合規(guī)檢查資產(chǎn)持續(xù)監(jiān)測行為追溯業(yè)務(wù)行為可視化業(yè)務(wù)訪問關(guān)系自動發(fā)現(xiàn)TSOC-NBA其他功能-告警管理其他功能-報表報告靈活的內(nèi)置報表編輯器用戶可以自定義報表，包括報表樣式、統(tǒng)計內(nèi)容、圖表形式22與泰合安管平臺TSOC-USM對接將流分析和包分析結(jié)果以事件的形式發(fā)送給USM在USM中將這些事件會同其他事件進行綜合的事件分析，譬如事件關(guān)聯(lián)分析、宏觀態(tài)勢分析進行攻擊場景還原從事件分析到流分析24事件采集事件：是對IT基礎(chǔ)設(shè)施工作過程的記錄事件分析的缺陷透過事件難以還原攻擊/違規(guī)的事發(fā)現(xiàn)場事件記錄可能不全，導致難以作出準確的研判對于安管平臺，僅分析事件是不夠的E

7、vent Never Enough！流：是對IP節(jié)點之間會話信息的記錄流分析的優(yōu)勢流信息能更加詳實地再現(xiàn)攻擊/違規(guī)的事發(fā)現(xiàn)場流分析可以作為事件分析的補充對于安管平臺，不僅要分析事件，還要分析流Flow is Complementary !事件采集流采集TSOC-NBA系統(tǒng)架構(gòu)25流量采集器（并行）基于行為的流量建模周期性模型預測模型動態(tài)行為模型庫Model Repository動態(tài)行為模型庫持久化異常檢測基于特征的檢測基于黑白名單的檢測基于行為的檢測流量異常特征庫匹配創(chuàng)建/更新流數(shù)據(jù)多維分析多維分析緩存告警管理黑白名單庫依據(jù)基線比較告警庫二次檢測告警策略響應(yīng)處理全流數(shù)據(jù)庫聚合流數(shù)據(jù)庫數(shù)據(jù)聚合數(shù)

8、據(jù)聚合流數(shù)據(jù)聚合實時分析歷史分析實時展示統(tǒng)計分析報表管理流轉(zhuǎn)發(fā)*FLowTCP/UDP流控制器流提取標準化流提取標準化流提取標準化流接收流生成器上級/外部系統(tǒng)vFlow數(shù)據(jù)包采樣/過濾數(shù)據(jù)流分組/計算數(shù)據(jù)統(tǒng)計/匯聚流數(shù)據(jù)輸出數(shù)據(jù)報文解析TCP/UDP匹配源設(shè)備源設(shè)備源設(shè)備下級/流量采集器持久化流緩沖鏡像抓包包追溯取證分析包存儲包存儲庫TSOC-NBA產(chǎn)品型號26型號規(guī)格指標TSOC-NBA-5400網(wǎng)絡(luò)行為分析平臺專用標準2U機架式千兆平臺和安全操作系統(tǒng)，6個千兆電口（1個管理口，2個電口偵聽口，最大可擴充至5個電口偵聽口），冗余電源，存儲容量2TB。最大可支持2.5G網(wǎng)絡(luò)流量的實時接收采集（

9、多路）。TSOC-NBA-8400網(wǎng)絡(luò)行為分析平臺專用標準2U機架式千兆平臺和安全操作系統(tǒng)，6個千兆電口，4個SFP插槽（不含接口模塊，1個管理口，2個電口偵聽口，最大可擴充至5個電口偵聽口，4個光口偵聽口），冗余電源，存儲容量2TB。最大可支持4G網(wǎng)絡(luò)流量的實時接收采集（多路）。TSOC-NBA部署方式共享Hub端口鏡像TAP分接旁路部署、即插即用，對業(yè)務(wù)網(wǎng)絡(luò)沒有任何影響TSOC-NBA典型部署模式28TSOC-NBA產(chǎn)品優(yōu)勢基于行為的異常分析強大的可視化能力明晰的流分析理念插件式的協(xié)議快速擴展基于策略式、靈活的流監(jiān)控與流分析能力基于cupid平臺的眾多功能特點。目錄用戶面臨的挑戰(zhàn)應(yīng)用場景成

10、功案例30TSOC-NBA網(wǎng)絡(luò)行為分析模塊介紹服務(wù)優(yōu)勢基于流量行為分析的威脅感知流量分布異常、Dark域名檢測、Dark IP檢測、未知安全威脅感知功能流量回溯分析7*24小時不間斷的全線速網(wǎng)絡(luò)流數(shù)據(jù)存違規(guī)外聯(lián)分析、違規(guī)內(nèi)部訪問、合法操作的違規(guī)行為、網(wǎng)絡(luò)配置不合理、自動化合規(guī)審計業(yè)務(wù)合規(guī)審計策略式多維度網(wǎng)絡(luò)流量分析、拓撲方式直觀展現(xiàn)網(wǎng)絡(luò)流量、業(yè)務(wù)交互關(guān)系可視化展示、分布式流量監(jiān)控、七層應(yīng)用流量分析基于策略的網(wǎng)絡(luò)及應(yīng)用流量分析應(yīng)用場景持續(xù)的資產(chǎn)分析違規(guī)外聯(lián)分析重要的服務(wù)器，網(wǎng)絡(luò)設(shè)備等主動連接外網(wǎng)，這是不合理的防火墻等網(wǎng)關(guān)設(shè)備雖然也可以按源目的地址阻斷，但是無法主動發(fā)現(xiàn)此類主動嘗試的行為違規(guī)內(nèi)部訪

11、問地址為市場部門的IP訪問公司財務(wù)服務(wù)器。合法操作的違規(guī)行為具備訪問權(quán)限，但突然大量下載數(shù)據(jù)或文件網(wǎng)絡(luò)配置不合理自動化合規(guī)審計策略式多維度網(wǎng)絡(luò)流量分析拓撲方式直觀展示網(wǎng)絡(luò)流量業(yè)務(wù)交互關(guān)系可視化展示安全域安全域；子域子域；設(shè)備設(shè)備分布式流量監(jiān)控能力展示全網(wǎng)總部和分支所有流量，實現(xiàn)層次化的分級流量監(jiān)控七層應(yīng)用流量分析流量回溯分析7*24不間斷持續(xù)分析，2T存儲空間基于流量行為分析的威脅感知持續(xù)的資產(chǎn)分析未知IP預警目錄用戶面臨的挑戰(zhàn)應(yīng)用場景成功案例45TSOC-NBA網(wǎng)絡(luò)行為分析模塊介紹服務(wù)優(yōu)勢某電力調(diào)度系統(tǒng)客戶需求分析解決封閉網(wǎng)絡(luò)下（工業(yè)控制環(huán)境）的兩個問題：海量告警過濾問題，精確定位告警業(yè)務(wù)流

12、量的可視化期望通過三個方面展示網(wǎng)絡(luò)拓撲：物理連接圖：傳統(tǒng)的設(shè)備物理連接圖。網(wǎng)絡(luò)邏輯圖：詳細展示IP資源分布的網(wǎng)絡(luò)邏輯圖。業(yè)務(wù)邏輯圖：展示業(yè)務(wù)連接關(guān)系的邏輯圖。某電力調(diào)度系統(tǒng)103、104規(guī)約數(shù)據(jù)聚合實時監(jiān)控業(yè)務(wù)流量行為規(guī)則檢測存儲FLOW級歷史數(shù)據(jù)回溯告警聯(lián)動某電力調(diào)度系統(tǒng)項目總結(jié)不同于傳統(tǒng)網(wǎng)絡(luò)中流量行為的多樣化，工業(yè)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)行為具有強烈的標準性和計劃性。TSOC-NBA流量分析能夠精確的建立網(wǎng)內(nèi)業(yè)務(wù)流量的黑白名單體系，進而發(fā)現(xiàn)一切計劃外的行為，從而達到對網(wǎng)絡(luò)行為現(xiàn)狀的描述與行為合規(guī)的審計。項目中定制開發(fā)了電網(wǎng)專有協(xié)議（103規(guī)約、104規(guī)約等）的協(xié)議解析功能，更好的對電網(wǎng)環(huán)境進行支持。

13、與TSOC-USM結(jié)合，實現(xiàn)事件與流量兩種分析技術(shù)的結(jié)合，更加詳盡的對網(wǎng)絡(luò)內(nèi)的行為進行分析與預警。某軍工項目項目需求作為國家軍工行業(yè)的代表，XXX是各方敵對勢力關(guān)注的焦點，其涉密系統(tǒng)必須提升發(fā)現(xiàn)未知威脅的能力，在現(xiàn)有防護的基礎(chǔ)上，改善現(xiàn)狀，通過綜合多方論證、智能關(guān)聯(lián)分析、攻擊信息共享等手段來實現(xiàn)對未知威脅更快速的感知和深度分析，以及對未知安全事件的回溯評估、檢測和取證。需求分析基于客戶的業(yè)務(wù)實際和安全特點，我們提出了“基于業(yè)務(wù)流異常行為特征分析” 監(jiān)控檢測思路。核心的理念是涉密系統(tǒng)中業(yè)務(wù)訪問流程在網(wǎng)絡(luò)行為軌跡是可以做到精確可尋的，任何攻擊或異常操作都會在行為、流量、時間、路徑等因素上表現(xiàn)出異常

14、，通過對業(yè)務(wù)流全路徑動態(tài)行為的綜合分析，實現(xiàn)對未知網(wǎng)絡(luò)攻擊和各種異常操作的檢測、發(fā)現(xiàn)、定位。這是對現(xiàn)有防護體系的有力補充和完善。某軍工項目解決方案基于異常，從業(yè)務(wù)安全需求出發(fā)，總結(jié)出關(guān)鍵業(yè)務(wù)流程白名單根據(jù)關(guān)鍵的業(yè)務(wù)IT路徑，生成相應(yīng)的IT合規(guī)規(guī)則建立從用戶到服務(wù)器的業(yè)務(wù)訪問路徑對應(yīng)關(guān)系監(jiān)控鏈條依據(jù)建立的白名單及已有的安全設(shè)備，通過TSOC-NBA從非法用戶訪問、合法用戶非法訪問、服務(wù)器間非法訪問等三個方面調(diào)動關(guān)鍵路徑上進行異常監(jiān)控，對不符合當前業(yè)務(wù)要求的操作和流程進行分析和判斷某軍工項目項目總結(jié)通過建立關(guān)鍵業(yè)務(wù)流程白名單達到了以下目的：對未授權(quán)IP違規(guī)訪問的監(jiān)測和報警對合法用戶對應(yīng)用系統(tǒng)服務(wù)器

15、非授權(quán)的訪問監(jiān)測和報警服務(wù)器作為跳板時的違規(guī)訪問關(guān)系監(jiān)控方法：業(yè)務(wù)訪問白名單目標：建立關(guān)鍵人員、關(guān)鍵 路徑、關(guān)鍵資源的業(yè)務(wù)訪問鏈路，并進行監(jiān)控，判斷異常；綜合行為分析平臺目錄用戶面臨的挑戰(zhàn)應(yīng)用場景服務(wù)優(yōu)勢52TSOC-NBA網(wǎng)絡(luò)行為分析模塊介紹成功案例完備的產(chǎn)品資質(zhì)與諸多榮譽國家版權(quán)局計算機軟件著作權(quán)登記證書公安部計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證保密局涉密信息系統(tǒng)產(chǎn)品檢測證書中國信息安全測評中心信息技術(shù)產(chǎn)品安全測評證書EAL3級中國人民解放軍軍用信息安全產(chǎn)品認證證書2006年度計算機網(wǎng)絡(luò)和信息防護解決方案優(yōu)秀獎2006年度中國計算機報編輯選擇獎計算機世界2008年度產(chǎn)品獎CCID 2008

16、年2013年連續(xù)六年中國SOC安全管理平臺市場占有率第一53完善的安全知識庫，并可以升級提供知識庫定期更新升級54啟明星辰專門成立了泰合中心負責泰合TSOC的研發(fā)、咨詢、項目實施與運維。泰合中心分別在北京、上海設(shè)有研發(fā)中心，總?cè)藬?shù)超過200人。資深的平臺咨詢、定制開發(fā)和實施能力55資深的平臺咨詢、定制開發(fā)和實施能力56泰合中心能夠根據(jù)用戶自身的特點和需求提供行業(yè)化、客戶化的安全管理平臺咨詢、開發(fā)和實施能力豐富的業(yè)界最佳實踐！泰合本部中國最早的安全管理平臺研發(fā)團隊之一，超過10年的技術(shù)沉淀，擁有網(wǎng)管、安管和運維領(lǐng)域的豐富經(jīng)驗負責安管平臺類產(chǎn)品的研發(fā)、咨詢、項目實施與運維研發(fā)中心分布在北京、上海，總?cè)藬?shù)超過200人獲得了多項發(fā)明專利，承接了多項國家級項目57匹配規(guī)則包含可選字符的并行多模式匹配的方法及系統(tǒng)200810239201.1匹配規(guī)則包含或運算符的并行多模式匹配的方法及系統(tǒng)200810225563.5一種海量日志關(guān)聯(lián)分析方法及系統(tǒng)200810225913.8一種智能特征提取方法及系統(tǒng)200810227753啟明星辰產(chǎn)品研發(fā)中心、VF專家團和AD-Lab為泰