《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 24-安全感知平臺(tái)功能說明-處置中心；25-安全感知平臺(tái)功能說明-分析中心

安全感知平臺(tái)功能說明-處置中心了解處置中心對(duì)風(fēng)險(xiǎn)主機(jī)及事件的分析教學(xué)目標(biāo)處置中心目錄處置中心安全感知平臺(tái)最關(guān)鍵的模塊，用于查看當(dāng)前網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)主機(jī)（服務(wù)器、PC終端）以及網(wǎng)絡(luò)中存在的安全事件。安全感知平臺(tái)無處置功能，只能分析出當(dāng)前的網(wǎng)絡(luò)中存在的問題，需要人工或使用殺軟等工具對(duì)該模塊中的待處置主機(jī)進(jìn)行處置操作，完成安全問題閉環(huán)。處置中心處置中心將全網(wǎng)安全問題，通過風(fēng)險(xiǎn)主機(jī)（服務(wù)器、終端）視角、安全域視角、安全事件視角進(jìn)行整理。當(dāng)管理員習(xí)慣查看哪些主機(jī)存在安全問題時(shí)，可以通過風(fēng)險(xiǎn)業(yè)務(wù)視角或風(fēng)險(xiǎn)終端視角進(jìn)行查看。當(dāng)管理員想知道哪個(gè)區(qū)域安全較薄弱時(shí)，可以通過風(fēng)險(xiǎn)安全域視角進(jìn)行確認(rèn)。當(dāng)公司出現(xiàn)了某項(xiàng)安全事件時(shí)，如勒索病毒，可以通過安全事件視角進(jìn)行查找所有中勒索病毒的主機(jī)。處置中心風(fēng)險(xiǎn)業(yè)務(wù)，主要查看待處置服務(wù)器處置中心風(fēng)險(xiǎn)終端，主要查看待處置終端處置中心查看安全問題較多的區(qū)域處置中心主要查看待處置的事件處置中心風(fēng)險(xiǎn)業(yè)務(wù)視角舉例（一）

如：查看的安全事件。查看服務(wù)器的風(fēng)險(xiǎn)等級(jí)，5及以上的安全事件建議進(jìn)行處置，5以下的安全事件建議繼續(xù)觀察。標(biāo)簽為主機(jī)存在的安全事件。查看詳細(xì)的安全事件時(shí)，點(diǎn)擊服務(wù)器IP地址進(jìn)行查看。點(diǎn)擊安全事件，可以查到到更詳細(xì)的事件舉證說明。并可看到處置建議?！鶎?duì)于其它的安全事件，建議可以查看幫助文檔中的安全知識(shí)庫處置中心處置中心處置中心以風(fēng)險(xiǎn)業(yè)務(wù)視角舉例（二）

如：查看的安全事件。查看服務(wù)器的風(fēng)險(xiǎn)等級(jí)，5及以上的安全事件建議進(jìn)行處置，5以下的安全事件建議繼續(xù)觀察。標(biāo)簽為主機(jī)存在的安全事件。查看詳細(xì)的安全事件時(shí)，點(diǎn)擊服務(wù)器IP地址進(jìn)行查看。點(diǎn)擊安全事件，可以查到到更詳細(xì)的事件舉證說明。并可看到處置建議。對(duì)于其它的安全事件，建議可以查看幫助文檔中的安全知識(shí)庫處置中心處置中心處置中心數(shù)據(jù)的分析和監(jiān)控基于NTA技術(shù)、利用人工智能分析（南北向與東西向）流量和載荷文件，從而識(shí)別異常協(xié)議、異常流量、主機(jī)異常行為；匹配機(jī)制問題：

傳統(tǒng)安全設(shè)備的判斷機(jī)制是特征匹配，需要通過異常檢測的方式才有可能識(shí)別出可疑攻擊行為，0day、特種木馬、隱蔽通道傳輸?shù)任粗?；監(jiān)控網(wǎng)絡(luò)流量、資產(chǎn)、設(shè)備，建模學(xué)習(xí)日常網(wǎng)絡(luò)行為，這樣對(duì)異常的連接、數(shù)據(jù)交互、用戶變更等可以實(shí)現(xiàn)安全可視和追蹤。處置中心特權(quán)賬號(hào)冒用異常行為檢測越權(quán)非法操作違規(guī)訪問行為內(nèi)部數(shù)據(jù)泄露繞過行為檢測風(fēng)險(xiǎn)訪問行為隱蔽通道檢測高級(jí)威脅檢測新型Webshell未知惡意文件DGA域名檢測惡意流量行為可疑郵件行為時(shí)間序列分析二類分類多類分類聚類離群點(diǎn)檢測DNSflow引擎HTTP

flow引擎SMTP

flow引擎POP3flow引擎IMAPflow引擎文件鑒定引擎ADflow引擎SMBflow引擎機(jī)器學(xué)習(xí)分析引擎場景建模算法集合專家規(guī)則異常行為分析建模流量行為用戶行為操作行為長周期分析大數(shù)據(jù)分析原始數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)文件Poayload終端行為數(shù)據(jù)數(shù)據(jù)的分析和監(jiān)控處置中心過去：傳統(tǒng)的檢測手段現(xiàn)在：更智能的檢測手段基礎(chǔ)：以特征檢測為主，收集信息不全面手段：流量識(shí)別、威脅及漏洞檢測技術(shù)基礎(chǔ)：以全流量檢測為主，收集信息更全面手段：大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí)、UEBAAI已深入應(yīng)用于：Dns引擎、Http引擎、Netflow引擎、SAVE文件檢測引擎檢測手段處置中心檢測手段----DGA檢測處置中心aaaaaaaaaaaaaaaaaaaaaaaaaaaaakna.co.ukaaaaaaaaaaaaaaaaaaaaaaaaaaaaap0y.co.ukAaaaaaaaaaaaaaaaaaaaaaaaaaaaahzu.co.ukXX海油和XX建設(shè)股份通過深信服本地安全大腦判定為APT組織“OceanLotu海蓮花”

檢測手段----APT檢測處置中心檢測手段----數(shù)據(jù)泄漏檢測處置中心深信服人工智能檢測引擎SAVESANGFOR

AI-based

Vanguard

Engine引擎創(chuàng)新人工智能技術(shù)，準(zhǔn)確檢測未知病毒不再依賴傳統(tǒng)方法的字節(jié)級(jí)特征，使用AI技術(shù)提取穩(wěn)定可靠的高層次特征!榮獲“2018年度賽可達(dá)產(chǎn)品獎(jiǎng)”獲得了Google認(rèn)可，加入全球情報(bào)聯(lián)盟VirusTotal，列為第三方引擎。精準(zhǔn)處置中心場景比較基于特征庫技術(shù)的傳統(tǒng)引擎基于人工智能的SAVE引擎殺毒能力準(zhǔn)確查殺已知，應(yīng)對(duì)變種永遠(yuǎn)處于追趕狀態(tài)具有泛化能力，能夠查殺病毒變種離線場景不能在線更新病毒庫，能力退化快，只能手動(dòng)更新殺毒能力強(qiáng)，能力退化慢，短期不更新也能應(yīng)對(duì)大部分，不依賴于云端能力帶寬成本需要頻繁更新特征庫，當(dāng)節(jié)點(diǎn)數(shù)多，對(duì)于企業(yè)網(wǎng)絡(luò)帶寬是一個(gè)壓力模型更新周期慢，每次更新量小，節(jié)約帶寬成本，不會(huì)產(chǎn)生更新帶來的網(wǎng)絡(luò)風(fēng)暴內(nèi)存占用特征庫匹配需要載入內(nèi)存，一般需要占用200~300M內(nèi)存占用小，一般AI模型占用在100M以內(nèi)（SAVE引擎平均占用內(nèi)存70M）精準(zhǔn)傳統(tǒng)引擎與人工智能引擎的比較處置中心平臺(tái)將事件定義為已失陷、高危、中危、低危、信息，定級(jí)說明如下：處置中心SIP對(duì)事件通過“失陷確定性”、“威脅等級(jí)”兩個(gè)維度進(jìn)行定級(jí)。失陷確定性：是對(duì)主機(jī)風(fēng)險(xiǎn)評(píng)級(jí)的主要指標(biāo)。威脅等級(jí)：是主機(jī)對(duì)內(nèi)網(wǎng)或外網(wǎng)造成威脅的評(píng)級(jí)指標(biāo)。處置中心失陷確定性：優(yōu)先查看報(bào)的已失陷與高危等級(jí)事件，這些事件準(zhǔn)確性較高，容易查出問題。對(duì)于中危和低危事件，需要進(jìn)一步的分析排查，去確認(rèn)事件，需要一定的安全分析能力。威脅等級(jí)：威脅等級(jí)是風(fēng)險(xiǎn)主機(jī)對(duì)內(nèi)網(wǎng)或外網(wǎng)主機(jī)發(fā)起的攻擊行為，如病毒的擴(kuò)散事件，是對(duì)內(nèi)網(wǎng)有威脅的，肉雞對(duì)互聯(lián)網(wǎng)發(fā)起攻擊將會(huì)被監(jiān)管單位進(jìn)行通報(bào)。如下圖，是主機(jī)對(duì)內(nèi)網(wǎng)發(fā)起永恒之藍(lán)漏洞利用攻擊，以及對(duì)互聯(lián)網(wǎng)發(fā)起數(shù)據(jù)庫掃描攻擊，描述了方向。處置中心處置中心的數(shù)據(jù)分析和監(jiān)控是通過什么技術(shù)實(shí)現(xiàn)的？總結(jié)安全感知平臺(tái)功能說明-分析中心熟悉分析中心的分析功能教學(xué)目標(biāo)分析中心目錄分析中心分析中心的作用說明：1、分析中心結(jié)合了深信服安全感知平臺(tái)的可視化威脅追捕、溯源分析、情報(bào)關(guān)聯(lián)、行為分析等技術(shù)提供的可視化數(shù)據(jù)呈現(xiàn)，展現(xiàn)那些暫未形成安全事件，但存在可疑，或結(jié)合業(yè)務(wù)現(xiàn)狀可分析發(fā)現(xiàn)存在異常的數(shù)據(jù)，提供給駐點(diǎn)安全專家，或有一定安全分析能力的運(yùn)維人員進(jìn)行分析，從正?，F(xiàn)象中挖掘異常。查看主機(jī)存在的外部、橫向、外連，三個(gè)方向的威脅以及訪問情況進(jìn)行分析。對(duì)惡意文件以及郵件威脅可以直接查看到。2、對(duì)2U的SIP平臺(tái)還可以使用SIEM與EBA發(fā)現(xiàn)更多的主機(jī)風(fēng)險(xiǎn)，可以全方位的對(duì)安全事件進(jìn)行識(shí)別。分析中心通報(bào)說明：1、分析中心包括了外部、橫向、外連三個(gè)方向的安全與訪問關(guān)系，并對(duì)數(shù)據(jù)傳輸中的文件威脅和郵件威脅做出了單向的檢測展示。2、對(duì)訪問情況，平臺(tái)還將識(shí)別其訪問次數(shù)以及訪問流量，并通過機(jī)器學(xué)習(xí)出基線，識(shí)別出異常，通過EBA（行為畫像）展示。3、若在有第三方操作系統(tǒng)以及第三方設(shè)備可以接入到SIP時(shí)，會(huì)通過SIEM進(jìn)行關(guān)聯(lián)分析。分析中心分析中心功能介紹威脅分析來自互聯(lián)網(wǎng)，內(nèi)網(wǎng)的攻擊，包括外部威脅、橫向威脅，外連威脅和文件威脅、郵件威脅檢測。分析中心分析中心功能介紹訪問分析檢測互聯(lián)網(wǎng)，內(nèi)網(wǎng)主機(jī)的訪問關(guān)系，審計(jì)訪問行為。日志檢索平臺(tái)審計(jì)的安全日志，審計(jì)日志以及第三方日志等。情報(bào)分析查看當(dāng)前平臺(tái)的威脅情報(bào)總量，檢測到內(nèi)網(wǎng)存在威脅情報(bào)的情況，并可自定義威脅情報(bào)以及將誤報(bào)的情報(bào)加入白名單。SIEM分析系統(tǒng)通過接入第三方設(shè)備/操作系統(tǒng)日志進(jìn)行異常行為分析。行為分析（EBA）通報(bào)機(jī)器學(xué)習(xí)，建立服務(wù)器訪問基線，為后續(xù)識(shí)別出服務(wù)器的異常流量以及異常訪問等。分析中心威脅分析----外部威脅分析來自互聯(lián)網(wǎng)的攻擊，包括總覽、高危攻擊、殘余攻擊、外部風(fēng)險(xiǎn)訪問等。快速識(shí)別到互聯(lián)網(wǎng)的攻擊，可用于分析入口點(diǎn)。分析中心威脅分析----橫向威脅分析來自內(nèi)網(wǎng)主機(jī)的攻擊行為，包括橫向攻擊、違規(guī)訪問、可疑行為等。分析中心威脅分析----外連威脅分析內(nèi)網(wǎng)主機(jī)主動(dòng)向互聯(lián)網(wǎng)發(fā)起的攻擊行為或異常連接，包括對(duì)外攻擊，C&C通信，隱蔽通信等。分析中心威脅分析----文件威脅分析STA審計(jì)到的文件，上傳到SIP通過分析引擎進(jìn)行識(shí)別是否為惡意文件。分析中心威脅分析----郵件威脅分析包括釣魚郵件、垃圾郵件以及病毒郵件的檢測分析。分析中心威脅分析----分析中心是用于更高級(jí)的安全事件分析工具，較處置中心，需要更強(qiáng)的安全分析能力。如當(dāng)在處置中心中發(fā)現(xiàn)一臺(tái)主機(jī)的威脅等級(jí)為中危、低危時(shí)，可以通過分析中心對(duì)該主機(jī)進(jìn)行外部、橫向、外連等維度的威脅分析。如發(fā)現(xiàn)00這臺(tái)服務(wù)器存在一些異常行為但是處置中心為低危，如下圖：分析中心低危事件為被互聯(lián)網(wǎng)遠(yuǎn)程風(fēng)險(xiǎn)訪問，這時(shí)還可以通過分析中心進(jìn)行查找是否存在其它的行為我們?cè)跈M向可疑行為上發(fā)現(xiàn)了該服務(wù)器還存在掃描行為，通過人工的方式進(jìn)一步分析威脅分析分析中心分析中心----訪問分析頁面圖示：分析中心訪問分析功能概述橫向訪問分析通過探針審計(jì)橫向訪問流量分析出服務(wù)器流量排行以及內(nèi)網(wǎng)最活躍的源主機(jī)。外連分析識(shí)別內(nèi)網(wǎng)主機(jī)訪問互聯(lián)網(wǎng)的情況，分析服務(wù)器和終端，是否訪問到?jīng)]有業(yè)務(wù)的地域行為。外對(duì)內(nèi)業(yè)務(wù)流量分析審計(jì)互聯(lián)網(wǎng)對(duì)DMZ區(qū)業(yè)務(wù)的訪問情況，識(shí)別出是否有異常的大流量訪問或大量的訪問次數(shù)?？梢蒁NS分析探針審計(jì)到內(nèi)網(wǎng)主機(jī)訪問了一些異常的DNS訪問請(qǐng)求。訪問控制核查配置好需要核查的關(guān)系，通過探針進(jìn)行審計(jì)，是否存在該訪問關(guān)系。分析中心訪問分析----訪問關(guān)系用于分析主機(jī)發(fā)起的橫向或外連的行為，較之前介紹的“正常橫向訪問監(jiān)控”、“正常外連監(jiān)控”更詳細(xì)。橫向連接內(nèi)網(wǎng)橫向訪問可以查看被訪問服務(wù)器的流量情況以及最活躍的源主機(jī)情況。分析中心訪問分析----對(duì)外連接內(nèi)網(wǎng)主動(dòng)向互聯(lián)網(wǎng)發(fā)起連接，并區(qū)分出服務(wù)器與終端。分析中心訪問分析----外對(duì)內(nèi)業(yè)務(wù)流量分析該頁面可視對(duì)外網(wǎng)開放的業(yè)務(wù)流量情況，如可視哪些業(yè)務(wù)訪客最多，流量最大，來自于哪些地區(qū)的訪客。分析中心訪問分析----可疑DNS分析訪問一些高風(fēng)險(xiǎn)注冊(cè)地（小國家的地址，如蒙塞拉特島、薩摩亞等可以自定義）政府單位會(huì)關(guān)注。分析中心訪問分析----訪問控制核查該頁面通過觀察指定的IP（組）之間是否有訪問，來核查訪問控制策略是否生效。分析中心日志檢索是最原始的數(shù)據(jù)源，其中有安全日志也有審計(jì)日志，上述的分析中心模塊是已經(jīng)將日志檢索中的日志進(jìn)行聚合的結(jié)果，只在需要分析單條日志時(shí)才使用日志檢索。日志類型選擇用于篩選安全日志，審計(jì)日志以及第三方接入設(shè)備/操作系統(tǒng)日志，進(jìn)行分類查詢。搜索框可以自定義輸入查詢的字段，搜索技巧可以查看幫助文檔。日志方向在分析日志時(shí)，可能有時(shí)需要只篩選某個(gè)方向上的日志，可以使用此功能。重點(diǎn)/可選字段在檢索到的日志時(shí)，有一些字段默認(rèn)未展示，可以手動(dòng)添加重點(diǎn)或可選字段。解碼小助手在檢索到日志后發(fā)現(xiàn)日志是url，base64等常見編碼時(shí)，可以使用解碼小助手解碼查看分析。分析中心用于解碼URL、base64等方式編碼的內(nèi)容。選擇需要檢索的日志類型。通過字段檢索需要的日志。日志數(shù)量統(tǒng)計(jì)與趨勢情況。檢索時(shí)間范圍。日志檢索分析中心情報(bào)分析威脅情報(bào)總覽威脅情報(bào)包括域名/url/ip/md5信息，總覽展示當(dāng)前網(wǎng)絡(luò)中存在的匹配到威脅情報(bào)的總體情況。分析中心情報(bào)分析自定義威脅情報(bào)可以自定義發(fā)現(xiàn)的威脅情報(bào)，并定義級(jí)別出現(xiàn)，當(dāng)內(nèi)網(wǎng)中出現(xiàn)時(shí)，將會(huì)檢測出安全事件。分析中心情報(bào)分析----威脅情報(bào)白名單當(dāng)前存在誤報(bào)的域名/url/ip/md5，可以使用白名單功能，增加白名單項(xiàng)。分析中心SIEM分析系統(tǒng)通過接入第三方安全設(shè)備（如防火墻、IPS、IDS、WAF、終端安全等）、網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）、操作系統(tǒng)（如windows、linux各系列）、中間件（web中間件如apache等，數(shù)據(jù)庫中間件如Mysql、Sqlserver等中間件）等日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，結(jié)合AI機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)安全威脅和安全風(fēng)險(xiǎn)，結(jié)合可視化呈現(xiàn)，構(gòu)造多源化監(jiān)視和分析的安全系統(tǒng)，目的旨在幫助用戶通過多源數(shù)據(jù)分析檢測威脅和溯源（2U設(shè)備支持關(guān)聯(lián)分析）。分析中心SIEM分析系統(tǒng)第三方接入說明文件，從深信服社區(qū)進(jìn)行下載。/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=60194分析中心SIEM分析系統(tǒng)分析中心SIEM分析系統(tǒng)分析中心SIEM分析系統(tǒng)分析中心行為分