HiSec安全解決方案技術(shù)白皮書

1、HiSec 安全解決方案技術(shù)白皮書目錄 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 風險分析1 HYPERLINK l _bookmark2 解決思路2 HYPERLINK l _bookmark3 方案價值2 HYPERLINK l _bookmark4 方案概述3 HYPERLINK l _bookmark5 方案架構(gòu)3 HYPERLINK l _bookmark6 方案介紹5 HYPERLINK l _bookmark7 三層聯(lián)動閉環(huán)方案5 HYPERLINK l _bookmark8 方案概述5 HYPERLINK l _bo

2、okmark9 數(shù)據(jù)采集6 HYPERLINK l _bookmark10 威脅檢測7 HYPERLINK l _bookmark11 WEB 異常檢測原理8 HYPERLINK l _bookmark12 郵件異常檢測原理9 HYPERLINK l _bookmark13 C&C 異常檢測9 HYPERLINK l _bookmark14 隱蔽通道異常檢測原理9 HYPERLINK l _bookmark15 流量基線異常檢測原理9 HYPERLINK l _bookmark16 惡意文件檢測原理10 HYPERLINK l _bookmark17 關(guān)聯(lián)分析原理10 HYPERLINK l

3、_bookmark18 威脅判定原理10 HYPERLINK l _bookmark19 云端威脅情報10 HYPERLINK l _bookmark20 聯(lián)動閉環(huán)11 HYPERLINK l _bookmark21 基于 IP 阻斷11 HYPERLINK l _bookmark22 本地信譽聯(lián)動12 HYPERLINK l _bookmark23 終端聯(lián)動響應(yīng)13 HYPERLINK l _bookmark24 方案概述13 HYPERLINK l _bookmark25 關(guān)鍵技術(shù)方案14 HYPERLINK l _bookmark26 調(diào)查取證14 HYPERLINK l _bookma

4、rk27 確認終端感染范圍15 HYPERLINK l _bookmark28 終端聯(lián)動處置16 HYPERLINK l _bookmark29 ECA 檢測方案16 HYPERLINK l _bookmark30 方案概述16 HYPERLINK l _bookmark31 ECA 原理17 HYPERLINK l _bookmark32 TLS 協(xié)商過程18 HYPERLINK l _bookmark33 網(wǎng)絡(luò)行為特征分析19 HYPERLINK l _bookmark34 TLS 流特征19 HYPERLINK l _bookmark35 上下文流量信息關(guān)聯(lián)22 HYPERLINK l

5、_bookmark36 ECA 檢測分類模型22 HYPERLINK l _bookmark37 網(wǎng)絡(luò)誘捕方案23 HYPERLINK l _bookmark38 方案概述23 HYPERLINK l _bookmark39 誘捕原理25 HYPERLINK l _bookmark40 關(guān)鍵過程25 HYPERLINK l _bookmark41 網(wǎng)絡(luò)混淆技術(shù)25 HYPERLINK l _bookmark42 仿真交互技術(shù)25 HYPERLINK l _bookmark43 安全智能運維26 HYPERLINK l _bookmark44 應(yīng)用策略調(diào)優(yōu)26 HYPERLINK l _book

6、mark45 概述26 HYPERLINK l _bookmark46 關(guān)鍵技術(shù)方案26 HYPERLINK l _bookmark47 應(yīng)用策略仿真27 HYPERLINK l _bookmark48 概述27 HYPERLINK l _bookmark49 關(guān)鍵技術(shù)方案27 HYPERLINK l _bookmark50 基于用戶的訪問合規(guī)調(diào)優(yōu)28 HYPERLINK l _bookmark51 概述28 HYPERLINK l _bookmark52 關(guān)鍵技術(shù)方案28 HYPERLINK l _bookmark53 安全業(yè)務(wù)統(tǒng)一管理29 HYPERLINK l _bookmark54 設(shè)

7、備管理29 HYPERLINK l _bookmark55 對象管理30 HYPERLINK l _bookmark56 策略管理30 HYPERLINK l _bookmark57 典型應(yīng)用場景/典型組網(wǎng)31 HYPERLINK l _bookmark58 三層聯(lián)動閉環(huán)典型場景31 HYPERLINK l _bookmark59 結(jié)合 ECA 和網(wǎng)絡(luò)誘捕的典型場景32 HYPERLINK l _bookmark60 終端聯(lián)動響應(yīng)典型場景33 1方案背景 HYPERLINK l _bookmark1 風險分析 HYPERLINK l _bookmark2 解決思路 HYPERLINK l _b

8、ookmark3 方案價值風險分析全球網(wǎng)絡(luò)威脅形勢不斷變化，新型攻擊復(fù)雜且隱蔽，攻擊頻率和嚴重程度不斷增長， 網(wǎng)絡(luò)技術(shù)與應(yīng)用的發(fā)展無疑又加重了安全管理的負擔，安全管理人員面臨著巨大的挑戰(zhàn)。網(wǎng)絡(luò)與應(yīng)用的快速發(fā)展，增加了安全管理的復(fù)雜度。企業(yè)使用私有云、公有云混合部署，安全策略需要跨越多個環(huán)境，并保持一致。不斷增長的用戶與設(shè)備，復(fù)雜的應(yīng)用訪問關(guān)系，使得安全策略紛繁復(fù)雜，管理耗時，且容易出錯。惡意攻擊者可利用的途徑正在擴大，任何進入與離開網(wǎng)絡(luò)的流量都不再可信。企業(yè)員工可能在任何時間、從任何地點、使用任意移動設(shè)備接入網(wǎng)絡(luò)。要保證所有連接到企業(yè)網(wǎng)絡(luò)的終端都是安全的，幾乎是不可能完成的任務(wù)。與此同時，云服

9、務(wù)的廣泛應(yīng)用，也給攻擊者提供了新的滲透渠道。新型攻擊復(fù)雜且隱蔽，傳統(tǒng)基于簽名的防護技術(shù)已經(jīng)落伍。惡意軟件變種多、更新速度快，傳統(tǒng)防御手段被動響應(yīng)，疲于應(yīng)付。各個安全設(shè)備各自為戰(zhàn)，導(dǎo)致檢測及響應(yīng)周期長。發(fā)現(xiàn)攻擊只是一個開始，只有快速有效地識別和處理威脅，才能最大限度降低安全風險和損失。為了應(yīng)對當今廣泛的網(wǎng)絡(luò)威脅環(huán)境，保護業(yè)務(wù)安全，用戶需要一個全面的安全解決方案。不僅能充分利用威脅情報阻斷已知威脅，還要持續(xù)分析業(yè)務(wù)流量，提供全面的可視化能力，快速緩解和閉環(huán)威脅。在運維管理方面，需要一個統(tǒng)一的策略管理平臺， 不僅為復(fù)雜環(huán)境提供一致的安全策略，還能根據(jù)業(yè)務(wù)需要實現(xiàn)策略自動化生成與調(diào) 整，保證合規(guī)性與業(yè)

10、務(wù)敏捷。解決思路華為HiSec 解決方案，在軟件定義安全領(lǐng)域引入智能理念，為數(shù)字化企業(yè)構(gòu)建全新的智能防護體系。 方案中引入安全控制器 SecoManager，可協(xié)同軟硬件的安全組件實現(xiàn)統(tǒng)一安全業(yè)務(wù)編排與管理，保證全網(wǎng)策略一致性。 解決方案利用網(wǎng)絡(luò)設(shè)備/安全設(shè)備作為檢測和執(zhí)行點。通過全網(wǎng)監(jiān)控，對網(wǎng)絡(luò)行為數(shù)據(jù)進行深度鉆取。然后，利用深度神 經(jīng)網(wǎng)絡(luò)算法和機器學習技術(shù)，實現(xiàn)基于AI 的威脅自學習檢測，及時發(fā)現(xiàn)潛在威脅。采用軟件定義技術(shù)，調(diào)度全網(wǎng)設(shè)備協(xié)同處置，共同抵御虛擬環(huán)境中的威脅，防止橫向擴 散，加速威脅檢測與策略下發(fā)，幫助客戶在數(shù)字化轉(zhuǎn)型的道路上防患于未然。方案價值華為HiSec 安全解決方案主要

11、從安全能力和安全運維兩個角度出發(fā)，將大數(shù)據(jù)分析能力融入到安全解決方案中，打通各組件的管理接口，在實現(xiàn)統(tǒng)一安全視角的同時，簡化安全運維，帶來如下價值：感知全網(wǎng)安全態(tài)勢圖形化界面幫助客戶直觀理解全網(wǎng)安全態(tài)勢，并可以根據(jù)區(qū)域、關(guān)鍵資產(chǎn)去查看對應(yīng)的風險，并給出處理建議。運維人員可以快速找到自己負責的區(qū)域和資產(chǎn)， 并根據(jù)安全狀態(tài)和處理建議對這些設(shè)備進行系統(tǒng)升級、補丁安裝等安全加固工 作。快速發(fā)現(xiàn)高級威脅基于對網(wǎng)絡(luò)流量、威脅日志、惡意加密流量的采集，通過大數(shù)據(jù)分析檢測技術(shù)， 幫助客戶實時快速發(fā)現(xiàn)網(wǎng)絡(luò)中的安全威脅事件、高級威脅，對于可疑掃描和訪 問，通過網(wǎng)絡(luò)誘捕技術(shù)深度驗證，將被動防御變?yōu)橹鲃臃烙Ｃ爰壈踩?/p>

12、聯(lián)動響應(yīng)通過和安全控制器、安全設(shè)備的快速聯(lián)動，實現(xiàn)安全事件秒級響應(yīng)，大大提高安全響應(yīng)速度和效率。并可以進行手動或自動的安全策略聯(lián)動，對安全威脅進行處置，降低其對網(wǎng)絡(luò)和業(yè)務(wù)的影響。安全策略智能運維基于動態(tài)應(yīng)用訪問關(guān)系的智能策略運維，提供應(yīng)用互訪關(guān)系展示，已上線策略動態(tài)調(diào)優(yōu)，新上線策略仿真驗證功能，為管理員應(yīng)對海量安全策略提供了強有力的支撐。安全業(yè)務(wù)統(tǒng)一管理統(tǒng)一管理防火墻安全策略，解決防火墻的管理手段分散、無有效集中管理工具的痛點，支持策略變更統(tǒng)計、配置一致性統(tǒng)計、部署狀態(tài)統(tǒng)計等，提高安全管理員的運維效率。 2方案概述 HYPERLINK l _bookmark5 2.1方案架構(gòu)2.1 方案架構(gòu)華

13、為HiSec 安全解決方案采用分析器、控制器、執(zhí)行器三層架構(gòu)模型，安全分析器：CIS（CyberSecurity Intelligent System）網(wǎng)絡(luò)安全智能系統(tǒng)：作為方案的“安全大腦”，是安全架構(gòu)的最頂層，CIS 全面采集全網(wǎng)流量元數(shù)據(jù)、網(wǎng)絡(luò)安全設(shè)備的日志信息，持續(xù)監(jiān)控網(wǎng)絡(luò)活動，運用大數(shù)據(jù)分析和機器學習技術(shù)，檢測、分析并發(fā)現(xiàn)高級威脅。通過安全控制器 SecoManager，聯(lián)動安全設(shè)備實現(xiàn)安全威脅的快速閉環(huán)。FireHunter 沙箱：分析防火墻和流探針還原后的可疑文件，并將分析結(jié)果上報至 CIS， FireHunter 在傳統(tǒng)安全檢測技術(shù)基礎(chǔ)上，引入多引擎虛擬檢測技術(shù)，分析和收集軟件

14、的靜態(tài)及動態(tài)行為，憑借獨有的行為模式庫技術(shù)，精準識別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?。安全控制器SecoManager 安全控制器，作為方案的“中樞神經(jīng)”, 該組件定位于網(wǎng)絡(luò)安全策略管 理、業(yè)務(wù)編排。接收 CIS 下發(fā)的處置任務(wù)，編排成為安全設(shè)備可執(zhí)行的策略，實現(xiàn)自動威脅響應(yīng)、安全策略仿真和策略調(diào)優(yōu)，提高運維效率。安全執(zhí)行器/采集器執(zhí)行/采集器作為方案的“四肢”和“五官”，主要負責安全防御動作的執(zhí)行和安全事件的采集上報。上報的數(shù)據(jù)包括 Syslog 日志、事件、Metadata、NetFlow、信譽等等，執(zhí)行的動作包括告警、阻斷、報表呈現(xiàn)、短信通知等等。執(zhí)行/采集器主要為以防火墻為代表的專業(yè)安全設(shè)備。 3

15、方案介紹 HYPERLINK l _bookmark7 三層聯(lián)動閉環(huán)方案 HYPERLINK l _bookmark23 終端聯(lián)動響應(yīng) HYPERLINK l _bookmark29 ECA 檢測方案 HYPERLINK l _bookmark37 網(wǎng)絡(luò)誘捕方案 HYPERLINK l _bookmark43 安全智能運維 HYPERLINK l _bookmark53 安全業(yè)務(wù)統(tǒng)一管理三層聯(lián)動閉環(huán)方案方案概述安全聯(lián)動閉環(huán)方案中，CIS 通過大數(shù)據(jù)分析方法從海量文件，流量和日志中識別未知威脅，生成聯(lián)動策略下發(fā)給安全控制器 SecoManager，從而聯(lián)動NGFW 進行安全閉環(huán)處置；安全聯(lián)動閉環(huán)

16、方案總體架構(gòu)圖如下：數(shù)據(jù)采集CIS 日志采集器負責日志采集，實現(xiàn)日志/事件的高性能采集和預(yù)處理；日志采集流程包括日志接收、日志分類、日志格式化和日志轉(zhuǎn)發(fā)。Syslog 日志在上送大數(shù)據(jù)平臺之前要進行歸一化處理，將其轉(zhuǎn)換為大數(shù)據(jù)平臺能理解的統(tǒng)一格式。支持采集網(wǎng)絡(luò)/安全設(shè)備上報的Netflow 數(shù)據(jù)支持采集第三方系統(tǒng)（ArcSight CEF 格式, IBM Qradar Json 格式）和安全設(shè)備的Syslog 日志；日志采集器到大數(shù)據(jù)平臺實現(xiàn) SSL 加密傳輸CIS 流探針或防火墻內(nèi)置流探針負責原始流量采集，通過優(yōu)化的DPI 技術(shù)高效提取原始流量的協(xié)議特性，實現(xiàn)高性能的流量數(shù)據(jù)采集和協(xié)議還原。

17、流探針支持報文捕獲功能，生成的PCAP 文件保存在流探針的本地磁盤上，CIS 大數(shù)據(jù)安全平臺通過 HTTPS 定時讀取流探針上存儲的PCAP 文件。流量采集主要功能包含：協(xié)議解析：支持 HTTP 協(xié)議解析、郵件協(xié)議解析、DNS 協(xié)議解析、HTTPS 協(xié)議解析文件還原：支持還原通過HTTP 協(xié)議上傳/下載的文件還原；支持通過SMTP/POP3/IMAP4 協(xié)議發(fā)送的郵件的附件還原威脅檢測威脅檢測能力主要依靠CIS 的關(guān)聯(lián)分析、大數(shù)據(jù)分析能力，其架構(gòu)如下。服務(wù)功能流探針負責對網(wǎng)絡(luò)中的原始流量進行數(shù)據(jù)協(xié)議特征提取，生成Netflow和 Metadata 數(shù)據(jù)，并將這些數(shù)據(jù)上送給大數(shù)據(jù)安全平臺。采集器

18、負責安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機和終端的日志和Netflow 數(shù)據(jù)采集，并對日志進行歸一化處理后轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺。大數(shù)據(jù)平臺負責接收采集器上報的歸一化日志和 Netflow 數(shù)據(jù)以及流探針上報的 Metadata 和Netflow 數(shù)據(jù)，并對上報數(shù)據(jù)預(yù)處理后進行分布式存儲和索引，為可視化管理子系統(tǒng)提供可視化展示的數(shù)據(jù)支 撐，為威脅檢測子系統(tǒng)提供歷史與實時數(shù)據(jù)訪問支撐。威脅檢測服務(wù)負責根據(jù)預(yù)置的檢測模型和自定義的檢測規(guī)則對歸一化日志、Netflow 和 Metadata 數(shù)據(jù)進行實時/離線分析，檢測異常行為并對異常進行關(guān)聯(lián)和評估，從而發(fā)現(xiàn)并判定高級威脅。可視化平臺負責提供威脅可視化，智能檢測和配

19、置管理等功能。WEB 異常檢測原理WEB 異常檢測主要用于檢測通過 WEB 進行的滲透和異常通信，從歷史數(shù)據(jù)中提取HTTP 流量元數(shù)據(jù)，通過分析HTTP 協(xié)議中的 URL、User-Agent、Refer 和上傳/下載的文件 MD5 等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測下載惡意文件、訪問不常見網(wǎng)站和非瀏覽器流量等異常。郵件異常檢測原理郵件異常檢測主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過分析 SMTP/POP3/IMAP 協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測收發(fā)件人異常、下載惡意郵件、訪問郵件服務(wù)器、郵件正文 URL 異常

20、等。C&C 異常檢測C&C 異常檢測主要通過對協(xié)議流量（DNS/HTTP/3,4 層協(xié)議）的分析檢測 C&C 通信異常?；贒NS 流量的 C&C 異常檢測采用機器學習的方法，利用樣本數(shù)據(jù)進行訓(xùn)練，從而生成分類器模型，并在客戶環(huán)境利用分類器模型識別訪問 DGA 域名的異常通信，從而發(fā)現(xiàn)僵尸主機或者APT 攻擊在命令控制階段的異常行為?；?3,4 層流量協(xié)議的C&C 異常檢測根據(jù) CC 通訊的信息流與正常通訊時的信息流區(qū)別，分析CC 木馬程序與外部通訊的信息的特點，區(qū)分與正常信息流的差異，通過流量檢測發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的 CC 通訊信息流。對于基于HTTP 流量的C&C 異常檢測采用統(tǒng)計分析的方

21、法，記錄內(nèi)網(wǎng)主機訪問同一個目的 IP+域名的所有流量中每一次連接的時間點，并根據(jù)時間點計算每一次連接的時間間隔，定時檢查每一次的時間間隔是否有變化，從而發(fā)現(xiàn)內(nèi)網(wǎng)主機周期外聯(lián)的異常行 為。隱蔽通道異常檢測原理隱蔽通道異常檢測主要用于發(fā)現(xiàn)被入侵主機通過正常的協(xié)議和通道傳輸非授權(quán)數(shù)據(jù)的異常，檢測方法包括Ping Tunnel、DNS Tunnel 和文件防躲避檢測。Ping Tunnel 檢測是通過對一個時間窗內(nèi)同組源/目的 IP 之間的 ICMP 報文的載荷內(nèi)容進行分析和比較，從而發(fā)現(xiàn)Ping Tunnel 異常通信。DNS Tunnel 檢測通過對一個時間窗內(nèi)同組源/目的 IP 之間的 DNS

22、報文的域名合法性檢測和DNS 請求/應(yīng)答頻率分析通過機器學習建立合法的DNS 請求基線，頻次和規(guī)律異常觸發(fā)進一步檢測，從而發(fā)現(xiàn)DNS Tunnel 異常通信。文件防躲避檢測通過對流量元數(shù)據(jù)中的文件類型的分析和比較，從而發(fā)現(xiàn)文件類型與實際擴展名不一致的異常。流量基線異常檢測原理流量基線異常檢測主要解決網(wǎng)絡(luò)內(nèi)部的主機/區(qū)域之間（內(nèi)外區(qū)域之間、內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機之間、內(nèi)網(wǎng)主機與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機與區(qū)域之間）的異常訪問問題。流量基線是指網(wǎng)絡(luò)內(nèi)部主機之間、區(qū)域之間或者內(nèi)外網(wǎng)之間的訪問規(guī)則，包括指定時間段內(nèi)是否允許訪問、訪問的頻次范圍、流量大小范圍等。流量基線可以有兩種來源：系統(tǒng)自學習和用戶

23、自定義配置。流量基線自學習，就是系統(tǒng)自動統(tǒng)計一段時間內(nèi)（比如一個月）網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量信息，以此訪問和流量信息為基礎(chǔ)（對于流量數(shù)據(jù)，還會自動設(shè)置合適的上下浮動范圍），自動生成流量基線。用戶自定義流量基線：用戶手工配置網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量規(guī)則。流量基線異常檢測將自學習和用戶自定義的流量基線加載到內(nèi)存中，并對流量數(shù)據(jù)進行在線統(tǒng)計和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。惡意文件檢測原理FireHunter 文件檢測經(jīng)過信譽查詢、第三方 AV 檢測、靜態(tài)檢測引擎檢測、機器學習引擎檢測、CC 檢測引擎檢測、沙箱檢測引擎檢測，最終在威脅

24、分析引擎進行對各個檢測結(jié)果進行關(guān)聯(lián)、聯(lián)合分析和威脅判定，最終給出威脅檢測結(jié)果。其中，沙箱檢測引擎，又包括了 web 啟發(fā)式引擎、PDF 啟發(fā)式引擎、PE 啟發(fā)式引擎和虛擬執(zhí)行環(huán)境引擎。FireHunter 可以針對主流的應(yīng)用軟件及文檔實現(xiàn)檢測、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可執(zhí)行腳本文件、媒體文件、LNK 文件、壓縮文件等軟件及文檔。關(guān)聯(lián)分析原理關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。關(guān)聯(lián)分析采用了高性能的流計算引擎，直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)

25、則進行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認為它們之間存在對應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。威脅判定原理威脅判定根據(jù)多個異常進行關(guān)聯(lián)、評估和判定產(chǎn)生高級威脅，為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。威脅判定按照攻擊鏈的階段標識/分類各種異常，并以異常發(fā)生的時間為準，通過主機 IP、文件 MD5 和 URL 建立異常的時序和關(guān)聯(lián)關(guān)系，根據(jù)預(yù)定義的行為判定模式判定是否高級威脅，同時根據(jù)相關(guān)聯(lián)的異常的嚴重程度、影響范圍、可信度進行打分和評估，從而產(chǎn)生威脅事件。云端威脅情報華為資深安全專家和安全能力中心

26、通過對第三方安全情報的收集分析，利用大數(shù)據(jù)、機器學習技術(shù)，生成各類云端信譽庫、特征庫。通過云端安全智能中心為各類安全設(shè)備提供云端威脅情報的定期升級，包括URL 分類庫，惡意 URL 庫、熱點域名列表、惡意文件信譽，IP 信譽，C&C 域名庫等，實現(xiàn)最新安全威脅的快速同步，提高威脅防御能力。聯(lián)動閉環(huán)基于 IP 阻斷CIS 系統(tǒng)提供豐富的威脅檢測模型，管理員可以結(jié)合現(xiàn)網(wǎng)威脅類型，針對各類威脅類型進行聯(lián)動規(guī)則配置，規(guī)則配置生效后，一旦檢測到的威脅事件命中聯(lián)動規(guī)則后，CIS 按照聯(lián)動規(guī)則中的阻斷配置下發(fā)聯(lián)動策略。整個交互流程如下：1、管理員配置交換機,將待檢測的流量通過交換機端口鏡像給 CIS 流探針

27、；2、流量鏡像到CIS 流探針后，流探針進行報文解析，協(xié)議特性提??；3、當CIS 流探針配置了文件還原功能后，流探針會將流量中的文件還原出來，發(fā)送給沙箱 FireHunter 進行檢測；4、當NGFW 和沙箱聯(lián)動時，NGFW 會將流量中的文件還原出來，送給沙箱Firehunter檢測；5、CIS 流探針將提取的流量元數(shù)據(jù) Metadata 上報給CIS 大數(shù)據(jù)平臺；同時防火墻安全日志如 IPS/AV 日志上報CIS 采集器；沙箱文件檢測日志也上報 CIS 采集器；6、CIS 系統(tǒng)采集了網(wǎng)絡(luò)中的流量信息，文件，安全日志信息后，根據(jù)威脅檢測模型進行威脅檢測；7、管理員根據(jù)當前網(wǎng)絡(luò)中的威脅情況，在

28、CIS 界面上針對現(xiàn)網(wǎng)中的主要威脅類型進行聯(lián)動規(guī)則配置，配置阻斷類型，自動/手動觸發(fā)方式，策略回收周期等；8、聯(lián)動規(guī)則生效后，當CIS 檢測的威脅事件匹配聯(lián)動規(guī)則時，CIS 按照聯(lián)動規(guī)則下發(fā)聯(lián)動策略給 SecoManager；9、SecoManager 接收 CIS 的聯(lián)動策略，根據(jù)五元組信息確定具體安全執(zhí)行設(shè)備，下發(fā)阻斷策略，防火墻按照策略執(zhí)行阻斷；10、CIS 查看聯(lián)動策略的命中次數(shù)，通過調(diào)用 SecoManager 的北向接口進行命中次數(shù)的統(tǒng)計；11、SecoManager 調(diào)用防火墻的北向接口，查詢每個阻斷策略的命中統(tǒng)計，并返回給CIS；12、CIS 界面進行聯(lián)動規(guī)則的命中統(tǒng)計呈現(xiàn)。常

29、見主要的威脅類型支持的聯(lián)動方式：威脅類型聯(lián)動方式阻斷類型DGA 域名請求支持自動/手動基于 IP 阻斷疑似挖礦行為支持自動/手動基于 IP 阻斷訪問可疑的 C&C 服務(wù)器支持手動基于 IP 阻斷DNS 隧道病毒攻擊支持手動基于 IP 阻斷Web Shell 攻擊支持手動基于 IP 阻斷遠程文件包含攻擊支持手動基于 IP 阻斷蠕蟲攻擊支持手動基于 IP 阻斷掃描攻擊支持手動基于 IP 阻斷本地信譽聯(lián)動通過本地信譽聯(lián)動，可以將 FireHunter 分析出的風險目標（威脅文件、惡意URL）匯聚為內(nèi)部情報資源，以本地信譽的形式共享給網(wǎng)絡(luò)中的傳統(tǒng)安全設(shè)備（例如 Firewall、IPS 設(shè)備），實現(xiàn)本

30、地威脅情報共享，提升全網(wǎng)的威脅檢測及處理能力。本地信譽依托安全分析器CIS 生成信譽信息（文件信譽、URL 信譽），防火墻等安全設(shè)備定時從 CIS 更新信譽信息。整體方案分為數(shù)據(jù)收集、威脅信息上報、本地信譽更新及同步三個部分。鏡像流量收集FireHunter 的鏡像口與交換機或者其他網(wǎng)關(guān)的鏡像口直連，由交換機或者其他網(wǎng)關(guān)設(shè)備將待檢測的網(wǎng)絡(luò)流量通過鏡像口鏡像給 FireHunter。FireHunter 接收鏡像的網(wǎng)絡(luò)流量，自行進行流量還原，對流量進行 CC 檢測，同時提取流量中的文件進行檢測，CC 檢測結(jié)果以及文件檢測結(jié)果都能夠在 FireHunter 自身的WebUI 上進行展示。還原文件收

31、集防火墻或者 CIS 流探針可以從將網(wǎng)絡(luò)流量中提取文件，然后發(fā)送給 FireHunter 進行檢測。網(wǎng)絡(luò)流量經(jīng)過防火墻，防火墻從網(wǎng)絡(luò)流量中提取文件，將待檢測文件通過聯(lián)動協(xié)議發(fā)送給 FireHunter。FireHunter 收到文件后進行檢測，防火墻通過聯(lián)動接口查找所提交文件的檢測結(jié)果。CIS 的流探針接收網(wǎng)絡(luò)鏡像流量，對流量進行還原，提取網(wǎng)絡(luò)中的文件，通過FireHunter 聯(lián)動協(xié)議發(fā)送給 FireHunter，F(xiàn)ireHunter 收到文件后進行文件檢測，將檢測日志發(fā)送給 CIS 的采集器進行處理。威脅日志上報FireHunter 作為文件檢測服務(wù)器與 CIS 的采集器連接，將分析出的威

32、脅信息以Syslog 日志的形式發(fā)送給CIS 采集器。CIS 采集器作為日志服務(wù)器對 Syslog 日志進行采集和歸一化處理，并將數(shù)據(jù)上送到CIS 大數(shù)據(jù)分析平臺。本地信譽更新及同步CIS 根據(jù) FireHunter 檢測結(jié)果生成信譽保存到本地信譽庫（文件信譽、URL），并提供本地信譽庫下載接口。防火墻周期性（每隔 5 分鐘）向 CIS 發(fā)送本地信譽更新請求，CIS 將最新本地信息推送給防火墻，防火墻將本地信譽信息升級到最新，全網(wǎng)聯(lián)動及時阻斷威脅。終端聯(lián)動響應(yīng)方案概述安全聯(lián)動閉環(huán)方案中主要為網(wǎng)絡(luò)層面的安全，對于終端安全場景缺少有效的終端檢測和響應(yīng)機制。終端聯(lián)動響應(yīng)EDR 方案（終端檢測與響應(yīng)，

33、Endpoint Detection and Response）為 CIS 檢測威脅事件分析提供更多終端層面的信息。方案中 CIS 與第三方 EDR 聯(lián)動，主要包含 3 方面的關(guān)鍵能力：調(diào)查取證、確認終端感染范圍、終端聯(lián)動處置。其中，調(diào)查取證能力輔助確認安全告警是否為誤報事件，并將威脅事件溯源到終端的具體進程，在對安全事件進行確認后完成感染范圍的確認及終端聯(lián)動處置。關(guān)鍵技術(shù)方案調(diào)查取證流程介紹：CIS 根據(jù)指定條件（MD5、IP、Domain、URL 等）從 EDR 控制中心獲取終端上相關(guān)進程信息在CIS 上展示，其中，進程信息包括：網(wǎng)絡(luò)行為信息：進程的網(wǎng)絡(luò)連接信息，包括源/目的 IP、源/目

34、的端口、協(xié)議、訪問的 URL/域名、請求時間；系統(tǒng)行為信息：進程的注冊表、文件訪問行為，包括操作時間、文件路徑、文件MD5、注冊表的操作行為和文件的操作行為。2、第三方EDR 將可疑文件及依賴的庫打包后提交給沙箱，沙箱對提交的文件進行惡意文件分析；3、CIS 從沙箱獲取進程文件檢測報告，在CIS 上展示。確認終端感染范圍流程介紹：CIS 向 EDR 控制中心下發(fā)IOC（Indicator of Compromise，即威脅的域名、md5、IP 等特征）規(guī)則檢測任務(wù)；EDR 控制中心將 IOC 規(guī)則檢測任務(wù)下發(fā)到終端；3、終端根據(jù) IOC 信息檢查本地是否存在威脅，并經(jīng)由EDR 控制中心通過Sy

35、slog 方式將檢測結(jié)果送給 CIS 日志采集器，檢測結(jié)果日志包括：檢測時間，檢測的終端 IP，匹配的 IOC 規(guī)則名稱，匹配項的值（如文件 MD5，文件名稱，注冊表項或網(wǎng)絡(luò)URL/域名）。終端聯(lián)動處置流程介紹：安全運維人員針對確認是攻擊的威脅事件觸發(fā)終端聯(lián)動處置策略，CIS 根據(jù)事件信息及聯(lián)動處置方式下發(fā)聯(lián)動響應(yīng)規(guī)則給EDR 控制中心；EDR 控制中心將聯(lián)動規(guī)則下發(fā)給對應(yīng)的終端EDR 代理，終端EDR 代理根據(jù)聯(lián)動響應(yīng)規(guī)則對終端上的可疑文件/進程進行刪除文件、隔離文件和 Kill 進程等操作；EDR 控制中心將聯(lián)動執(zhí)行結(jié)果發(fā)送給 CIS 日志采集器。ECA 檢測方案方案概述華為CIS 通過對

36、加密流量的握手信息、數(shù)據(jù)包的時序關(guān)系、流的統(tǒng)計信息、加密流量的背景流量信息進行特征抽取，并基于關(guān)鍵特征采用機器學習的方式進行建模，然后就可以用模型對正常加密流量和惡意加密流量進行分類，能夠有效的檢測出惡意加密流量。整個ECA 檢測方案分為 ECA 探針和ECA 分析系統(tǒng)。ECA 探針主要負責加密流量的特征提取，填充 Metadata 后送入ECA 檢測分類模型進行判定。ECA 分析系統(tǒng)，結(jié)合自研的檢測模型檢測發(fā)現(xiàn)惡意加密流量。ECA 原理整個ECA 工作流程分為 3 大部分：1、首先安全研究人員通過獲取的黑白樣本集，結(jié)合查詢情報，包括域名、IP、SSL 相關(guān)證書的情報信息，來對樣本進行標記。通

37、過對黑白樣本的客戶端與服務(wù)器握手中的相關(guān)信息、TCP 流統(tǒng)計特征以及 DNS 等特征提取特征向量。通過對黑白樣本的客戶端簽名和服務(wù)器證書的簽名進行分析；基于上述分析取證的特征向量，采用機器學習的方法，利用樣本數(shù)據(jù)進行訓(xùn)練，從而生成分類器模型。這就形成CIS 最核心的 ECA 檢測分類模型。2、通過前端 ECA 探針提取網(wǎng)絡(luò)流量中加密流量的特征數(shù)據(jù)，包括 TLS 握手信息、TCP 統(tǒng)計信息、DNS/HTTP 相關(guān)信息，統(tǒng)一上報給CIS 系統(tǒng)。3、CIS 結(jié)合自身的大數(shù)據(jù)關(guān)聯(lián)分析能力，對探針上送的各類特征數(shù)據(jù)進行處理，利用ECA 檢測分類模型識別加密流量中的異常C&C 連接，從而發(fā)現(xiàn)僵尸主機或者A

38、PT 攻擊在命令控制階段的異常行為。支持 TLS 版本為 TLS1.0，TLS1.1，TLS1.2TLS 協(xié)商過程TLS 協(xié)商過程中的參數(shù)特征是TLS 加密流量的主要特征，在一個TLS 連接開始建立的過程中，多個數(shù)據(jù)報文都沒有被加密，首先會進行加密方式的協(xié)商。從一個握手包開始，客戶端（瀏覽器或惡意軟件）會給對端通信的服務(wù)器發(fā)送ClientHello 消息。“Hello”消息包含一組參數(shù)，例如使用的密碼套件、可接受的版本以及可選的擴展。服務(wù)器收到客戶端請求后，向客戶端發(fā)出回應(yīng)，即SeverHello 消息，確認使用的加密通信協(xié)議版本、確認使用的加密方法和服務(wù)器證書。客戶端收到服務(wù)器回應(yīng)以后，首先

39、驗證服務(wù)器證書。如果證書不是可信機構(gòu)頒 布、或者證書中的域名與實際域名不一致、或者證書已經(jīng)過期，就會向訪問者顯示一個警告，由其選擇是否還要繼續(xù)通信。如果證書沒有問題，客戶端就會從證書中取出服務(wù)器的公鑰。然后，向服務(wù)器發(fā)送隨機數(shù)、編碼改變通知、客戶端握手結(jié)束通知信息。服務(wù)器的最后回應(yīng)編碼改變通知和服務(wù)器握手結(jié)束通知。整個握手階段全部結(jié)束。接下來，客戶端與服務(wù)器進入加密通信。網(wǎng)絡(luò)行為特征分析TLS 協(xié)議中，除了 TLS 的握手信息，其他信息都是加密的。所以我們只能從TLS 握手信息和其他上下文信息來提取特征。我們提取的特征分為兩類，一類采集自TLS 流本身，包括TLS 協(xié)商過程中的參數(shù)特征以及 T

40、CP/IP 流數(shù)據(jù)包長度和時間相關(guān)統(tǒng)計特征， 另一類基于 TLS 上下文的DNS，HTTP 提取的特征。TLS 流特征TLS 握手階段都是明文的，從這個過程中可以提取出證書信息和雙方選擇的加密方法。因此TLS 握手信息（ClientHello，ServerHello）流中未加密的元數(shù)據(jù)包含黑客無法隱藏的數(shù)據(jù)指紋，可用于進行檢測算法訓(xùn)練。對于握手過程的信息，我們將其分為客戶端指紋信息和服務(wù)器證書信息兩部分。對于客戶端指紋信息，以TLS 握手時客戶端使用的加密套件信息為例來分析。從圖中客戶端使用的加密套件的分布情況可以看出，加密套件在黑、白樣本中使用情況差異 較明顯。正常情況下，每個客戶端都會有幾

41、個加密套件組合而成，OWASP 推薦使用ECDH/DH AES cipher suites，而使用基于 MD5 和RC4 的套件被認為是弱的、不安全的加密套件。而在黑樣本中SSL 現(xiàn)有版本不推薦的套件占比較大。加密套件套件算法000aTLS_RSA_WITH_3DES_EDE_CBC_SHA0005TLS_RSA_WITH_RC4_128_SHA0004TLS_RSA_WITH_RC4_128_MD50013TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAC02bTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 （推薦）C02fTLS_ECDHE

42、_RSA_WITH_AES_128_GCM_SHA256 （推薦）對于交互的服務(wù)器證書，黑樣本也有很多特殊的地方。如上圖所示，左圖為正常的證書，證書使用者是正規(guī)網(wǎng)站，證書信息填寫詳細明確； 右圖為黑樣本證書，證書為自簽名證書，且證書多個字段為空。從上圖可以看出，黑樣本中多于 3 個空字段的比例更高，白樣本中大多數(shù)都是少于 3個空字段。部分TLS 握手信息中提取的字段數(shù)據(jù)如下：序號特征名描述1CipherSuitesTLS 客戶端支持加密套件列表2SelectedTLS 服務(wù)器端選擇的加密套件3Cert_Duration服務(wù)器葉證書的有效期(單位天)4Self_Signed服務(wù)器葉證書是否為自簽

43、名證書5Cert_Nums服務(wù)器證書鏈中的證書數(shù)量TCP 流相關(guān)的統(tǒng)計特征一條完整的 TCP 流，從建流到流結(jié)束，除了五元組（目的 IP 地址、源 IP 地址、目的端口號、源端口號、協(xié)議號）信息外，還可以提取整條流的持續(xù)時間，這條流的包間隔，包長度分布等。部分TCP 統(tǒng)計特征中提取的字段數(shù)據(jù)如下：序號特征名描述1DurationTCP 流的持續(xù)時間，時間單位毫秒2Bytes.srcTCP 連接過程中發(fā)送的總字節(jié)數(shù)3Num.srcTCP 連接過程中發(fā)送的總包數(shù)上下文流量信息關(guān)聯(lián)惡意軟件的網(wǎng)絡(luò)行為中，除了HTTPS 的流量，還包含 DNS 查詢的流量、HTTP 請求的流量等，關(guān)聯(lián)相同源 IP 在加

44、密流量的上下文的流量，分析這些沒有加密的流量，可以找到一些線索，輔助進行檢測和取證。針對DNS，主要用途是獲得 IP 地址，還有可能進行敏感數(shù)據(jù)外傳。為了獲取 IP 地 址，惡意軟件可能使用 DGA 域名、動態(tài)域名、IP 直連的方式，在獲取到 IP 地址之后存在后續(xù)的請求；敏感數(shù)據(jù)外傳的場景下，有大量的 DNS 請求但后續(xù)沒有操作。針對HTTP，可能下載一些惡意腳本、其他的惡意軟件，與C&C 服務(wù)器通信獲取控制命令、敏感數(shù)據(jù)外傳等。例如下載惡意軟件的 HTTP 流，響應(yīng)字節(jié)數(shù)/請求字節(jié)數(shù)比較大；敏感數(shù)據(jù)外傳響應(yīng)字節(jié)數(shù)/請求字節(jié)數(shù)比較??；被感染主機發(fā)送的請求包，響應(yīng)的數(shù)據(jù)包可能在頭部信息多，響應(yīng)

45、體的內(nèi)容為空；存在可疑的User-Agent、可疑的頁面跳轉(zhuǎn)等。部分上下文流量信息中提取的字段數(shù)據(jù)如下：序號特征名描述1Suffix目的 IP 關(guān)聯(lián)的域名后綴2TTL目的 IP 關(guān)聯(lián)的域名的生存時間3domain_len目的 IP 關(guān)聯(lián)的域名長度4User_Agent源 IP 關(guān)聯(lián)的 HTTPRequest 消息中的User_Agent字段5Client_Content_Type源 IP 關(guān)聯(lián)的 HTTPRequest 消息中的 content_type字段ECA 檢測分類模型網(wǎng)絡(luò)行為中提取的特征可以用來生成 ECA 檢測分類模型。ECA 檢測分類模型下發(fā)到CIS 分析器，交換機、網(wǎng)絡(luò)探針提取

46、現(xiàn)網(wǎng)的流量特征發(fā)送給CIS 分析器，CIS 分析器檢測 TLS 流是否是惡意的流量。機器學習算法的選擇上，主要是從樣本量需求，樣本處理工作量，模型準確度要求， 模型訓(xùn)練周期，模型調(diào)優(yōu)工作量，以及模型占用資源的可控程度幾個維度來考慮，最終選擇業(yè)界成熟的隨機森林（RF）算法，利用樣本數(shù)據(jù)進行訓(xùn)練，從而生成分類器模型。隨機森林算法大大減少了普通決策樹算法的 variance，并且可以直觀的展現(xiàn)每個特征的重要程度，及判斷過程。首先從訓(xùn)練樣本集中使用Boostraping 方法隨機抽取部分訓(xùn)練樣本，進行 k 輪抽取。然后得到的 k 個樣本集分別用來訓(xùn)練 k 個決策樹模型，而在構(gòu)造決策樹時并不是對所有特征

47、找到能使得指標（如信息增益）最大，而是在特征中隨機抽取的一部分特征中尋找分裂特征。最后由投票表決判定為惡意的樣本的概率。網(wǎng)絡(luò)誘捕方案方案概述攻擊過程一般分為系統(tǒng)信息收集、脆弱性判定、針對性攻擊三個階段。傳統(tǒng)意義上的網(wǎng)絡(luò)防御是圍繞攻擊事件識別的防御，在針對性攻擊階段才進行防御，一方面，依賴攻擊事件識別技術(shù)，復(fù)雜度高、防御周期長；另一方面，隨著攻擊影響范圍的擴散， 防御成本不斷提高。網(wǎng)絡(luò)誘捕技術(shù)，是基于攻擊意圖的防御。華為網(wǎng)絡(luò)誘捕系統(tǒng)，利用網(wǎng)絡(luò)混淆技術(shù)、仿真交互技術(shù)，通過對網(wǎng)絡(luò)探測活動的欺騙，展現(xiàn)虛假資源，發(fā)現(xiàn)攻擊者；虛假資源與攻擊活動交互，誤導(dǎo)攻擊過程，確認攻擊意圖，使得攻擊者無法發(fā)現(xiàn)真實目標并

48、促使攻擊者暴露；識別到攻擊事件后，通過聯(lián)動處置能力將攻擊源快速隔離。網(wǎng)絡(luò)誘捕過程為防御贏得寶貴時間，可在攻擊造成破壞前阻斷威脅，保護真實系統(tǒng)。華為網(wǎng)絡(luò)誘捕方案關(guān)鍵組件為：誘捕探針、誘捕器。網(wǎng)絡(luò)誘捕方案架構(gòu)如圖所示：誘捕探針感知針對未使用 IP、在用 IP 的未開放端口的掃描行為并代答，誘導(dǎo)攻擊者攻擊誘捕器。比如，誘捕探針發(fā)現(xiàn)攻擊者有掃描行為，并且掃描未開放 IP，如攻擊者發(fā)起對不存在 IP 的 ARP 請求，誘捕探針回應(yīng)本設(shè)備MAC 給攻擊者，讓攻擊者誤以為 IP 存在，并引流后續(xù)流量到誘捕器進行應(yīng)用層的欺騙。誘捕器模擬 HTTP，SMB，RDP，SSH，HTTPS，MYSQL，REDIS，F(xiàn)

49、TP，TELNET，ORACLE，MSSQL 服務(wù)與協(xié)議交互并產(chǎn)生告警、記錄交互過程、捕獲 payload（腳本、文件），并將日志告警、payload 等上報給 CIS，CIS 進行關(guān)聯(lián)分析、威脅呈現(xiàn)。誘捕器支持HTTP，SMB，RDP，SSH，HTTPS，MYSQL，REDIS，F(xiàn)TP，TELNET，ORACLE，MSSQL 應(yīng)用模擬，包括：認證、登錄；SMB 協(xié)議下載，HTTP 協(xié)議上傳下載；針對密碼破解、文件上傳、文件下載活動進行監(jiān)控并發(fā)送可疑日志給CIS。誘捕探針支持對接默安蜜罐，即將默安蜜罐作為誘捕器實現(xiàn)網(wǎng)絡(luò)誘捕方案。默安蜜罐支持模擬的應(yīng)用協(xié)議：SSH，HTTP，SMB，F(xiàn)TP，RD

50、P，MYSQL，REDIS， MEMCACHE，SQLSERVER，MongoDB。CIS 根據(jù)誘捕器上報的日志，結(jié)合其他途徑獲取到的信息做關(guān)聯(lián)分析，輸出威脅事件，可自動下發(fā)處置決策給控制器處置閉環(huán)，自動阻斷威脅，也可以由用戶手工阻斷。誘捕原理業(yè)務(wù)流程：攻擊源發(fā)起 IP、端口掃描；誘捕探針識別掃描行為；誘捕探針將攻擊源誘導(dǎo)到誘捕器(IP 掃描時：行為代答，端口掃描時：引流至誘捕器)；誘捕探針向誘捕器上報掃描事件；攻擊源被誘導(dǎo)到誘捕器；誘捕器記錄攻擊行為，獲取攻擊 playload；誘捕器向CIS 上報日志、Dataflow 告警；CIS 關(guān)聯(lián)分析，判定威脅狀況；CIS 做威脅可視化呈現(xiàn)。關(guān)鍵過

51、程網(wǎng)絡(luò)混淆技術(shù)網(wǎng)絡(luò)混淆技術(shù)即通過向攻擊者展現(xiàn)大量虛假資源，使攻擊者無法獲得真實資源和漏洞信息。此方案中，誘捕探針內(nèi)置在交換機中，更靠近受保護網(wǎng)絡(luò)，同時可在網(wǎng)絡(luò)中廣泛部署。相比部署傳統(tǒng)蜜罐成本更低、密度更高、覆蓋面更廣、防御效果更佳。誘捕功能開啟后，交換機上的誘捕探針在網(wǎng)絡(luò)中展現(xiàn)大量虛假資源，對攻擊者的網(wǎng)絡(luò)掃描行為進行響應(yīng)，向攻擊者展現(xiàn)虛假拓撲，實現(xiàn)虛假網(wǎng)元與真實網(wǎng)元混合組網(wǎng)，有效遲滯掃描器、蠕蟲等自動攻擊程序的攻擊速度，達到干擾攻擊者采集系統(tǒng)信息與脆弱性判定過程的目的。以端口資源利用為例，攻擊者進行端口掃描時，如果被掃設(shè)備端口未開放，誘捕探針代替這些設(shè)備響應(yīng)端口掃描請求，誘騙攻擊者對這些端口進

52、一步訪問。如果攻擊者真的訪問未開放端口，流量就被誘捕探針引流到誘捕器進行應(yīng)用層的誘騙，來進一步確認攻擊者意圖。仿真交互技術(shù)仿真交互技術(shù)即用虛假資源實現(xiàn)攻擊交互，準確識別攻擊意圖，使攻擊者暴露。誘捕器能根據(jù)周邊環(huán)境模擬出相似的仿真業(yè)務(wù)，這些仿真業(yè)務(wù)帶有較明顯的漏洞，由于攻擊者無法分辨真假，可誘使攻擊者對這些業(yè)務(wù)發(fā)起攻擊。一方面，通過攻擊交互過程，能準確識別攻擊意圖。比如正常的掃描器、爬蟲的行為，會響應(yīng)掃描到的資 源，但不會有針對漏洞發(fā)起的攻擊。另一方面，仿真業(yè)務(wù)通常會誘導(dǎo)攻擊者進攻其他仿真業(yè)務(wù)，導(dǎo)致攻擊者陷入連環(huán)陷阱，為攻擊防御爭取了更多時間。同時，通過仿真交互過程，網(wǎng)絡(luò)誘捕系統(tǒng)可以捕獲更多的攻

53、擊信息和情報，便于CIS 分析并采取更準確的防御行為，降低真實系統(tǒng)被攻擊的概率，最大限度減少損失。誘捕器當前支持對HTTP、SMB、RDP、SSH 應(yīng)用的仿真交互。以 HTTP 為例，誘捕器可模擬生成與真實業(yè)務(wù)相似的 WEB 服務(wù)，但是相比真實系統(tǒng)開放了更多服務(wù)，且某些服務(wù)未做安全加固，攻擊者發(fā)現(xiàn)并利用仿真系統(tǒng)的漏洞做進一步攻擊，誘捕器上的 漏洞被觸發(fā)，此時可以確認發(fā)起者為惡意攻擊者。安全智能運維應(yīng)用策略調(diào)優(yōu)概述應(yīng)用策略調(diào)優(yōu)主要用于兩個目的：將用戶原先基于 IP 到 IP 的策略轉(zhuǎn)換為 IP 到應(yīng)用程序，應(yīng)用程序到應(yīng)用程序相關(guān)的策略，這樣用戶維護的策略數(shù)量比較少，也更加直觀；應(yīng)用程序訪問關(guān)系復(fù)

54、雜，且不斷變化，也會有新的應(yīng)用上線和下線。在日常運維中，可以進行應(yīng)用策略和基于流量生成的應(yīng)用分組互訪關(guān)系進行對比，識別新發(fā)現(xiàn)應(yīng)用、已下線應(yīng)用、變更應(yīng)用。關(guān)鍵技術(shù)方案CIS 作為安全分析器，通過采集的流量和主機信息還原出應(yīng)用分組和互訪關(guān)系，SecoManager 根據(jù)應(yīng)用分組和互訪關(guān)系進行策略智能調(diào)優(yōu)。總體實現(xiàn)流程：SecoManager 創(chuàng)建調(diào)優(yōu)任務(wù)，分發(fā)到 CIS 進行應(yīng)用分組和互訪關(guān)系學習。CIS 采集流量和主機信息，基于學習算法生成應(yīng)用分組和互訪關(guān)系。SecoManager 收到應(yīng)用分組與互訪關(guān)系，與已部署策略/對象生成的互訪關(guān)系進行對比。若存在策略，但是無互訪關(guān)系，則認為該策略為冗余。

55、若存在互訪關(guān)系，但是是傳統(tǒng)的 IP 策略，可以將傳統(tǒng)的 IP 策略轉(zhuǎn)換為基于應(yīng)用的策略，即生成應(yīng)用白名單。應(yīng)用策略仿真概述仿真主要用于在策略做了大量變更或者某一個關(guān)鍵時期如重大節(jié)日保障，用戶想了解這些策略在部署到設(shè)備上之前的影響性做一個評估。如果仿真結(jié)果符合預(yù)期，用戶可以通過該結(jié)果決策策略可以進行部署。如果仿真結(jié)果不符合預(yù)期，那么用戶可以將策略進行一定的修改之后，再次執(zhí)行結(jié)果來查看是否符合預(yù)期。關(guān)鍵技術(shù)方案CIS 作為安全分析器，通過采集的流量和主機信息還原出應(yīng)用分組和互訪關(guān)系，SecoManager 根據(jù)應(yīng)用分組和互訪關(guān)系進行應(yīng)用策略仿真?？傮w實現(xiàn)流程：SecoManager 創(chuàng)建仿真任務(wù)，

56、分發(fā)到 CIS 進行應(yīng)用分組和互訪關(guān)系學習。CIS 采集流量和主機信息，基于學習算法生成應(yīng)用分組和互訪關(guān)系。SecoManager 收到應(yīng)用分組與互訪關(guān)系，與待部署策略/對象進行全量匹配。如果是匹配動作為正常，則認為應(yīng)用互訪關(guān)系沒有變化。如果是匹配動作為異常，則認為該應(yīng)用互訪關(guān)系被阻斷，需要客戶確認是否符合預(yù)期。基于用戶的訪問合規(guī)調(diào)優(yōu)概述該方案主要是為了滿足企業(yè)用戶管理員對企業(yè)用戶的訪問權(quán)限進行管理而設(shè)計的。管理員在用戶管理系統(tǒng)（本方案特指 AD 域服務(wù)器）上根據(jù)用戶的權(quán)限加入對應(yīng)的安全組中；通過基于安全組的安全策略配置進行業(yè)務(wù)訪問權(quán)限分配；并且根據(jù)對業(yè)務(wù)的實際訪問情況調(diào)整企業(yè)用戶權(quán)限，進而使

57、資源權(quán)限管理達到最佳配置。關(guān)鍵技術(shù)方案該方案主要由防火墻、elog、SecoManager、AD 域服務(wù)器組成。SecoManager 對管理員提供安全組中不活躍的用戶列表，為優(yōu)化企業(yè)用戶權(quán)限提供依據(jù)；防火墻主要通過基于安全組的策略配置，對企業(yè)用戶進行訪問權(quán)限分類并且上送策略命中日志（含策略名、用戶名）給 eLog；eLog 主要提供日志報表和威脅展現(xiàn)，在本方案中主要是統(tǒng)計分析防火墻的策略命中日志，提供安全策略對應(yīng)的用戶的命中信息列表。總體實現(xiàn)流程：SecoManager 和防火墻通過 LDAP 協(xié)議接口從 AD 域服務(wù)器獲取用戶和安全組信息；SecoManager 通過NetConf 協(xié)議接

58、口同步防火墻的配置（包括基于用戶/安全組的策略）；防火墻通過 Syslog/Dataflow 協(xié)議接口把包含策略名、用戶名的策略命中日志上送eLog；SecoManager 通過RESTful 接口從eLog 獲取命中的安全策略和用戶的關(guān)系信息；SecoManager 根據(jù) eLog 的查詢結(jié)果生成安全組中不活躍用戶列表供管理員查詢。安全業(yè)務(wù)統(tǒng)一管理大企業(yè)客戶網(wǎng)絡(luò)中部署大量防火墻設(shè)備（例如某集團僅華北區(qū)就部署幾百臺防火墻），目前對于這些防火墻的運維管理，主要有以下痛點：防火墻的管理手段分散，無有效集中管理工具；管理員重復(fù)需要充分了解防火墻與網(wǎng)絡(luò)拓撲的關(guān)系，需要管理大量維護 IP 地址， 對管理員要求高；管理員無法統(tǒng)一查看安全策略情況，存在策略配置錯誤、策略冗余情況。針對上述痛點和問題，提出了安全業(yè)務(wù)集中管理方案（如下圖所示），通過 SecoManager，可以自動發(fā)現(xiàn)設(shè)備，進行配置一致性檢查，配置差異結(jié)果可視，安全策略自動實施和部署。關(guān)鍵組件說明：SecoManager 配置界面，面向用戶提供安全策略配置 portal