一、平台概述
在不影响网络拓扑、不需要流量分光镜像、不需要部署流量探针、不需要在终端设备安装代理程序、不依赖于其它安全设备的日志的情况下,一站式地解决了大型及复杂网络环境下东西向攻击难管控、虚拟化设备内部行为难管控、IT资产越权访问难管控、新型攻击行为难检测、脆弱性端口难全天候排查、通信日志存在盲区、威胁源头无法区分轻重缓急等诸多障碍与难题,并可对所有威胁事件进行溯源取证。
《雷盾网络异常行为分析管控平台》(以下简称“平台”)是一款基于网络流量大数据的威胁实时分析管控平台,通过对上下行流量大数据进行分析,实现以在线方式为大型及复杂网络提供威胁监测、脆弱性端口监测、风险诊断、攻击溯源、态势分析、趋势分析、应急处置等网络安全服务。
二、面向用户
网安、网信办、通信管理局、各大运营商、IDC服务商、云计算厂商、高校、医疗、证券金融、电力、交通、能源等大型及复杂网络环境。
三、功能介绍
平台实现了从流量到应用服务到威胁到脆弱性全方位的管控,可一站式地对恶意IP进行溯源定位,对IP等攻击源头进行阻断。通过我们自研的API系统,可与防火墙/交换机等进行联动处置,还能为第三方提供威胁情报服务。
图1:功能视图
(一) 威胁监控及分析
从攻击视角、防御视角等多种视角,对网络内外部的攻击源头、威胁目标、脆弱性端口等按照威胁等级的高低进行分析、监控、预警及溯源。其中攻击视角指以攻击源IP为分析对象,对攻击链展开分析;防御视角指以受攻击目标IP为分析对象,对攻击链展开分析。
A.部分功能展示
全局监控
-1024x526.png)
异常行为监控(攻击视角)
-1024x543.jpg)
异常行为监控(防御视角)
-1024x486.png)
潜在风险追踪(威胁)
-1024x515.png)
风险事件明细(威胁)
IP威胁诊断报告
异常行为区域分析
B.应用拓展
- 可发现新型的、分布式的攻击行为(目前此类自动化攻击的占比越来越高),满足等保0相关条款的要求;
- 对威胁源/目标IP 而不是孤立的事件进行威胁指数评分,有助于按照威胁严重程度有序地处置相关问题;
- 攻击视角可从攻击者的角度发现威胁源头,有助于从源头控制威胁,而不仅仅是被动地对孤立的威胁事件进行防御;
- 对所有威胁事件均可溯源,可作为问题分析、安全策略调整、事件立案以及数据二次分析统计的依据。
(二) 脆弱性监控及分析
对上下行网络流量进行实时监控,动态掌控全网与脆弱性端口情况。
A.部分功能展示
脆弱性端口监控与分析
.png)
风险事件明细(脆弱性)
B.应用拓展
- 实时监控全局网络中端口及服务的风险情况,动态掌控全网的脆弱性端口情况。
- 脆弱性端口监控:通过对流量数据进行分析,即可发现所有数字资产通过脆弱性端口与其它目标进行交互的行为,决了传统端口扫描工具存在的实时性不高、工作量大等问题;
- 可对与脆弱性端口的交互流量进行溯源。
(三) 网络应用服务分析
可对全网的上下行网络应用情况,按照流量、数据包数、关联IP数等维度进行分析及统计,并可对相应的数据进行下钻分析。
A.部分功能展示
端口应用占比分析
网段应用占比分析
端口应用详情分析
网络应用占比趋势分析
B.应用拓展
- 可精确定位全网中网络资源利用率靠前的应用,有助于对网络结构进行优化、对网络资源占用异常的应用进行排查并提出相应的优化、整改建议及要求;
- 发现网络中不规范、不合理的应用服务,有助于对相关风险进行整改。
(四) 流量监控与分析
可对全网的网络流量,按照网段、IP等视角,根据上下行BPS/PPS等维度,进行分析、统计及趋势预测;可精确定位网络资源占用最高的网段、IP以及业务所发生的时点;可对任意IP、任意时点的流量情况进行分析及溯源。
A.部分功能展示
全局流量监控
网段流量监控
IP流量监控
流量溯源分析
流量详情
流量来源分析
B.应用拓展
1)可对网络资源需求趋势进行精确分析及预测,对网络的扩展及优化有据可依,满足等保2.0需求;
2)可按需设定全网网络通讯日志的保存时限,满足网络安全法的要求;
3)遇到网络流量异常时,可对故障源头及数据特征进行下钻分析,无须进行事前抓包、摆脱功能繁杂的抓包分析工具。
(五) 威胁态势与趋势分析
提供威胁态势与趋势分析,从全局的角度准确把控网络安全最核心、重大、突出的问题,帮助监管单位或部门快速合理决策。
端口态势分析
协议态势分析
异常行为趋势分析
(六) 零信任态势分析
对IT资产访问、应用服务访问、业务访问等,进行一站式管控;对合法及越权访问行为进行多维度的分析、展现及溯源;通过多级信任级别机制,而非简单的黑白名单机制,实现对业务授权及数据权限的灵活控制;
零信任相关功能与流量分析、溯源等相关功能,无缝衔接。
零信任态势管控
零信任风险事件分析
零信任事件溯源
.png)
零信任详情监控(网段)
IP零信任诊断报告
(七) 威胁管理与处置
目前已实现以下两种IP阻断功能:
-
- 通过自研的API接口,可与交换机、防火墙进行联动处置;
- 通过BGP协议,对威胁IP实现快速阻断。
四、平台创新性
(一) 第三方评价
平台使用公司自主研发的多项核心技术共同研发完成,涉及的流量监控、流量分析、脆弱性分析、异常行为分析等关键核心技术完全自研,自主可控。依托自有的核心技术,平台先后入围了《福建省工业和信息化重点新产品》、《福州市软件类自主创新产品》、《第二十一届中国国际高新技术成果交易会优秀产品奖》,并连续三年入选《中国数字化转型优秀方案集》,连续三年成功晋级《中国创新方法大赛福建省分赛区》前三名、《全国创新独角兽沙盒大赛》前50强,也得到了第三方查新机构的认可,核心技术取得《科技查新报告》。
(二) 创新点及技术优势
通过对国内外同类产品技术对比分析,优劣势分析等,发现传统技术在网络威胁分析方面存在以下问题和难点,具体表现在以下几个方面:
(1)对网络及网络威胁的检测缺乏全局视野,难以统筹规划,难以把握最核心、重大、突出的问题。
(2)传统的检测分析技术手段实时性不高,工作量大,难以适应动态变化的网络以及网络威胁;
(3)网络问题的排查及安全事件的溯源存在难度。
我们通过研究对比论证,解决了行业关键技术难点与问题,核心技术具备以下优势:
1、符合结构简单化、高可用性、高可靠性等原则,确保网络可用性、实时性的同时,还能大幅缩短实施周期,降低设备投入以及运维成本
数据源采用网络设备自带的Netflow、Sflow、IPFix等标准格式的网络流量数据,适用于大部分的网络应用场景。该方案有别于传统方案通过流量探针,或是对已安装部署的各种厂商的安全设备日志归总分析。
一是可以不影响原来网络拓扑,二是不再需要与其他厂商的安全设备进行对接,而只需要与交换机/路由器进行交互,三是不增设新的故障点,四是能提高流量数据数据的处理能力,使用GB(bps)的设备即可处理TB级的网络数据,避免了流量由于BPS/PPS成为系统瓶颈而把系统拆分成多个子系统进行分析,能够实现全局流量分析。
2、符合最小化采集用户信息的原则,实现网络监测的同时,还能确保用户的信息安全
数据的采集遵循最小化原则,只提取包的网络部分,不涉及内容,可部署在用户的服务器或云服务器上,由用户自己管理,而不需要托管在我们的机房,可最大化保护用户的数据安全。
3、符合可扩展性、动态化发展原则,能够适应不断变化的网络环境及网络威胁
使用自研的行为规则库替代包特征库及静态的防护规则,规则可机器自学习,按需调整。从离线的分析转为在线的实时分析,能够适应不断变化的网络威胁,能够充分发挥大数据平台1+1>2的特点,发现分布式的网络攻击,解决了新型网络攻击发现滞后的难题。
4、符合智能化原则,能够适应不断变化的网络环境及网络威胁,把运维团队从繁琐的手工工作中解放出来,极大地提高了应急响应速度
通过对上下行流量实时监听,能够动态发现脆弱性端口,发现网络中不规范、不合理的应用服务,彻底摆脱抓包工具、扫描工具等,大幅提升运维工作效率,提升应急响应速度。
5、符合前瞻性原则,事前对网络进行规划,事前对风险进行控制
(1)可对网络资源需求趋势进行精确分析及预测,能够把握全局网络态势及趋势,为合理决策提供依据,事前对网络进行规划,对风险进行控制。
(2)平台的功能设计满足国家最新发布的等级保护2.0网络和通信安全“一个管理中心”的建设要求,可用于等级保护2.0的安全体系建设,体现了我们业务、技术的前瞻性!
6、符合系统化、多元化、多用性原则,能够实现全方位的风险分析,大幅提升溯源取证的效率
通过对核心网络设备上下行流量进行采集,可充分发挥大数据平台1+1>2的优势,实现内网+边界+网外全方位系统化的网络威胁分析,实现流量+应用/服务+威胁+脆弱性,攻击源+受攻击目标多元化的网络分析,同时从发现问题、分析问题到问题的研判都在一个平台上完成,不需要其他厂商设备的配合,能够实现快速溯源取证,海量事件均可实时溯源下钻分析,大幅提升溯源取证的效率。
五、关于雷盾信安
福建雷盾信息安全有限公司(简称:雷盾信安),专注于研究大型及复杂网络架构下的异常行为管控技术,为各大运营商、云计算厂商、高校、电力、交通、能源、金融等关键信息基础设施领域的内外部威胁提供从监测、追踪、溯源、处置到风险预测的整体解决方案。
雷盾信安秉持“大道至简”的理念,朝着“让安全回归简单”的目标前进!
依托自有的核心技术,公司荣获了多个荣誉资质与奖项:
2022-01 荣登工信部《2021年工业互联网APP优秀解决方案》榜单
2022-01 2022年度福州市网信办网络安全支撑单位
2022-01 项目入选《2021中国数字化转型优秀方案集》
2021-12 晋级工信部《全国工业APP和信息消费大赛》决赛并入选《全国工业APP优秀项目集》
2021-10 落地于福建福清核电有限公司的项目上榜工信部《2021年新一代信息技术与制造业融合发展试点示范》(工业信息安全能力提升方向)
2021-10 中国创新方法大赛福建分赛区三等奖
2021-09 第二届促进金砖工业创新合作大赛优秀项目奖
2021-07 获评 福建省工人先锋号
2021-07 ISC创新独角兽沙盒大赛50强(2021)
2021-05 工业互联网安全“领航”计划成员单位
2021-02 2021年度福州市网信办网络安全支撑单位
2021-01 项目入选《2020中国数字化转型优秀方案集》
2020-12 省级高新技术企业
2020-10 国家高新技术企业
2020-10 第三届数字中国建设峰会 签约福建省数字经济重大项目
2020-10 第十届海峡两岸信息服务创新大赛暨福建省第十四届计算机软件设计大赛 信创组一等奖
2020-10 中国创新方法大赛福建分赛区二等奖
2020-09 项目入围《福州市“十四五”工业和信息化项目》
2020-09 中国科技创新发明成果奖
2020-08 项目入围《福州市新基建重点项目(第一期)》
2020-07 2020新基建与工业互联网安全领域最佳解决方案
2020-08 ISC创新独角兽沙盒大赛50强(2020)
2020-05 中国移动ICT集成合作伙伴
2020-04 福建联通创新业务合作伙伴
2020-01 项目入选《2019中国数字化转型优秀方案集》
2019-11 第二十一届中国国际高新技术成果交易会优秀产品奖
2019-11 中国创新方法大赛福建省银奖
2019-10 福建省工业和信息化重点新产品
2019-09 福州市软件类自主创新产品
2019-08 ISC创新独角兽沙盒大赛40强(2019)