HiSec安全解决方案技术白皮书

1、HiSec 安全解决方案技术白皮书目录 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 风险分析1 HYPERLINK l _bookmark2 解决思路2 HYPERLINK l _bookmark3 方案价值2 HYPERLINK l _bookmark4 方案概述3 HYPERLINK l _bookmark5 方案架构3 HYPERLINK l _bookmark6 方案介绍5 HYPERLINK l _bookmark7 三层联动闭环方案5 HYPERLINK l _bookmark8 方案概述5 HYPERLINK l _bo

2、okmark9 数据采集6 HYPERLINK l _bookmark10 威胁检测7 HYPERLINK l _bookmark11 WEB 异常检测原理8 HYPERLINK l _bookmark12 邮件异常检测原理9 HYPERLINK l _bookmark13 C&C 异常检测9 HYPERLINK l _bookmark14 隐蔽通道异常检测原理9 HYPERLINK l _bookmark15 流量基线异常检测原理9 HYPERLINK l _bookmark16 恶意文件检测原理10 HYPERLINK l _bookmark17 关联分析原理10 HYPERLINK l

3、_bookmark18 威胁判定原理10 HYPERLINK l _bookmark19 云端威胁情报10 HYPERLINK l _bookmark20 联动闭环11 HYPERLINK l _bookmark21 基于 IP 阻断11 HYPERLINK l _bookmark22 本地信誉联动12 HYPERLINK l _bookmark23 终端联动响应13 HYPERLINK l _bookmark24 方案概述13 HYPERLINK l _bookmark25 关键技术方案14 HYPERLINK l _bookmark26 调查取证14 HYPERLINK l _bookma

4、rk27 确认终端感染范围15 HYPERLINK l _bookmark28 终端联动处置16 HYPERLINK l _bookmark29 ECA 检测方案16 HYPERLINK l _bookmark30 方案概述16 HYPERLINK l _bookmark31 ECA 原理17 HYPERLINK l _bookmark32 TLS 协商过程18 HYPERLINK l _bookmark33 网络行为特征分析19 HYPERLINK l _bookmark34 TLS 流特征19 HYPERLINK l _bookmark35 上下文流量信息关联22 HYPERLINK l

5、_bookmark36 ECA 检测分类模型22 HYPERLINK l _bookmark37 网络诱捕方案23 HYPERLINK l _bookmark38 方案概述23 HYPERLINK l _bookmark39 诱捕原理25 HYPERLINK l _bookmark40 关键过程25 HYPERLINK l _bookmark41 网络混淆技术25 HYPERLINK l _bookmark42 仿真交互技术25 HYPERLINK l _bookmark43 安全智能运维26 HYPERLINK l _bookmark44 应用策略调优26 HYPERLINK l _book

6、mark45 概述26 HYPERLINK l _bookmark46 关键技术方案26 HYPERLINK l _bookmark47 应用策略仿真27 HYPERLINK l _bookmark48 概述27 HYPERLINK l _bookmark49 关键技术方案27 HYPERLINK l _bookmark50 基于用户的访问合规调优28 HYPERLINK l _bookmark51 概述28 HYPERLINK l _bookmark52 关键技术方案28 HYPERLINK l _bookmark53 安全业务统一管理29 HYPERLINK l _bookmark54 设

7、备管理29 HYPERLINK l _bookmark55 对象管理30 HYPERLINK l _bookmark56 策略管理30 HYPERLINK l _bookmark57 典型应用场景/典型组网31 HYPERLINK l _bookmark58 三层联动闭环典型场景31 HYPERLINK l _bookmark59 结合 ECA 和网络诱捕的典型场景32 HYPERLINK l _bookmark60 终端联动响应典型场景33 1方案背景 HYPERLINK l _bookmark1 风险分析 HYPERLINK l _bookmark2 解决思路 HYPERLINK l _b

8、ookmark3 方案价值风险分析全球网络威胁形势不断变化，新型攻击复杂且隐蔽，攻击频率和严重程度不断增长， 网络技术与应用的发展无疑又加重了安全管理的负担，安全管理人员面临着巨大的挑战。网络与应用的快速发展，增加了安全管理的复杂度。企业使用私有云、公有云混合部署，安全策略需要跨越多个环境，并保持一致。不断增长的用户与设备，复杂的应用访问关系，使得安全策略纷繁复杂，管理耗时，且容易出错。恶意攻击者可利用的途径正在扩大，任何进入与离开网络的流量都不再可信。企业员工可能在任何时间、从任何地点、使用任意移动设备接入网络。要保证所有连接到企业网络的终端都是安全的，几乎是不可能完成的任务。与此同时，云服

9、务的广泛应用，也给攻击者提供了新的渗透渠道。新型攻击复杂且隐蔽，传统基于签名的防护技术已经落伍。恶意软件变种多、更新速度快，传统防御手段被动响应，疲于应付。各个安全设备各自为战，导致检测及响应周期长。发现攻击只是一个开始，只有快速有效地识别和处理威胁，才能最大限度降低安全风险和损失。为了应对当今广泛的网络威胁环境，保护业务安全，用户需要一个全面的安全解决方案。不仅能充分利用威胁情报阻断已知威胁，还要持续分析业务流量，提供全面的可视化能力，快速缓解和闭环威胁。在运维管理方面，需要一个统一的策略管理平台， 不仅为复杂环境提供一致的安全策略，还能根据业务需要实现策略自动化生成与调 整，保证合规性与业

10、务敏捷。解决思路华为HiSec 解决方案，在软件定义安全领域引入智能理念，为数字化企业构建全新的智能防护体系。 方案中引入安全控制器 SecoManager，可协同软硬件的安全组件实现统一安全业务编排与管理，保证全网策略一致性。 解决方案利用网络设备/安全设备作为检测和执行点。通过全网监控，对网络行为数据进行深度钻取。然后，利用深度神 经网络算法和机器学习技术，实现基于AI 的威胁自学习检测，及时发现潜在威胁。采用软件定义技术，调度全网设备协同处置，共同抵御虚拟环境中的威胁，防止横向扩 散，加速威胁检测与策略下发，帮助客户在数字化转型的道路上防患于未然。方案价值华为HiSec 安全解决方案主要

11、从安全能力和安全运维两个角度出发，将大数据分析能力融入到安全解决方案中，打通各组件的管理接口，在实现统一安全视角的同时，简化安全运维，带来如下价值：感知全网安全态势图形化界面帮助客户直观理解全网安全态势，并可以根据区域、关键资产去查看对应的风险，并给出处理建议。运维人员可以快速找到自己负责的区域和资产， 并根据安全状态和处理建议对这些设备进行系统升级、补丁安装等安全加固工 作。快速发现高级威胁基于对网络流量、威胁日志、恶意加密流量的采集，通过大数据分析检测技术， 帮助客户实时快速发现网络中的安全威胁事件、高级威胁，对于可疑扫描和访 问，通过网络诱捕技术深度验证，将被动防御变为主动防御。秒级安全

12、联动响应通过和安全控制器、安全设备的快速联动，实现安全事件秒级响应，大大提高安全响应速度和效率。并可以进行手动或自动的安全策略联动，对安全威胁进行处置，降低其对网络和业务的影响。安全策略智能运维基于动态应用访问关系的智能策略运维，提供应用互访关系展示，已上线策略动态调优，新上线策略仿真验证功能，为管理员应对海量安全策略提供了强有力的支撑。安全业务统一管理统一管理防火墙安全策略，解决防火墙的管理手段分散、无有效集中管理工具的痛点，支持策略变更统计、配置一致性统计、部署状态统计等，提高安全管理员的运维效率。 2方案概述 HYPERLINK l _bookmark5 2.1方案架构2.1 方案架构华

13、为HiSec 安全解决方案采用分析器、控制器、执行器三层架构模型，安全分析器：CIS（CyberSecurity Intelligent System）网络安全智能系统：作为方案的“安全大脑”，是安全架构的最顶层，CIS 全面采集全网流量元数据、网络安全设备的日志信息，持续监控网络活动，运用大数据分析和机器学习技术，检测、分析并发现高级威胁。通过安全控制器 SecoManager，联动安全设备实现安全威胁的快速闭环。FireHunter 沙箱：分析防火墙和流探针还原后的可疑文件，并将分析结果上报至 CIS， FireHunter 在传统安全检测技术基础上，引入多引擎虚拟检测技术，分析和收集软件

14、的静态及动态行为，凭借独有的行为模式库技术，精准识别网络中传输的恶意文件。安全控制器SecoManager 安全控制器，作为方案的“中枢神经”, 该组件定位于网络安全策略管 理、业务编排。接收 CIS 下发的处置任务，编排成为安全设备可执行的策略，实现自动威胁响应、安全策略仿真和策略调优，提高运维效率。安全执行器/采集器执行/采集器作为方案的“四肢”和“五官”，主要负责安全防御动作的执行和安全事件的采集上报。上报的数据包括 Syslog 日志、事件、Metadata、NetFlow、信誉等等，执行的动作包括告警、阻断、报表呈现、短信通知等等。执行/采集器主要为以防火墙为代表的专业安全设备。 3

15、方案介绍 HYPERLINK l _bookmark7 三层联动闭环方案 HYPERLINK l _bookmark23 终端联动响应 HYPERLINK l _bookmark29 ECA 检测方案 HYPERLINK l _bookmark37 网络诱捕方案 HYPERLINK l _bookmark43 安全智能运维 HYPERLINK l _bookmark53 安全业务统一管理三层联动闭环方案方案概述安全联动闭环方案中，CIS 通过大数据分析方法从海量文件，流量和日志中识别未知威胁，生成联动策略下发给安全控制器 SecoManager，从而联动NGFW 进行安全闭环处置；安全联动闭环

16、方案总体架构图如下：数据采集CIS 日志采集器负责日志采集，实现日志/事件的高性能采集和预处理；日志采集流程包括日志接收、日志分类、日志格式化和日志转发。Syslog 日志在上送大数据平台之前要进行归一化处理，将其转换为大数据平台能理解的统一格式。支持采集网络/安全设备上报的Netflow 数据支持采集第三方系统（ArcSight CEF 格式, IBM Qradar Json 格式）和安全设备的Syslog 日志；日志采集器到大数据平台实现 SSL 加密传输CIS 流探针或防火墙内置流探针负责原始流量采集，通过优化的DPI 技术高效提取原始流量的协议特性，实现高性能的流量数据采集和协议还原。

17、流探针支持报文捕获功能，生成的PCAP 文件保存在流探针的本地磁盘上，CIS 大数据安全平台通过 HTTPS 定时读取流探针上存储的PCAP 文件。流量采集主要功能包含：协议解析：支持 HTTP 协议解析、邮件协议解析、DNS 协议解析、HTTPS 协议解析文件还原：支持还原通过HTTP 协议上传/下载的文件还原；支持通过SMTP/POP3/IMAP4 协议发送的邮件的附件还原威胁检测威胁检测能力主要依靠CIS 的关联分析、大数据分析能力，其架构如下。服务功能流探针负责对网络中的原始流量进行数据协议特征提取，生成Netflow和 Metadata 数据，并将这些数据上送给大数据安全平台。采集器

18、负责安全设备、网络设备、主机和终端的日志和Netflow 数据采集，并对日志进行归一化处理后转发给大数据安全平台。大数据平台负责接收采集器上报的归一化日志和 Netflow 数据以及流探针上报的 Metadata 和Netflow 数据，并对上报数据预处理后进行分布式存储和索引，为可视化管理子系统提供可视化展示的数据支 撑，为威胁检测子系统提供历史与实时数据访问支撑。威胁检测服务负责根据预置的检测模型和自定义的检测规则对归一化日志、Netflow 和 Metadata 数据进行实时/离线分析，检测异常行为并对异常进行关联和评估，从而发现并判定高级威胁。可视化平台负责提供威胁可视化，智能检测和配

19、置管理等功能。WEB 异常检测原理WEB 异常检测主要用于检测通过 WEB 进行的渗透和异常通信，从历史数据中提取HTTP 流量元数据，通过分析HTTP 协议中的 URL、User-Agent、Refer 和上传/下载的文件 MD5 等信息，并结合沙箱文件检测结果，离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。邮件异常检测原理邮件异常检测主要从历史数据中提取邮件流量元数据，通过分析 SMTP/POP3/IMAP 协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件检测结果，离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正文 URL 异常

20、等。C&C 异常检测C&C 异常检测主要通过对协议流量（DNS/HTTP/3,4 层协议）的分析检测 C&C 通信异常。基于DNS 流量的 C&C 异常检测采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型，并在客户环境利用分类器模型识别访问 DGA 域名的异常通信，从而发现僵尸主机或者APT 攻击在命令控制阶段的异常行为。基于 3,4 层流量协议的C&C 异常检测根据 CC 通讯的信息流与正常通讯时的信息流区别，分析CC 木马程序与外部通讯的信息的特点，区分与正常信息流的差异，通过流量检测发现网络中所存在的 CC 通讯信息流。对于基于HTTP 流量的C&C 异常检测采用统计分析的方

21、法，记录内网主机访问同一个目的 IP+域名的所有流量中每一次连接的时间点，并根据时间点计算每一次连接的时间间隔，定时检查每一次的时间间隔是否有变化，从而发现内网主机周期外联的异常行 为。隐蔽通道异常检测原理隐蔽通道异常检测主要用于发现被入侵主机通过正常的协议和通道传输非授权数据的异常，检测方法包括Ping Tunnel、DNS Tunnel 和文件防躲避检测。Ping Tunnel 检测是通过对一个时间窗内同组源/目的 IP 之间的 ICMP 报文的载荷内容进行分析和比较，从而发现Ping Tunnel 异常通信。DNS Tunnel 检测通过对一个时间窗内同组源/目的 IP 之间的 DNS

22、报文的域名合法性检测和DNS 请求/应答频率分析通过机器学习建立合法的DNS 请求基线，频次和规律异常触发进一步检测，从而发现DNS Tunnel 异常通信。文件防躲避检测通过对流量元数据中的文件类型的分析和比较，从而发现文件类型与实际扩展名不一致的异常。流量基线异常检测原理流量基线异常检测主要解决网络内部的主机/区域之间（内外区域之间、内网区域与互联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间）的异常访问问题。流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。流量基线可以有两种来源：系统自学习和用户

23、自定义配置。流量基线自学习，就是系统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下浮动范围），自动生成流量基线。用户自定义流量基线：用户手工配置网络内部各主机、区域以及内外网之间的访问和流量规则。流量基线异常检测将自学习和用户自定义的流量基线加载到内存中，并对流量数据进行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。恶意文件检测原理FireHunter 文件检测经过信誉查询、第三方 AV 检测、静态检测引擎检测、机器学习引擎检测、CC 检测引擎检测、沙箱检测引擎检测，最终在威胁

24、分析引擎进行对各个检测结果进行关联、联合分析和威胁判定，最终给出威胁检测结果。其中，沙箱检测引擎，又包括了 web 启发式引擎、PDF 启发式引擎、PE 启发式引擎和虚拟执行环境引擎。FireHunter 可以针对主流的应用软件及文档实现检测、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK 文件、压缩文件等软件及文档。关联分析原理关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析采用了高性能的流计算引擎，直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规

25、则进行在线分析。系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。威胁判定原理威胁判定根据多个异常进行关联、评估和判定产生高级威胁，为威胁监控和攻击链路可视化提供数据。威胁判定按照攻击链的阶段标识/分类各种异常，并以异常发生的时间为准，通过主机 IP、文件 MD5 和 URL 建立异常的时序和关联关系，根据预定义的行为判定模式判定是否高级威胁，同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估，从而产生威胁事件。云端威胁情报华为资深安全专家和安全能力中心

26、通过对第三方安全情报的收集分析，利用大数据、机器学习技术，生成各类云端信誉库、特征库。通过云端安全智能中心为各类安全设备提供云端威胁情报的定期升级，包括URL 分类库，恶意 URL 库、热点域名列表、恶意文件信誉，IP 信誉，C&C 域名库等，实现最新安全威胁的快速同步，提高威胁防御能力。联动闭环基于 IP 阻断CIS 系统提供丰富的威胁检测模型，管理员可以结合现网威胁类型，针对各类威胁类型进行联动规则配置，规则配置生效后，一旦检测到的威胁事件命中联动规则后，CIS 按照联动规则中的阻断配置下发联动策略。整个交互流程如下：1、管理员配置交换机,将待检测的流量通过交换机端口镜像给 CIS 流探针

27、；2、流量镜像到CIS 流探针后，流探针进行报文解析，协议特性提取；3、当CIS 流探针配置了文件还原功能后，流探针会将流量中的文件还原出来，发送给沙箱 FireHunter 进行检测；4、当NGFW 和沙箱联动时，NGFW 会将流量中的文件还原出来，送给沙箱Firehunter检测；5、CIS 流探针将提取的流量元数据 Metadata 上报给CIS 大数据平台；同时防火墙安全日志如 IPS/AV 日志上报CIS 采集器；沙箱文件检测日志也上报 CIS 采集器；6、CIS 系统采集了网络中的流量信息，文件，安全日志信息后，根据威胁检测模型进行威胁检测；7、管理员根据当前网络中的威胁情况，在

28、CIS 界面上针对现网中的主要威胁类型进行联动规则配置，配置阻断类型，自动/手动触发方式，策略回收周期等；8、联动规则生效后，当CIS 检测的威胁事件匹配联动规则时，CIS 按照联动规则下发联动策略给 SecoManager；9、SecoManager 接收 CIS 的联动策略，根据五元组信息确定具体安全执行设备，下发阻断策略，防火墙按照策略执行阻断；10、CIS 查看联动策略的命中次数，通过调用 SecoManager 的北向接口进行命中次数的统计；11、SecoManager 调用防火墙的北向接口，查询每个阻断策略的命中统计，并返回给CIS；12、CIS 界面进行联动规则的命中统计呈现。常

29、见主要的威胁类型支持的联动方式：威胁类型联动方式阻断类型DGA 域名请求支持自动/手动基于 IP 阻断疑似挖矿行为支持自动/手动基于 IP 阻断访问可疑的 C&C 服务器支持手动基于 IP 阻断DNS 隧道病毒攻击支持手动基于 IP 阻断Web Shell 攻击支持手动基于 IP 阻断远程文件包含攻击支持手动基于 IP 阻断蠕虫攻击支持手动基于 IP 阻断扫描攻击支持手动基于 IP 阻断本地信誉联动通过本地信誉联动，可以将 FireHunter 分析出的风险目标（威胁文件、恶意URL）汇聚为内部情报资源，以本地信誉的形式共享给网络中的传统安全设备（例如 Firewall、IPS 设备），实现本

30、地威胁情报共享，提升全网的威胁检测及处理能力。本地信誉依托安全分析器CIS 生成信誉信息（文件信誉、URL 信誉），防火墙等安全设备定时从 CIS 更新信誉信息。整体方案分为数据收集、威胁信息上报、本地信誉更新及同步三个部分。镜像流量收集FireHunter 的镜像口与交换机或者其他网关的镜像口直连，由交换机或者其他网关设备将待检测的网络流量通过镜像口镜像给 FireHunter。FireHunter 接收镜像的网络流量，自行进行流量还原，对流量进行 CC 检测，同时提取流量中的文件进行检测，CC 检测结果以及文件检测结果都能够在 FireHunter 自身的WebUI 上进行展示。还原文件收

31、集防火墙或者 CIS 流探针可以从将网络流量中提取文件，然后发送给 FireHunter 进行检测。网络流量经过防火墙，防火墙从网络流量中提取文件，将待检测文件通过联动协议发送给 FireHunter。FireHunter 收到文件后进行检测，防火墙通过联动接口查找所提交文件的检测结果。CIS 的流探针接收网络镜像流量，对流量进行还原，提取网络中的文件，通过FireHunter 联动协议发送给 FireHunter，FireHunter 收到文件后进行文件检测，将检测日志发送给 CIS 的采集器进行处理。威胁日志上报FireHunter 作为文件检测服务器与 CIS 的采集器连接，将分析出的威

32、胁信息以Syslog 日志的形式发送给CIS 采集器。CIS 采集器作为日志服务器对 Syslog 日志进行采集和归一化处理，并将数据上送到CIS 大数据分析平台。本地信誉更新及同步CIS 根据 FireHunter 检测结果生成信誉保存到本地信誉库（文件信誉、URL），并提供本地信誉库下载接口。防火墙周期性（每隔 5 分钟）向 CIS 发送本地信誉更新请求，CIS 将最新本地信息推送给防火墙，防火墙将本地信誉信息升级到最新，全网联动及时阻断威胁。终端联动响应方案概述安全联动闭环方案中主要为网络层面的安全，对于终端安全场景缺少有效的终端检测和响应机制。终端联动响应EDR 方案（终端检测与响应，

33、Endpoint Detection and Response）为 CIS 检测威胁事件分析提供更多终端层面的信息。方案中 CIS 与第三方 EDR 联动，主要包含 3 方面的关键能力：调查取证、确认终端感染范围、终端联动处置。其中，调查取证能力辅助确认安全告警是否为误报事件，并将威胁事件溯源到终端的具体进程，在对安全事件进行确认后完成感染范围的确认及终端联动处置。关键技术方案调查取证流程介绍：CIS 根据指定条件（MD5、IP、Domain、URL 等）从 EDR 控制中心获取终端上相关进程信息在CIS 上展示，其中，进程信息包括：网络行为信息：进程的网络连接信息，包括源/目的 IP、源/目

34、的端口、协议、访问的 URL/域名、请求时间；系统行为信息：进程的注册表、文件访问行为，包括操作时间、文件路径、文件MD5、注册表的操作行为和文件的操作行为。2、第三方EDR 将可疑文件及依赖的库打包后提交给沙箱，沙箱对提交的文件进行恶意文件分析；3、CIS 从沙箱获取进程文件检测报告，在CIS 上展示。确认终端感染范围流程介绍：CIS 向 EDR 控制中心下发IOC（Indicator of Compromise，即威胁的域名、md5、IP 等特征）规则检测任务；EDR 控制中心将 IOC 规则检测任务下发到终端；3、终端根据 IOC 信息检查本地是否存在威胁，并经由EDR 控制中心通过Sy

35、slog 方式将检测结果送给 CIS 日志采集器，检测结果日志包括：检测时间，检测的终端 IP，匹配的 IOC 规则名称，匹配项的值（如文件 MD5，文件名称，注册表项或网络URL/域名）。终端联动处置流程介绍：安全运维人员针对确认是攻击的威胁事件触发终端联动处置策略，CIS 根据事件信息及联动处置方式下发联动响应规则给EDR 控制中心；EDR 控制中心将联动规则下发给对应的终端EDR 代理，终端EDR 代理根据联动响应规则对终端上的可疑文件/进程进行删除文件、隔离文件和 Kill 进程等操作；EDR 控制中心将联动执行结果发送给 CIS 日志采集器。ECA 检测方案方案概述华为CIS 通过对

36、加密流量的握手信息、数据包的时序关系、流的统计信息、加密流量的背景流量信息进行特征抽取，并基于关键特征采用机器学习的方式进行建模，然后就可以用模型对正常加密流量和恶意加密流量进行分类，能够有效的检测出恶意加密流量。整个ECA 检测方案分为 ECA 探针和ECA 分析系统。ECA 探针主要负责加密流量的特征提取，填充 Metadata 后送入ECA 检测分类模型进行判定。ECA 分析系统，结合自研的检测模型检测发现恶意加密流量。ECA 原理整个ECA 工作流程分为 3 大部分：1、首先安全研究人员通过获取的黑白样本集，结合查询情报，包括域名、IP、SSL 相关证书的情报信息，来对样本进行标记。通

37、过对黑白样本的客户端与服务器握手中的相关信息、TCP 流统计特征以及 DNS 等特征提取特征向量。通过对黑白样本的客户端签名和服务器证书的签名进行分析；基于上述分析取证的特征向量，采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型。这就形成CIS 最核心的 ECA 检测分类模型。2、通过前端 ECA 探针提取网络流量中加密流量的特征数据，包括 TLS 握手信息、TCP 统计信息、DNS/HTTP 相关信息，统一上报给CIS 系统。3、CIS 结合自身的大数据关联分析能力，对探针上送的各类特征数据进行处理，利用ECA 检测分类模型识别加密流量中的异常C&C 连接，从而发现僵尸主机或者A

38、PT 攻击在命令控制阶段的异常行为。支持 TLS 版本为 TLS1.0，TLS1.1，TLS1.2TLS 协商过程TLS 协商过程中的参数特征是TLS 加密流量的主要特征，在一个TLS 连接开始建立的过程中，多个数据报文都没有被加密，首先会进行加密方式的协商。从一个握手包开始，客户端（浏览器或恶意软件）会给对端通信的服务器发送ClientHello 消息。“Hello”消息包含一组参数，例如使用的密码套件、可接受的版本以及可选的扩展。服务器收到客户端请求后，向客户端发出回应，即SeverHello 消息，确认使用的加密通信协议版本、确认使用的加密方法和服务器证书。客户端收到服务器回应以后，首先

39、验证服务器证书。如果证书不是可信机构颁 布、或者证书中的域名与实际域名不一致、或者证书已经过期，就会向访问者显示一个警告，由其选择是否还要继续通信。如果证书没有问题，客户端就会从证书中取出服务器的公钥。然后，向服务器发送随机数、编码改变通知、客户端握手结束通知信息。服务器的最后回应编码改变通知和服务器握手结束通知。整个握手阶段全部结束。接下来，客户端与服务器进入加密通信。网络行为特征分析TLS 协议中，除了 TLS 的握手信息，其他信息都是加密的。所以我们只能从TLS 握手信息和其他上下文信息来提取特征。我们提取的特征分为两类，一类采集自TLS 流本身，包括TLS 协商过程中的参数特征以及 T

40、CP/IP 流数据包长度和时间相关统计特征， 另一类基于 TLS 上下文的DNS，HTTP 提取的特征。TLS 流特征TLS 握手阶段都是明文的，从这个过程中可以提取出证书信息和双方选择的加密方法。因此TLS 握手信息（ClientHello，ServerHello）流中未加密的元数据包含黑客无法隐藏的数据指纹，可用于进行检测算法训练。对于握手过程的信息，我们将其分为客户端指纹信息和服务器证书信息两部分。对于客户端指纹信息，以TLS 握手时客户端使用的加密套件信息为例来分析。从图中客户端使用的加密套件的分布情况可以看出，加密套件在黑、白样本中使用情况差异 较明显。正常情况下，每个客户端都会有几

41、个加密套件组合而成，OWASP 推荐使用ECDH/DH AES cipher suites，而使用基于 MD5 和RC4 的套件被认为是弱的、不安全的加密套件。而在黑样本中SSL 现有版本不推荐的套件占比较大。加密套件套件算法000aTLS_RSA_WITH_3DES_EDE_CBC_SHA0005TLS_RSA_WITH_RC4_128_SHA0004TLS_RSA_WITH_RC4_128_MD50013TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAC02bTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 （推荐）C02fTLS_ECDHE

42、_RSA_WITH_AES_128_GCM_SHA256 （推荐）对于交互的服务器证书，黑样本也有很多特殊的地方。如上图所示，左图为正常的证书，证书使用者是正规网站，证书信息填写详细明确； 右图为黑样本证书，证书为自签名证书，且证书多个字段为空。从上图可以看出，黑样本中多于 3 个空字段的比例更高，白样本中大多数都是少于 3个空字段。部分TLS 握手信息中提取的字段数据如下：序号特征名描述1CipherSuitesTLS 客户端支持加密套件列表2SelectedTLS 服务器端选择的加密套件3Cert_Duration服务器叶证书的有效期(单位天)4Self_Signed服务器叶证书是否为自签

43、名证书5Cert_Nums服务器证书链中的证书数量TCP 流相关的统计特征一条完整的 TCP 流，从建流到流结束，除了五元组（目的 IP 地址、源 IP 地址、目的端口号、源端口号、协议号）信息外，还可以提取整条流的持续时间，这条流的包间隔，包长度分布等。部分TCP 统计特征中提取的字段数据如下：序号特征名描述1DurationTCP 流的持续时间，时间单位毫秒2Bytes.srcTCP 连接过程中发送的总字节数3Num.srcTCP 连接过程中发送的总包数上下文流量信息关联恶意软件的网络行为中，除了HTTPS 的流量，还包含 DNS 查询的流量、HTTP 请求的流量等，关联相同源 IP 在加

44、密流量的上下文的流量，分析这些没有加密的流量，可以找到一些线索，辅助进行检测和取证。针对DNS，主要用途是获得 IP 地址，还有可能进行敏感数据外传。为了获取 IP 地 址，恶意软件可能使用 DGA 域名、动态域名、IP 直连的方式，在获取到 IP 地址之后存在后续的请求；敏感数据外传的场景下，有大量的 DNS 请求但后续没有操作。针对HTTP，可能下载一些恶意脚本、其他的恶意软件，与C&C 服务器通信获取控制命令、敏感数据外传等。例如下载恶意软件的 HTTP 流，响应字节数/请求字节数比较大；敏感数据外传响应字节数/请求字节数比较小；被感染主机发送的请求包，响应的数据包可能在头部信息多，响应

45、体的内容为空；存在可疑的User-Agent、可疑的页面跳转等。部分上下文流量信息中提取的字段数据如下：序号特征名描述1Suffix目的 IP 关联的域名后缀2TTL目的 IP 关联的域名的生存时间3domain_len目的 IP 关联的域名长度4User_Agent源 IP 关联的 HTTPRequest 消息中的User_Agent字段5Client_Content_Type源 IP 关联的 HTTPRequest 消息中的 content_type字段ECA 检测分类模型网络行为中提取的特征可以用来生成 ECA 检测分类模型。ECA 检测分类模型下发到CIS 分析器，交换机、网络探针提取

46、现网的流量特征发送给CIS 分析器，CIS 分析器检测 TLS 流是否是恶意的流量。机器学习算法的选择上，主要是从样本量需求，样本处理工作量，模型准确度要求， 模型训练周期，模型调优工作量，以及模型占用资源的可控程度几个维度来考虑，最终选择业界成熟的随机森林（RF）算法，利用样本数据进行训练，从而生成分类器模型。随机森林算法大大减少了普通决策树算法的 variance，并且可以直观的展现每个特征的重要程度，及判断过程。首先从训练样本集中使用Boostraping 方法随机抽取部分训练样本，进行 k 轮抽取。然后得到的 k 个样本集分别用来训练 k 个决策树模型，而在构造决策树时并不是对所有特征

47、找到能使得指标（如信息增益）最大，而是在特征中随机抽取的一部分特征中寻找分裂特征。最后由投票表决判定为恶意的样本的概率。网络诱捕方案方案概述攻击过程一般分为系统信息收集、脆弱性判定、针对性攻击三个阶段。传统意义上的网络防御是围绕攻击事件识别的防御，在针对性攻击阶段才进行防御，一方面，依赖攻击事件识别技术，复杂度高、防御周期长；另一方面，随着攻击影响范围的扩散， 防御成本不断提高。网络诱捕技术，是基于攻击意图的防御。华为网络诱捕系统，利用网络混淆技术、仿真交互技术，通过对网络探测活动的欺骗，展现虚假资源，发现攻击者；虚假资源与攻击活动交互，误导攻击过程，确认攻击意图，使得攻击者无法发现真实目标并

48、促使攻击者暴露；识别到攻击事件后，通过联动处置能力将攻击源快速隔离。网络诱捕过程为防御赢得宝贵时间，可在攻击造成破坏前阻断威胁，保护真实系统。华为网络诱捕方案关键组件为：诱捕探针、诱捕器。网络诱捕方案架构如图所示：诱捕探针感知针对未使用 IP、在用 IP 的未开放端口的扫描行为并代答，诱导攻击者攻击诱捕器。比如，诱捕探针发现攻击者有扫描行为，并且扫描未开放 IP，如攻击者发起对不存在 IP 的 ARP 请求，诱捕探针回应本设备MAC 给攻击者，让攻击者误以为 IP 存在，并引流后续流量到诱捕器进行应用层的欺骗。诱捕器模拟 HTTP，SMB，RDP，SSH，HTTPS，MYSQL，REDIS，F

49、TP，TELNET，ORACLE，MSSQL 服务与协议交互并产生告警、记录交互过程、捕获 payload（脚本、文件），并将日志告警、payload 等上报给 CIS，CIS 进行关联分析、威胁呈现。诱捕器支持HTTP，SMB，RDP，SSH，HTTPS，MYSQL，REDIS，FTP，TELNET，ORACLE，MSSQL 应用模拟，包括：认证、登录；SMB 协议下载，HTTP 协议上传下载；针对密码破解、文件上传、文件下载活动进行监控并发送可疑日志给CIS。诱捕探针支持对接默安蜜罐，即将默安蜜罐作为诱捕器实现网络诱捕方案。默安蜜罐支持模拟的应用协议：SSH，HTTP，SMB，FTP，RD

50、P，MYSQL，REDIS， MEMCACHE，SQLSERVER，MongoDB。CIS 根据诱捕器上报的日志，结合其他途径获取到的信息做关联分析，输出威胁事件，可自动下发处置决策给控制器处置闭环，自动阻断威胁，也可以由用户手工阻断。诱捕原理业务流程：攻击源发起 IP、端口扫描；诱捕探针识别扫描行为；诱捕探针将攻击源诱导到诱捕器(IP 扫描时：行为代答，端口扫描时：引流至诱捕器)；诱捕探针向诱捕器上报扫描事件；攻击源被诱导到诱捕器；诱捕器记录攻击行为，获取攻击 playload；诱捕器向CIS 上报日志、Dataflow 告警；CIS 关联分析，判定威胁状况；CIS 做威胁可视化呈现。关键过

51、程网络混淆技术网络混淆技术即通过向攻击者展现大量虚假资源，使攻击者无法获得真实资源和漏洞信息。此方案中，诱捕探针内置在交换机中，更靠近受保护网络，同时可在网络中广泛部署。相比部署传统蜜罐成本更低、密度更高、覆盖面更广、防御效果更佳。诱捕功能开启后，交换机上的诱捕探针在网络中展现大量虚假资源，对攻击者的网络扫描行为进行响应，向攻击者展现虚假拓扑，实现虚假网元与真实网元混合组网，有效迟滞扫描器、蠕虫等自动攻击程序的攻击速度，达到干扰攻击者采集系统信息与脆弱性判定过程的目的。以端口资源利用为例，攻击者进行端口扫描时，如果被扫设备端口未开放，诱捕探针代替这些设备响应端口扫描请求，诱骗攻击者对这些端口进

52、一步访问。如果攻击者真的访问未开放端口，流量就被诱捕探针引流到诱捕器进行应用层的诱骗，来进一步确认攻击者意图。仿真交互技术仿真交互技术即用虚假资源实现攻击交互，准确识别攻击意图，使攻击者暴露。诱捕器能根据周边环境模拟出相似的仿真业务，这些仿真业务带有较明显的漏洞，由于攻击者无法分辨真假，可诱使攻击者对这些业务发起攻击。一方面，通过攻击交互过程，能准确识别攻击意图。比如正常的扫描器、爬虫的行为，会响应扫描到的资 源，但不会有针对漏洞发起的攻击。另一方面，仿真业务通常会诱导攻击者进攻其他仿真业务，导致攻击者陷入连环陷阱，为攻击防御争取了更多时间。同时，通过仿真交互过程，网络诱捕系统可以捕获更多的攻

53、击信息和情报，便于CIS 分析并采取更准确的防御行为，降低真实系统被攻击的概率，最大限度减少损失。诱捕器当前支持对HTTP、SMB、RDP、SSH 应用的仿真交互。以 HTTP 为例，诱捕器可模拟生成与真实业务相似的 WEB 服务，但是相比真实系统开放了更多服务，且某些服务未做安全加固，攻击者发现并利用仿真系统的漏洞做进一步攻击，诱捕器上的 漏洞被触发，此时可以确认发起者为恶意攻击者。安全智能运维应用策略调优概述应用策略调优主要用于两个目的：将用户原先基于 IP 到 IP 的策略转换为 IP 到应用程序，应用程序到应用程序相关的策略，这样用户维护的策略数量比较少，也更加直观；应用程序访问关系复

54、杂，且不断变化，也会有新的应用上线和下线。在日常运维中，可以进行应用策略和基于流量生成的应用分组互访关系进行对比，识别新发现应用、已下线应用、变更应用。关键技术方案CIS 作为安全分析器，通过采集的流量和主机信息还原出应用分组和互访关系，SecoManager 根据应用分组和互访关系进行策略智能调优。总体实现流程：SecoManager 创建调优任务，分发到 CIS 进行应用分组和互访关系学习。CIS 采集流量和主机信息，基于学习算法生成应用分组和互访关系。SecoManager 收到应用分组与互访关系，与已部署策略/对象生成的互访关系进行对比。若存在策略，但是无互访关系，则认为该策略为冗余。

55、若存在互访关系，但是是传统的 IP 策略，可以将传统的 IP 策略转换为基于应用的策略，即生成应用白名单。应用策略仿真概述仿真主要用于在策略做了大量变更或者某一个关键时期如重大节日保障，用户想了解这些策略在部署到设备上之前的影响性做一个评估。如果仿真结果符合预期，用户可以通过该结果决策策略可以进行部署。如果仿真结果不符合预期，那么用户可以将策略进行一定的修改之后，再次执行结果来查看是否符合预期。关键技术方案CIS 作为安全分析器，通过采集的流量和主机信息还原出应用分组和互访关系，SecoManager 根据应用分组和互访关系进行应用策略仿真。总体实现流程：SecoManager 创建仿真任务，

56、分发到 CIS 进行应用分组和互访关系学习。CIS 采集流量和主机信息，基于学习算法生成应用分组和互访关系。SecoManager 收到应用分组与互访关系，与待部署策略/对象进行全量匹配。如果是匹配动作为正常，则认为应用互访关系没有变化。如果是匹配动作为异常，则认为该应用互访关系被阻断，需要客户确认是否符合预期。基于用户的访问合规调优概述该方案主要是为了满足企业用户管理员对企业用户的访问权限进行管理而设计的。管理员在用户管理系统（本方案特指 AD 域服务器）上根据用户的权限加入对应的安全组中；通过基于安全组的安全策略配置进行业务访问权限分配；并且根据对业务的实际访问情况调整企业用户权限，进而使

57、资源权限管理达到最佳配置。关键技术方案该方案主要由防火墙、elog、SecoManager、AD 域服务器组成。SecoManager 对管理员提供安全组中不活跃的用户列表，为优化企业用户权限提供依据；防火墙主要通过基于安全组的策略配置，对企业用户进行访问权限分类并且上送策略命中日志（含策略名、用户名）给 eLog；eLog 主要提供日志报表和威胁展现，在本方案中主要是统计分析防火墙的策略命中日志，提供安全策略对应的用户的命中信息列表。总体实现流程：SecoManager 和防火墙通过 LDAP 协议接口从 AD 域服务器获取用户和安全组信息；SecoManager 通过NetConf 协议接

58、口同步防火墙的配置（包括基于用户/安全组的策略）；防火墙通过 Syslog/Dataflow 协议接口把包含策略名、用户名的策略命中日志上送eLog；SecoManager 通过RESTful 接口从eLog 获取命中的安全策略和用户的关系信息；SecoManager 根据 eLog 的查询结果生成安全组中不活跃用户列表供管理员查询。安全业务统一管理大企业客户网络中部署大量防火墙设备（例如某集团仅华北区就部署几百台防火墙），目前对于这些防火墙的运维管理，主要有以下痛点：防火墙的管理手段分散，无有效集中管理工具；管理员重复需要充分了解防火墙与网络拓扑的关系，需要管理大量维护 IP 地址， 对管理员要求高；管理员无法统一查看安全策略情况，存在策略配置错误、策略冗余情况。针对上述痛点和问题，提出了安全业务集中管理方案（如下图所示），通过 SecoManager，可以自动发现设备，进行配置一致性检查，配置差异结果可视，安全策略自动实施和部署。关键组件说明：SecoManager 配置界面，面向用户提供安全策略配置 portal