CN115643096A - 一种可进行态势感知安全威胁预警的联动分析系统及方法 - Google Patents

Abstract

本发明公开了一种可进行态势感知安全威胁预警的联动分析系统，包括马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域五个区域，其特征在于：数据资源区域、所属单位边缘区域、马场道办公区域部署威胁感知探针系统；马场道办公区域、互联网区域、安全管理区域、所属单位选择区域内均接入防火墙；安全管理区域部署威胁感知分析告警平台。本发明主要实现全网数据采集，并将采集的数据进行深度审计和数据关联，梳理形成访问关系，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，使得用户可以更直观地感受到网内的安全态势，使得安全由不可见变为可见，有效地提高了安全监控的效率。

Description

一种可进行态势感知安全威胁预警的联动分析系统及方法

技术领域

本发明涉及网络安全分析技术领域，具体为一种可进行态势感知安全威胁预警的联动分析系统及方法。

背景技术

网络安全和数据安全一直是机房信息化业务的重中之重，困扰着机房网络和数据安全的因素主要有两个方面，一方面是外部网络的攻击威胁（包括漏洞攻击、黑客攻击、病毒及恶意代码攻击等行为）；另一方面是内部网络环境的日趋庞大和复杂化，导致运维人员及运维工具无法及时应对各种复杂的安全事件。因此我们需要通过威胁感知分析平台完成流量抓取，数据搜集，事件梳理、汇总分析等工作。主动将机房网络中遇到的安全事件汇总出来，并联动云端24小时安全监控服务进行处理，如遇重大安全事件或安全隐患，还可以联动机房安全设备及时阻断威胁事件，协助运维人员更及时的掌握机房整体网络安全情况。

因此，针对上述问题提出一种可进行态势感知安全威胁预警的联动分析系统及方法。

发明内容

本发明的目的在于提供一种可进行态势感知安全威胁预警的联动分析系统，包括马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域五个区域，数据资源区域、所属单位边缘区域、马场道办公区域部署威胁感知探针系统；马场道办公区域、互联网区域、安全管理区域、所属单位选择区域内均接入防火墙；安全管理区域部署威胁感知分析告警平台；

所述马场道办公区域内的核心交换机分别通过线路与威胁感知探针系统和防护墙连接，所述马场道办公区域内的防护墙通过专线与所属单位边缘区域的企业专网边缘汇聚交换机连接；

所述所属单位边缘区域内的企业专网边缘汇聚交换机分别通过线路与所属企业、零信任运维网关、威胁感知探针系统以及防火墙连接；所述所属单位边缘区域内的防火墙通过线路与数据资源区域内的核心交换机连接；

所述数据资源区域内的核心交换机分别通过线路与虚拟化云平台、威胁感知探针系统连接；

所述数据资源区域内的核心交换机通过线路分别与互联网区域的防护墙以及安全管理区域内的防火墙连接；

所述安全管理区域内的防火墙与威胁感知探针系统连接。

进一步的，所述零信任运维网关，对来自所属单位的运维人员进行授权和安全访问控制。

进一步的，该方法的步骤包括：

步骤一：分别通过数据资源区域、所属单位边缘区域、马场道办公区域部署的威胁感知探针系统实时采集网络流量，监控网络异常情况，并发送到安全管理区域内的威胁感知分析告警平台；

步骤二：利用马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域内现有或新增的防火墙，拦截外网威胁，并与威胁感知分析告警平台进行安全联动；

步骤三：安全管理区域内的威胁感知分析告警平台，通过主动和被动的形式，结合脆弱性信息，快速聚焦服务器存在的漏洞情况，方便安服人员快速定位，借助基础手段识别漏洞情况，针对来自外部的攻击行为进行检测，监测外部对重要资产、基础设施发起的异常流量，结合接入的防火墙可了解攻击防御情况、安全联动阻断。

与现有技术相比，本发明的有益效果如下：

本发明主要实现全网数据采集，并将采集的数据进行深度审计和数据关联，梳理形成访问关系，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，使得用户可以更直观地感受到网内的安全态势，使得安全由不可见变为可见，有效地提高了安全监控的效率。

附图说明

图 1 是本发明系统的拓扑图。

具体实施方式

如附图1所示，本发明提供的一种可进行态势感知安全威胁预警的联动分析系统，包括马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域五个区域，其特征在于：数据资源区域、所属单位边缘区域、马场道办公区域部署威胁感知探针系统；马场道办公区域、互联网区域、安全管理区域、所属单位选择区域内均接入防火墙；安全管理区域部署威胁感知分析告警平台；

所述马场道办公区域内的核心交换机分别通过线路与威胁感知探针系统和防护墙连接，所述马场道办公区域内的防护墙通过专线与所属单位边缘区域的企业专网边缘汇聚交换机连接；

所述所属单位边缘区域内的企业专网边缘汇聚交换机分别通过线路与所属企业、零信任运维网关、威胁感知探针系统以及防火墙连接；所述所属单位边缘区域内的防火墙通过线路与数据资源区域内的核心交换机连接；

所述数据资源区域内的核心交换机分别通过线路与虚拟化云平台、威胁感知探针系统连接；

所述数据资源区域内的核心交换机通过线路分别与互联网区域的防护墙以及安全管理区域内的防火墙连接；

所述安全管理区域内的防火墙与威胁感知探针系统连接。

具体的，所述零信任运维网关，对来自所属单位的运维人员进行授权和安全访问控制。

一种可进行态势感知安全威胁预警的联动分析系统的方法，该方法的步骤包括：

步骤一：分别通过数据资源区域、所属单位边缘区域、马场道办公区域部署的威胁感知探针系统实时采集网络流量，监控网络异常情况，并发送到安全管理区域内的威胁感知分析告警平台；

步骤二：利用马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域内现有或新增的防火墙，拦截外网威胁，并与威胁感知分析告警平台进行安全联动；

步骤三：安全管理区域内的威胁感知分析告警平台，通过主动和被动的形式，结合脆弱性信息，快速聚焦服务器存在的漏洞情况，方便安服人员快速定位，借助基础手段识别漏洞情况，针对来自外部的攻击行为进行检测，监测外部对重要资产、基础设施发起的异常流量，结合接入的防火墙可了解攻击防御情况、安全联动阻断。

具体的，本身的安全运营平台与网端防火墙的联动功能主要分为两个维度：第一个维度：出入站威胁风险联动，当安全运营官中心检测发现恶意的内外联活动时，运营中心联动网络防护设备主动封堵威胁风险IP；第二个维度是：运营中心平台联动网络防护设备，下发详细的访问控制策略。

（一）出入站威胁风险联动

当运营中心检测到风险主机，根据他的风险是被攻击还是主动攻击其他主机，然后联动封锁下发策略给防护系统，如果检测内部被攻击，则将攻击者IP封堵，如果检测到是内部主动攻击，则主动封堵内网风险主机IP，支持以IP+端口+封锁时长形式进行所有协议/流量的封锁。

（二）应用控制策略联动

在运营平台上统一对防护类设备下发应用控制策略，针对源IP，源区域，目的IP，目的区域，具体应用和端口，这五个参数做具体的应用控制策略，在平台上创建好后，下发配置策略到防护类设备上生效。

（三）其他网端防护能力

运营平台支持与上网行为管理系统的联动，提供内网威胁扩散或其他异常时的上网管理服务和用户提醒服务。

冻结上网：需联动上网行为管理完成，基于用户认证场景，阻止风险主机进行上网，避免威胁扩散或发生对外威胁，影响单位信誉。

用户提醒：通过联动上网行为管理完成，可自定义形式在风险用户上网时，提醒其感染的威胁信息并提供详细处置指引，简化IT运维工作，实现多用户下的自动化运维。

与云端联动：云端威胁情报、云端安全模型、云端安全运营、云监测、云扫描、云防护。

实现安全运营平台与云网端多产品的联动，可在监测到全网威胁时能向边界防护系统、终端安全系统、重要网络节点设备直接下发安全策略，拦截威胁扩散，在问题爆发前解决问题。

具体的，本发明实现下列6大功能：

（1）实时监测

展示整体安全情况，能清楚的了解当前网络安全状况、评级分数、爆发的重大事件，并能评估防御不足还是内部威胁，决策哪里需要加固，让管理员可以结合安全态势感知进行有效运营，提升效率，提升全网安全高度。

（2）威胁感知

外部威胁感知：对来自外网的攻击行为进行检测，监测外网对重要资产、基础设施等发起的异常流量，结合接入的防火墙可了解攻击防御情况、绕过后的风险、受攻击的服务器。

内部威胁感知：内部异常感知通过失陷主机检测、外连威胁感知、横向威胁感知来发现已经成功绕过网关防御，进入到内部网络后的潜伏威胁及从内部发起的内鬼行为。

（3）溯源取证

数据分析分析溯源取证与中心结合了运营平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些暂未形成安全事件，但存在可疑或结合业务现状可分析发现存在异常的数据，提供给驻点安全专家，或有一定安全分析能力的运维人员进行分析，从正常现象中挖掘异常。

（4）威胁预警

威胁预警主要来自于两个层面，分别是基于威胁感知大数据分析的预警和基于威胁情报的预警。威胁预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况，利用通报预警模块汇总、分析、研判，并及时将情况上报、通报、下达，进行预警及快速处置，为便于运维体验和安全专家分析，安全运营平台创新性的设计可感知的安全告警，让威胁具有易识性、易理解。

（5）事件处置

应急处置工作分为两个方面，系统自动化联动处置和系统问题手动处理；联动处置一般用于紧急状态下的自动化处置。

（6）报告中心

运营平台支持导出的报告根据面向对象的不同，分为综合安全风险报告、摘要报告、主机安全风险报告、脆弱性感知报告、外部威胁报告。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

Claims (3)

1.一种可进行态势感知安全威胁预警的联动分析系统，包括马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域五个区域，其特征在于：数据资源区域、所属单位边缘区域、马场道办公区域部署威胁感知探针系统；马场道办公区域、互联网区域、安全管理区域、所属单位选择区域内均接入防火墙；安全管理区域部署威胁感知分析告警平台；

所述马场道办公区域内的核心交换机分别通过线路与威胁感知探针系统和防护墙连接，所述马场道办公区域内的防护墙通过专线与所属单位边缘区域的企业专网边缘汇聚交换机连接；

所述所属单位边缘区域内的企业专网边缘汇聚交换机分别通过线路与所属企业、零信任运维网关、威胁感知探针系统以及防火墙连接；所述所属单位边缘区域内的防火墙通过线路与数据资源区域内的核心交换机连接；

所述数据资源区域内的核心交换机分别通过线路与虚拟化云平台、威胁感知探针系统连接；

所述数据资源区域内的核心交换机通过线路分别与互联网区域的防护墙以及安全管理区域内的防火墙连接；

所述安全管理区域内的防火墙与威胁感知探针系统连接。

2.根据权利要求1所述的一种可进行态势感知安全威胁预警的联动分析系统，其特征在于：所述零信任运维网关，对来自所属单位的运维人员进行授权和安全访问控制。

3.根据权利要求1所述的一种可进行态势感知安全威胁预警的联动分析系统的方法，其特征在于：该方法的步骤包括：

步骤一：分别通过数据资源区域、所属单位边缘区域、马场道办公区域部署的威胁感知探针系统实时采集网络流量，监控网络异常情况，并发送到安全管理区域内的威胁感知分析告警平台；

步骤二：利用马场道办公区域、互联网区域、安全管理区域、所属单位选择区域、数据资源区域内现有或新增的防火墙，拦截外网威胁，并与威胁感知分析告警平台进行安全联动；

步骤三：安全管理区域内的威胁感知分析告警平台，通过主动和被动的形式，结合脆弱性信息，快速聚焦服务器存在的漏洞情况，方便安服人员快速定位，借助基础手段识别漏洞情况，针对来自外部的攻击行为进行检测，监测外部对重要资产、基础设施发起的异常流量，结合接入的防火墙可了解攻击防御情况、安全联动阻断。

Images