安全感知平台解决方案
发布时间:2019-10-12

1.1 安全感知系统
1.1.1 系统架构
通过潜伏威胁探针、全网安全感知可视化平台、深信服安全服务云平台构成持续检测快速响应的技术架构:
1.1.1.1 潜伏威胁探针

  • 分离平面设计

威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理。

  • 多核并行处理

威胁潜伏探针的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。

  • 单次解析架构

威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配,有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。

  • 跳跃式扫描技术

威胁潜伏探针利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP server-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。

  • 流量记录

能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。

  • 报文检测引擎

可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。

  • Sangfor Regex正则引擎

正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了探针的整机速度的提高。为此,深信服设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
深信服威胁潜伏探针的Sangfor Regex大幅降低了CPU占用率,有效提高了威胁潜伏探针的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等。
1.1.1.2 安全感知平台

  • 资产业务管理

按照功能划分,内网设备可分为资产和业务。安全感知平台可以主动识别内网资产,主动发现内网未被定义的设备资产的IP地址,无需用户进行繁琐的统计和录入,节省用户时间。资产配置详情展示模块,可以识别内网服务器资产的IP地址,操作系统,开放端口以及传输使用协议和应用。业务与资产关系展示模块,能够按资产IP地址/地址段,组合成为特定的业务组。

  • 内网流量展示

访问关系展示模块,通过访问关系学习展示用户、业务系统、互联网之间访问关系,能够识别访问关系的who、what、when、how。通过颜色区分不同危险等级用户、业务系统。内网违规访问、攻击行为、异常流量的图形化展示,展示内网针对不同业务资产的正常访问、违规访问、攻击行为、异常流量,并用不同颜色加以区分,让用户查阅更直观。

  • 监测识别知识库

安全感知平台内建的检测识别知识库,涵盖的应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力;知识库涵盖的入侵防护漏洞规则特征库数量超过4000条,入侵防护漏洞特征具备中文介绍,包括但不限于漏洞描述、漏洞名称、危险等级、影响系统、对应CVE编号、参考信息和建议的解决方案;知识库具备独立的僵尸主机识别特征库,恶意软件识别特征总数在50万条以上。

  • 日志收集和关联

安全感知平台可以收集和分析深信服公司的下一代防火墙(NGAF)、端点安全系统(EDR)相关日志和告警信息,并进行相应的分析和关联,同时对于平台分析发现的安全隐患,也可以迅速调用这些防护系统阻断和查杀响应的安全隐患和攻击代码。
对于支持syslog的第三方安全设备,平台同样支持相关日志的搜集、存储和查询服务。

  • 可视化平台

全网攻击监测可视化平台支持安全态势感知,对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。可视化平台支持全网业务可视化,可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。支持用户自定义的业务资产管理的可视化。支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描)。业务外连监控大屏,展示资产、业务被外网攻击的实时动态地图,图形化大屏展示。分支安全监测,能够以地图拓扑的形式展示分支机构/被监管机构的安全状态,对风险状态进行排名并罗列分支机构/被监管机构的安全趋势。 安全日志展示支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、IP、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。

  • 风险可视化

基于等保部分要求,展示以用户组为粒度的风险详情及对业务系统的影响情况,风险用户可视化对高危用户进行可视化展示,对高危用户的风险操作、攻击行为、违规行为、影响业务进行可视化展现,并按确定性分类为失陷用户、高危用户、可疑用户。风险业务可视化,对高危业务进行可视化展示,对业务的有效攻击、篡改、后门的攻击路径进行图形化和可视化的展示,并按确定性分类为失陷业务、高危业务、可疑业务。

  • 大数据分析引擎

大数据分析引擎负责实现各类检测能力及大数据关联分析能力。该引擎由数据预处理、数据融合、模型构建、模型融合、分析结果生成等主要模块构成,以MapReduce为底层计算框架、以MLib和Tensorflow作为主要机器学习框架,实现了SVM、贝叶斯网络、随机森林、LDA、DGA、马尔科夫聚类、iForest、RNN等关键机器学习算法,从而支撑UEBA、失陷主机检测、及大数据关联分析等安全能力。

  • 管理功能

管理功能由多个模块组成。登录模块支持用户身份安全认证模式,多次登录失败将锁定账号5分钟内不得登录,支持用户初次登陆强制修改密码功能;升级模块支持在线升级和离线升级两种升级方式,并支持定时自动升级,平台统一管控探针的升级;用户管理模块支持新增并管理用户,可控制用户使用权限,权限包括读取和编辑;时间管理模块支持时间同步,支持NTP V4.0协议;网络管理模块提供网络管理功能,可进行静态路由配置;设备管理模块可实时监控设备的CPU、内存、存储空间使用情况,能够监控监听接口的实时流量情况;数据管理模块可以分析统计1天或1周时间内的文件还原数量情况及各个应用流量的大小和分布情况。

上一篇:没有了
下一篇:没有了