运营商
OPERATOR
中国移动浙江分公司项目案例
清静审计服务
项目配景
面临当前一直泛起的清静威胁和营业重大性的增添,清静事务发生不行阻止,基于互联网Web应用会见日志、网络流量日志、清静装备监控日志、清静威胁态势等信息,怎样使用大数据平台获取数据量大、维度周全等特征,建设清静风险监控、剖析模子,实时发现潜在清静威胁及已经面临的清静风险,接纳有用防护措施,降低可能造成的损失,是浙江移动面临的主要课题。
项目内容
对Web应用清静威胁及风险的监测∶监测网络流量、系统日志、清静工具发现的可疑行为及乐成入侵行为,包罗∶种种扫描探测、恶意账号攻击、误差使用、恶意营业逻辑攻击、网站挂马、Web后门会见、Web渗透、DDoS、APT攻击等行为。
Web清静风险大数据清静剖析∶通过对监测到的所有行为举行综合剖析和挖掘,建设威胁剖析与数据挖掘模子,实现元数据关联、关联场景剖析、挖掘模子剖析等识别种种恶意威胁和清静风险的行为。
总体营业逻辑架构图
1.典型威胁场景剖析
大数据清静剖析可针对收罗到的日志信息,提供内置典型的威胁场景剖析, 判断实时存在的高可疑威胁和已经乐成的威胁
支持判断剖析非授权时间系统登录、用户密码暴力破解乐成、可能乐成的DOS攻击、可能的DDoS攻击实验、可能乐成的缓冲区溢出攻击、可能的自动化工具入侵实验等
支持对可疑入侵行为举行有用检测剖析,包罗攻击者非法扫描并登录系统乐成、攻击者非法扫描并有提权行为、攻击者非法扫描的服务器有帐户异常行为、攻击者暴力破解并有提权行为、攻击者举行高威胁行为并登录系统乐成、可能乐成的上传木马、受攻击服务器短时间内帐户添加和删除操作等?
2.Web攻击事务深度剖析
支持对Web营业系统可能遭到数据窃取、病毒发作、蠕虫运动和乐成的弱点被使用等举行剖析
支持差异源和目的的关联跟踪,可通过攻击源、攻击目的对攻击蹊径举行统计,并以图形化的方式展现,包罗攻击的行为、告警,从攻击泉源、攻击时间、攻击方式、攻击效果等多个纬度综合对事务举行追溯,快速定位确认攻击源、误差成因、攻击效果等
支持但不限于检测SQL注入、下令注入、跨站剧本、代码注入、协议错误、异常会见、恶意代码攻击、WebShell后门法式会见、Web渗透、Web CC等风险;支持凭证泉源IP、MAC、HTTP请求要领、URL、请求头、请求参数、响应码等内容设置审计规则,可自界说高、中、低等风险品级。
支持基于行为的关联剖析,发现更为隐藏的Web威胁,包罗SQL注入取数、表单破解、XSS测试、目录穿越读取文件、多人会见 WebShell、APT攻击等。
Web应用威胁攻击监测日志及系统日志可上传数据至大数据平台,并使用大数据平台举行清静剖析,
可支持基于包罗攻击泉源、目的、攻击事务名称等信息实现基于海量数据的综合关联剖析、溯源剖析、一致性剖析、用户终端剖析、用户群体剖析、元数据关联等。
可支持凭证周期性,挖掘时间段,模式长度,模式支持度大于,挖掘数据源,挖掘模子字段,挖掘目的字段信息对数据举行聚类、分类统计剖析。
项目价值
大数据智能化自学习方式建模剖析通过大数据手艺团结智能剖析模子,将清静事务由被动防御转变为更具智能化的自动响应
实现清静防御多平台系统综合纵深剖析
充实使用大数据剖析的优势,将多个清静平台的防御效果综合剖析,并团结第三方威胁情报、网络指纹数据,越发周全深条理的剖析,增大了大数据系统的清静能力
实现清静事务多维度多层面纵深挖掘
充实使用大数据剖析的优势,将多个清静事务通过时间相似性、手法相似性、攻击者网络指纹相似性等多个层面,多个维度纵深挖掘,深层剖析攻击者的意图,增大了自动防御的能力
发现残余高危误差,乐成保障G20时代网络清静
G20峰会时代,清静态势感知平台通过深度剖析清静事务,乐成发现高危清静误差,并即时告警,通知清静职员处置赏罚,乐成保障了企业网络在G20时代零清静事故