本项目范围覆盖客户总行及各分支行,涉及流量检测探针和态势感知管理平台建设。在使用态势感知平台及全流量探针的三年来。客户结合实际工作中遇到的安全挑战和现有产品机制的短板,进一步细化了流量检测、攻击检测、弱密码与爆破检测、告警研判、资产发现、告警展示以及管理平台探针对接等能力要求。本次建设中绿盟科技使用ISOP作为管理运营平台,UTS全流量威胁检测探针为平台威胁分析研判提供数据来源。
01
全流量威胁检测探针
UTS满足了客户对于全流量协议数据解析、存储及提取的需求,可对WEB攻击、远控工具、隐秘隧道、挖矿勒索、外联检测、弱口令、信息泄露和黑客工具等风险进行检测,可自定义异常行为检测规则,支持IP资产的识别与监控,能够结合攻击链准确研判攻击结果。
绿盟科技全流量威胁检测探针UTS系统架构如下图:
图1 整体架构
1.采集层可以对网络流量进行逐层解析,将传输层协议数据剥离出来,使其在会话重组过程中按照数据流的形式进行处理与管理。应用层协议解析模块采用基于多模匹配的协议识别技术、基于解析模板的智能提取技术和基于流量特征的流识别技术等关键技术对流量数据进行高效、完整、准确的协议类型识别与解析。
2.数据层支持对采集和解析的数据进行存储,存储的数据类型包括:元数据、威胁pcap包、原始pcap包、恶意文件、资产数据。
3.检测层具备全面威胁的检测能力,具备多个检测引擎:入侵行为检测引擎、WEB应用检测引擎、意文件检测引擎、自定义规则检测引擎、威胁情报引擎、异常行为引擎。
4.业务层完全具备独立使用的能力,拥有4个子业务:仪表板、事件研判、攻击取证和威胁分析。能对内网威胁事件进行统计、研判、关联分析,对攻击者和受害者进行画像,快速定位高危攻击者或者高危资产。
5.外部接口支持与其他产品进行对接形成组合方案,外部接口包括A接口、restAPI、syslog、SFTP和日志插件(日志插件可快速适配各种日志格式与第三方平台进行对接)。
02
智能安全运营平台
绿盟科技智能安全运营平台ISOP系统架构如下图:
3、使用展示层是平台与使用者最终交付的使用层,是本地运营人员对威胁分析层不同能力进行操作使用的入口,同时可对数据中心安全态势进行集中展示及呈现。
03
部署方案
原文始发于微信公众号(绿盟科技金融事业部):国有银行全流量威胁感知建设项目案例分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论