近年来，网络安全形势愈发严峻，病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷，尤其是给金融行业带来了巨大的经济损失。某金融行业客户的互联网区域部署众多Web应用，有效防护和监测Web应用安全是其信息安全领域的一项重点工作。经过多年网络安全建设，该金融客户初步建成网络安全防御体系，但目前在安全监测方面仍存在较大的不足，亟须对应用系统特别是Web应用，建立安全监测机制，实时感知和检测网络中的漏洞扫描、漏洞发现事件，进一步提升其互联网出口的安全性。

方案在设计思路上参考攻击链模型（Attack Chain Model），将攻击流程细分为传递、恶意/设置、命令与控制、提升权限、资源接近、夺取六个阶段。此外，明确Web攻击、钓鱼木马、恶意代码等攻击类型与攻击流程中的具体阶段，如图：

在进行信息安全系统的建设和运行工作中，风险管理是一个根本性的思路。为了能够更好地抓住风险管理的线索，便于开展实际工作，中睿天下总结为风险三要素：资产和业务、保障措施、威胁。通过分析三要素，抓住风险管理的实质：识别被保护的“资产”，发掘可能产生侵害的“威胁”，防范威胁保护资产的“保障措施”。

三层安全思路是一个典型的信息安全执行模型：包括底层数据提炼层，即为安全信息基础有效数据的提炼过程；中间的运维层，体现为对于安全威胁的集成管理和各种安全事件的流程处理；顶层的决策层，包括安全决策支撑、安全策略实施部署、残存风险判断的高级“使命”。

中睿天下依据Web攻击检测溯源、三层安全架构、风险管理体系的设计思路，结合该金融客户互联网业务逻辑架构，设计规划了本次解决方案。

该方案采用的部署架构是将Web攻击溯源系统通过旁路的方式接入到客户互联网专区，管理接口负责与统一监控平台进行联动，镜像接口负责采集双向进出互联网区域的Web应用层流量。同时，该方案规划部署了睿云统一监控平台，负责管理Web攻击溯源系统，在管理平面执行策略命令等管理操作。

拓扑架构如下图所示：

该解决方案主要采用以下关键技术建立web应用安全防御体系：

从时间、会话、协议、事件等不同维度进行网络流量追踪分析，根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害。

采用纵深检测技术建立的纵深检测体系，覆盖攻击者攻击的主要环节。即使某一点失效和被攻击者绕过，也可以在后续的点进行补充，让攻击者很难整体逃逸检测。

智能研判技术采用智能匹配深度报文检测，操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术实现智能化、自动化的工具，对攻击事件进行关联分析、聚类分析、攻击成功研判。

基于攻击者视角，在攻击路径的每一个环节设置有效的检测和防御措施，通过攻击溯源技术关联分析每个攻击事件，还原攻击的全过程，揭示系统漏洞及攻击来源。

从时间、会话、协议、事件等不同维度进行网络流量追踪分析，基于攻击模型与攻击行为检测，以攻击者视角出发，参考攻击者思路进行建模收集、归纳、验证攻击行为信息；并根据验证结果的危害程度，划分等级进行呈现及响应，全面展示事件的危害。

智能攻击研判技术采用深度报文检测、操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术，实现智能化、自动化对攻击事件进行关联分析、聚类分析、攻击成功研判。

对攻击事件进行深度分析，全量储存黑客的攻击路径，包括攻击次数、攻击手法、攻击工具等关键信息，将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”，极大地方便了用户对攻击态势的清晰认知。不仅如此，还可以实现攻击过程回放功能，以黑客视角真实还原出攻击细节，为后续的溯源提供了强有力的现实依据。

领先的溯源技术可帮助用户最大化地搜集攻击者信息，分析攻击者的来源、身份、背景、目的，以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据，再联动云端威胁情报中心的攻击者档案，完成对黑客的精确画像。同时，系统还能依据攻击行为辨别出攻击者是否采用跳板、关联恶意域名等拓展资源，从而保障了溯源与检测的准确度。

系统可配置邮件通知与短信通知，根据实际情况配置预警通知的选项，包含特定资产IP、威胁程度、攻击特征、攻击状态、阈值、触发时间段等，当遭受攻击事件时，可通过邮件或短信提供实时报警提示，助力安全运营人员及时处理威胁。同时支持协同处置，通过联动防火墙下发响应指令，及时阻断威胁，保护资产。

系统支持3D/2D地球方式实时展示攻击详情，提供3D展示数据模式与业务模式的切换，业务模式可针对不同业务区域的划分进行威胁展示，数据模式可展示后门弱点数、攻击状态、各项威胁指标Top5等关键告警数据与统计，清晰呈现威胁态势。

系统为用户提供威胁报告、安全周报、资产报告等丰富的报表报告。其中，威胁报告、安全周报支持导出，当前具备HTML、PDF两种类型。

威胁报告主要展示攻击统计、攻击成功事件、致命威胁事件、攻击图表统计等威胁详情；安全周报主要展示对应时间段的威胁态势，报告中提供安全评级、黑客数量、检测攻击数、成功攻击事件及黑客攻击趋势、攻击类型分布、攻击资产统计、黑客工具统计、恶意IP分布等图表统计；让安全运营人员清晰且全面地掌握威胁动态。资产报告主要展示资产的脆弱性，包括漏洞数量，漏洞特征，已处理漏洞，未处理漏洞等，提醒运营人员及时处理漏洞，降低安全风险。

采用了中睿天下自主研发的多层检测引擎，并集成了由中睿天下核心成员多年研究而成的千余种攻击模型，能够适用于不同的生产环境，使检测成功率更为精准、检测范围更为广泛、检测效果更为优良，尤其是在面对复杂攻击或0day攻击时也能具备出色的检测能力。

基于多年的攻防经验，总结出基于攻击结果的研判方法论，通过挖掘数据包中的请求包与返回包信息，对攻击成功与否给予研判。并解决传统安全防御设备所面临的告警数据量大，价值信息难提取等问题，最终形成以事件为单位的聚类分析，研判出攻击伤害。

能够对攻击事件进行深度分析，全量储存黑客的攻击路径，包括攻击次数、攻击手法、攻击工具等关键信息，将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”，清晰完整地呈现攻击态势的。

最大化地搜集攻击者信息，分析攻击者的来源、身份、背景、目的，以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据，再联动云端威胁情报中心的攻击者档案，完成对黑客的精确画像。让用户准确地知道是谁攻击了我，攻击了我的什么，使用了什么手法，资产是否沦陷，窃取了什么信息。

当威胁发生时，通过系统预算制定通知策略，可使用短信、邮件等方式进行告警；同时，通过处置联动功能，发送指令给防火墙设备，对外网IP进行封禁，对内网IP进行通信阻断，快速消灭威胁，为资产保驾护航。

能够将攻击成功事件、攻击等级、攻击次数、后门数、弱点数、威胁排行等威胁态势以3D/2D地球的方式进行可视化实时展现，让用户清晰掌握潜在安全风险及每一次发生的安全风险。

威胁事件是网络运营人员用以了解攻击详情的最佳方式之一，所以留存威胁事件至关重要，系统可设置威胁数据库存储时间为770天，符合《中华人民共和国网络安全法》第二十一条：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，满足国家的政策要求。

该金融客户依靠目前已建设的安全防护体系，威胁检测主要依赖于规则库及主动防御，依然存在部分漏报、误报的现象。睿眼Web攻击溯源系统基于“攻击模型”的双向流量检测方法将会大大加强现有安全体系的检测能力，同时可以帮助其提高安全防护的整体防护能力。

此前，该金融客户通常在攻击事件发生后，需要通过人工分析大量安全设备告警信息，服务器日志等信息，才能分析出攻击的详情，以及资产的损失。通过部署睿眼Web攻击溯源系统，在事件发生的同时立即作出分析，判断攻击状态成功与否、还原攻击场景、追溯攻击者以及能够迅速判断资产弱点和后门，大大提高安全分析效率。同时第一时间得出的分析结果有助于提高响应的效率，节约大量人力资源成本。

该金融客户已部署的传统安全产品，缺乏有效的检测与响应机制，通过部署睿眼Web攻击溯源系统，不仅能有效检测到威胁并及时响应处置，同时能把攻击过程完整地展示出来，使管理者明确了解到攻击者是如何一步步进行攻击的，哪儿存在弱点和后门，并给出对应的修复方案，并且能对攻击者的攻击目的、身份背景、利益关系等进行分析溯源反制。