《网络安全设备原理与应用》 课件 24-安全感知平台功能说明-处置中心；25-安全感知平台功能说明-分析中心

安全感知平台功能说明-处置中心了解处置中心对风险主机及事件的分析教学目标处置中心目录处置中心安全感知平台最关键的模块，用于查看当前网络中存在的风险主机（服务器、PC终端）以及网络中存在的安全事件。安全感知平台无处置功能，只能分析出当前的网络中存在的问题，需要人工或使用杀软等工具对该模块中的待处置主机进行处置操作，完成安全问题闭环。处置中心处置中心将全网安全问题，通过风险主机（服务器、终端）视角、安全域视角、安全事件视角进行整理。当管理员习惯查看哪些主机存在安全问题时，可以通过风险业务视角或风险终端视角进行查看。当管理员想知道哪个区域安全较薄弱时，可以通过风险安全域视角进行确认。当公司出现了某项安全事件时，如勒索病毒，可以通过安全事件视角进行查找所有中勒索病毒的主机。处置中心风险业务，主要查看待处置服务器处置中心风险终端，主要查看待处置终端处置中心查看安全问题较多的区域处置中心主要查看待处置的事件处置中心风险业务视角举例（一）

如：查看的安全事件。查看服务器的风险等级，5及以上的安全事件建议进行处置，5以下的安全事件建议继续观察。标签为主机存在的安全事件。查看详细的安全事件时，点击服务器IP地址进行查看。点击安全事件，可以查到到更详细的事件举证说明。并可看到处置建议。※对于其它的安全事件，建议可以查看帮助文档中的安全知识库处置中心处置中心处置中心以风险业务视角举例（二）

如：查看的安全事件。查看服务器的风险等级，5及以上的安全事件建议进行处置，5以下的安全事件建议继续观察。标签为主机存在的安全事件。查看详细的安全事件时，点击服务器IP地址进行查看。点击安全事件，可以查到到更详细的事件举证说明。并可看到处置建议。对于其它的安全事件，建议可以查看帮助文档中的安全知识库处置中心处置中心处置中心数据的分析和监控基于NTA技术、利用人工智能分析（南北向与东西向）流量和载荷文件，从而识别异常协议、异常流量、主机异常行为；匹配机制问题：

传统安全设备的判断机制是特征匹配，需要通过异常检测的方式才有可能识别出可疑攻击行为，0day、特种木马、隐蔽通道传输等未知攻击；监控网络流量、资产、设备，建模学习日常网络行为，这样对异常的连接、数据交互、用户变更等可以实现安全可视和追踪。处置中心特权账号冒用异常行为检测越权非法操作违规访问行为内部数据泄露绕过行为检测风险访问行为隐蔽通道检测高级威胁检测新型Webshell未知恶意文件DGA域名检测恶意流量行为可疑邮件行为时间序列分析二类分类多类分类聚类离群点检测DNSflow引擎HTTP

flow引擎SMTP

flow引擎POP3flow引擎IMAPflow引擎文件鉴定引擎ADflow引擎SMBflow引擎机器学习分析引擎场景建模算法集合专家规则异常行为分析建模流量行为用户行为操作行为长周期分析大数据分析原始数据网络行为数据文件Poayload终端行为数据数据的分析和监控处置中心过去：传统的检测手段现在：更智能的检测手段基础：以特征检测为主，收集信息不全面手段：流量识别、威胁及漏洞检测技术基础：以全流量检测为主，收集信息更全面手段：大数据、人工智能、机器学习、UEBAAI已深入应用于：Dns引擎、Http引擎、Netflow引擎、SAVE文件检测引擎检测手段处置中心检测手段----DGA检测处置中心aaaaaaaaaaaaaaaaaaaaaaaaaaaaakna.co.ukaaaaaaaaaaaaaaaaaaaaaaaaaaaaap0y.co.ukAaaaaaaaaaaaaaaaaaaaaaaaaaaaahzu.co.ukXX海油和XX建设股份通过深信服本地安全大脑判定为APT组织“OceanLotu海莲花”

检测手段----APT检测处置中心检测手段----数据泄漏检测处置中心深信服人工智能检测引擎SAVESANGFOR

AI-based

Vanguard

Engine引擎创新人工智能技术，准确检测未知病毒不再依赖传统方法的字节级特征，使用AI技术提取稳定可靠的高层次特征!荣获“2018年度赛可达产品奖”获得了Google认可，加入全球情报联盟VirusTotal，列为第三方引擎。精准处置中心场景比较基于特征库技术的传统引擎基于人工智能的SAVE引擎杀毒能力准确查杀已知，应对变种永远处于追赶状态具有泛化能力，能够查杀病毒变种离线场景不能在线更新病毒库，能力退化快，只能手动更新杀毒能力强，能力退化慢，短期不更新也能应对大部分，不依赖于云端能力带宽成本需要频繁更新特征库，当节点数多，对于企业网络带宽是一个压力模型更新周期慢，每次更新量小，节约带宽成本，不会产生更新带来的网络风暴内存占用特征库匹配需要载入内存，一般需要占用200~300M内存占用小，一般AI模型占用在100M以内（SAVE引擎平均占用内存70M）精准传统引擎与人工智能引擎的比较处置中心平台将事件定义为已失陷、高危、中危、低危、信息，定级说明如下：处置中心SIP对事件通过“失陷确定性”、“威胁等级”两个维度进行定级。失陷确定性：是对主机风险评级的主要指标。威胁等级：是主机对内网或外网造成威胁的评级指标。处置中心失陷确定性：优先查看报的已失陷与高危等级事件，这些事件准确性较高，容易查出问题。对于中危和低危事件，需要进一步的分析排查，去确认事件，需要一定的安全分析能力。威胁等级：威胁等级是风险主机对内网或外网主机发起的攻击行为，如病毒的扩散事件，是对内网有威胁的，肉鸡对互联网发起攻击将会被监管单位进行通报。如下图，是主机对内网发起永恒之蓝漏洞利用攻击，以及对互联网发起数据库扫描攻击，描述了方向。处置中心处置中心的数据分析和监控是通过什么技术实现的？总结安全感知平台功能说明-分析中心熟悉分析中心的分析功能教学目标分析中心目录分析中心分析中心的作用说明：1、分析中心结合了深信服安全感知平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些暂未形成安全事件，但存在可疑，或结合业务现状可分析发现存在异常的数据，提供给驻点安全专家，或有一定安全分析能力的运维人员进行分析，从正常现象中挖掘异常。查看主机存在的外部、横向、外连，三个方向的威胁以及访问情况进行分析。对恶意文件以及邮件威胁可以直接查看到。2、对2U的SIP平台还可以使用SIEM与EBA发现更多的主机风险，可以全方位的对安全事件进行识别。分析中心通报说明：1、分析中心包括了外部、横向、外连三个方向的安全与访问关系，并对数据传输中的文件威胁和邮件威胁做出了单向的检测展示。2、对访问情况，平台还将识别其访问次数以及访问流量，并通过机器学习出基线，识别出异常，通过EBA（行为画像）展示。3、若在有第三方操作系统以及第三方设备可以接入到SIP时，会通过SIEM进行关联分析。分析中心分析中心功能介绍威胁分析来自互联网，内网的攻击，包括外部威胁、横向威胁，外连威胁和文件威胁、邮件威胁检测。分析中心分析中心功能介绍访问分析检测互联网，内网主机的访问关系，审计访问行为。日志检索平台审计的安全日志，审计日志以及第三方日志等。情报分析查看当前平台的威胁情报总量，检测到内网存在威胁情报的情况，并可自定义威胁情报以及将误报的情报加入白名单。SIEM分析系统通过接入第三方设备/操作系统日志进行异常行为分析。行为分析（EBA）通报机器学习，建立服务器访问基线，为后续识别出服务器的异常流量以及异常访问等。分析中心威胁分析----外部威胁分析来自互联网的攻击，包括总览、高危攻击、残余攻击、外部风险访问等。快速识别到互联网的攻击，可用于分析入口点。分析中心威胁分析----横向威胁分析来自内网主机的攻击行为，包括横向攻击、违规访问、可疑行为等。分析中心威胁分析----外连威胁分析内网主机主动向互联网发起的攻击行为或异常连接，包括对外攻击，C&C通信，隐蔽通信等。分析中心威胁分析----文件威胁分析STA审计到的文件，上传到SIP通过分析引擎进行识别是否为恶意文件。分析中心威胁分析----邮件威胁分析包括钓鱼邮件、垃圾邮件以及病毒邮件的检测分析。分析中心威胁分析----分析中心是用于更高级的安全事件分析工具，较处置中心，需要更强的安全分析能力。如当在处置中心中发现一台主机的威胁等级为中危、低危时，可以通过分析中心对该主机进行外部、横向、外连等维度的威胁分析。如发现00这台服务器存在一些异常行为但是处置中心为低危，如下图：分析中心低危事件为被互联网远程风险访问，这时还可以通过分析中心进行查找是否存在其它的行为我们在横向可疑行为上发现了该服务器还存在扫描行为，通过人工的方式进一步分析威胁分析分析中心分析中心----访问分析页面图示：分析中心访问分析功能概述横向访问分析通过探针审计横向访问流量分析出服务器流量排行以及内网最活跃的源主机。外连分析识别内网主机访问互联网的情况，分析服务器和终端，是否访问到没有业务的地域行为。外对内业务流量分析审计互联网对DMZ区业务的访问情况，识别出是否有异常的大流量访问或大量的访问次数。可疑DNS分析探针审计到内网主机访问了一些异常的DNS访问请求。访问控制核查配置好需要核查的关系，通过探针进行审计，是否存在该访问关系。分析中心访问分析----访问关系用于分析主机发起的横向或外连的行为，较之前介绍的“正常横向访问监控”、“正常外连监控”更详细。横向连接内网横向访问可以查看被访问服务器的流量情况以及最活跃的源主机情况。分析中心访问分析----对外连接内网主动向互联网发起连接，并区分出服务器与终端。分析中心访问分析----外对内业务流量分析该页面可视对外网开放的业务流量情况，如可视哪些业务访客最多，流量最大，来自于哪些地区的访客。分析中心访问分析----可疑DNS分析访问一些高风险注册地（小国家的地址，如蒙塞拉特岛、萨摩亚等可以自定义）政府单位会关注。分析中心访问分析----访问控制核查该页面通过观察指定的IP（组）之间是否有访问，来核查访问控制策略是否生效。分析中心日志检索是最原始的数据源，其中有安全日志也有审计日志，上述的分析中心模块是已经将日志检索中的日志进行聚合的结果，只在需要分析单条日志时才使用日志检索。日志类型选择用于筛选安全日志，审计日志以及第三方接入设备/操作系统日志，进行分类查询。搜索框可以自定义输入查询的字段，搜索技巧可以查看帮助文档。日志方向在分析日志时，可能有时需要只筛选某个方向上的日志，可以使用此功能。重点/可选字段在检索到的日志时，有一些字段默认未展示，可以手动添加重点或可选字段。解码小助手在检索到日志后发现日志是url，base64等常见编码时，可以使用解码小助手解码查看分析。分析中心用于解码URL、base64等方式编码的内容。选择需要检索的日志类型。通过字段检索需要的日志。日志数量统计与趋势情况。检索时间范围。日志检索分析中心情报分析威胁情报总览威胁情报包括域名/url/ip/md5信息，总览展示当前网络中存在的匹配到威胁情报的总体情况。分析中心情报分析自定义威胁情报可以自定义发现的威胁情报，并定义级别出现，当内网中出现时，将会检测出安全事件。分析中心情报分析----威胁情报白名单当前存在误报的域名/url/ip/md5，可以使用白名单功能，增加白名单项。分析中心SIEM分析系统通过接入第三方安全设备（如防火墙、IPS、IDS、WAF、终端安全等）、网络设备（如路由器、交换机等）、操作系统（如windows、linux各系列）、中间件（web中间件如apache等，数据库中间件如Mysql、Sqlserver等中间件）等日志数据进行关联分析，结合AI机器学习和数据挖掘技术发现安全威胁和安全风险，结合可视化呈现，构造多源化监视和分析的安全系统，目的旨在帮助用户通过多源数据分析检测威胁和溯源（2U设备支持关联分析）。分析中心SIEM分析系统第三方接入说明文件，从深信服社区进行下载。/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=60194分析中心SIEM分析系统分析中心SIEM分析系统分析中心SIEM分析系统分析中心行为分