一、项目背景

项目立项的原因和背景

广东农信在传统网络安全建设上已较为成熟，日常安全运营的主要工作内容正在向应用安全、业务安全、数据安全转移，传统的基于规则的流量入侵检测系统已无法满足当前广东农信应对的挑战，急需全流量全协议的安全流量分析系统。同时，内网间网络通信监测缺乏也造成难以发现攻击者内网攻击、后渗透的痕迹。随着国内外网络安全问题日益凸显，国家层面对网络安全工作的重视程度也不断提升。面对日益严峻的网络安全挑战，建设一个全金融业基于多级联动的一体化安全威胁监测体系，有助于实现对全省农商行网络安全做到统一的安全监测与安全管控。

二、项目方案

项目架构、业务、技术、实施等设计内容

通过本项目建成一套全流量安全威胁检测系统，流量分析探针通过收集交换机或tap网络镜像流量各网络安全域的实时流量，将安全分析日志上收全流量安全威胁检测系统集中分析，做到安全事件集中管理。流量分析探针在网络接入与流量入侵检测系统无异，通过旁路流量监控，对生产业务基本无影响，受影响的系统主要集中在网络，包括地市机构交换机、地市骨干网sd-wan与省中心tap网络，建设难点在于实现传统网络架构与私有云环境统一安全事件监测。

项目关联系统为安全态势感知平台，安全态势感知作为中心SOC，全流量安全威胁检测系统将收集汇总后的安全告警日志数据加以分析后作为数据源输入到安全态势感知平台，并通过态势综合中心其他安全设备日志为安全中台提供准确的数据。

三、创新点

项目在建设或推广应用等方面的创新点

广东省农村信用社联合社金融业基于多级联动的一体化安全威胁监测体系建设项目的创新点在于：一是将全省66家农商行全部纳入省级安全监测平台，实现安全的统一监测，联动处置，解决农商行因安全人员缺乏而导致安全监测能力不足的问题，集中了安全资源为全省农商行业务高质量发展提供了坚固保障，二是采用了基于多源日志存储计算的全流量数据分析技术，并且建立场景化模型，对未知风险等进行持续性数据分析，实现基于特征与基于异常行为的混合型入侵检测；三是实现跨地域、跨法人机构的多级分布式部署。

四、技术实现特点及优势

系统架构、技术实现等特点

（1）基于日志元数据湖的网络威胁检测技术：

利用分布式大数据存储架构，以冷、热数据分离、PB级高速检索和流式计算，将网络全流量数据以结构/非结构化存储，构建可计算的安全数据湖。通过旁路镜像采集并存储网络全部流量，通过网络协议实时解码、元数据提取，建立完整的日志、协议、数据包全字段索引，以便于快速提取多维度的网络元数据进行异常行为建模，为后续异常数据挖掘、分析、取证建立扎实的基础。本体系采用大数据技术架构,高速、实时采集与报文解析,支持对 OSI模型2-7层50余种协议内容，包括: HTTP、FTP、SNMP、SMTP等常用通信协议。另外NTA采用大数据架构，支持构建网络协议数据仓库，对协议数据进行存储和构建索引，提供便捷有效的分析溯源方式，以满足对不定时爆发的0Day漏洞可利用特征进行原始数据级别的调查分析需求。例如护网期间出现WebLogicT3反序列化0Day漏洞，安全分析人员结合具体的HTTP数据仓库功能，可自定义查询特征在设定的时间段包含T3协议的协议数据，并通过详情页面分析确认是否存在被利用的情况。在数据存储及处理能力方面，传统DDS只会存留命中攻击之间的数据，以及使用传统关系型数据库如Oracle、MySQL等，而本体系则使用大数据技术组件，无论是实时处理数据、数据的检索、读写能力上都更优。此外，本体系采用冷热数据分离架构，可以做到对冷数据长期存储和提供报表查询功能，并对近期的热数据，构建索引，满足实时查询需求。本体系可实现灵活可扩展，支持多Sensor和分折集群水平扩展，即使在PB级别，千亿级数据量的情况下，仍可做到秒级查询。

（2）双向验证，风险精确定位：

一是本体系的风险识别，主要是采用安全特征引擎、安全统计模型与安全智能检测模型相结合的方式，来对包括对攻击行为事件、协议异常事件、安全漏洞和威胁情报等信息进行综合分析、识别相关风险。

二是本体系的攻击行为监测外部及内部的威胁，适配动态多变的复杂网络环境，利用丰富的检测方法与监测手段，*****时间识别恶意的入侵攻击。经测试，对病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、扫描探测、欺骗劫持SOL注入、XSS、网站挂马、隐蔽隧道通信、异常流量等恶性攻击行为，本体系通过简单易懂的技术化语言帮助用户分析攻击事件，对攻击事件进行有效处理。

三是本体系的分析引擎可以对数据包的参数进行细粒度提取，精确到URL、IP、ID、HOST、DBMS、Payload、Type、Method等，同时具有完善的攻击特征库,包括数十个种类漏洞检测，超过4000项攻击特征，可以精确检测黑客、病毒、蠕虫、木马、后门、恶章文件等，在检测过程中体用机器学习技术，利用强大训练集，高效检测恶意攻击行为。

四是本体系的基于攻击链模型将风险划分为信息探测阶段、载荷投递与侦查阶段、系统控制阶段、环境感知阶段以及数据泄露阶段，对风险信息进行威胁度与可信的评估与分析。风险管理模块采用三种检测技术，基于规则的风险检测、基于统计的风险检测和基于机器学习的风险检测技术。提供多视角数据分析视图，包括资产视角、攻击者视角、IoC信标、协议图谱，提供攻击全链路的安全研判能力。

五是从request 和response 双向进行验证，定位精确，可识别度高，从而尽可能降低检测的误报率。

（3）深度计算构建攻击画像

本体系通过多个维度信息绘制攻击者画像，发掘攻击者常用手段及工具，为安全防护提供思路。内置攻击挖洞检测模型，快速构建攻击画像，识别高级攻击行为。提供攻击者画像功能，对攻击者的攻击事件、攻击行为、留存的网络协议等进行数据挖掘分析。对攻击者进行画像，便于安全分析人员能够以实体的视角对其分析，包括攻击者活跃时间、偏好攻击目标/网站、常用攻击工具、攻击类分类。攻击画像将事件为划分为信息监测侦察、载荷投递与攻击水平横移、系统控制以及其它五个阶段。判断攻击者属于使用自动化工具攻击的脚本小子，还是蓄谋已久的攻击者，便于安全人员进行风险定级，以及处置的优先级比进而判定并采取有效的封禁措施。

（4）攻击回溯，威胁狩猎

面对大量的攻击事件、高危异常行为以及告警信息，安全人员通常难以分析溯源，本体系基于攻击链场景的分析模式，为企业提供海量时间攻击的分析依据，面临潜在的异常事件，本体系开发基于攻击链场景的分析模式，提供IoC调查分析画布，结合大数据分析技术与攻击场景建模，清晰展示实体行为轨迹，实现攻击事件快速回潮。可视方式建立调查画布、精准溯源、事件快速响应。

本体系对网络进行深度包解析，提取各类网络IoC信标，建立丰富多样的信标库，如电子邮件、邮件主题、文件名、文件类型、账号、域名、IP等，并以可视化的方式描述网络实体间的行为，绘制事件调查网络图。并支持每个loC信标节点的操作，协助安全人员快速关联及分析风险事件。

五、项目过程管理

项目各阶段的实施周期

本项目于2022年3月启动项目预研，2022年6月完成项目方案设计，2022年8月完成功能测试， 2022年12月完成系统正式投产上线，目前处于正常运行中。

六、运营情况

推广应用、系统运行情况

相关系统已覆盖全省66家农商行，同时配套安排专人监控分析，周期性出具每季度异常告警报告，按事件紧急程度采取应急响应措施。通过审计安全告警日志发现系统漏洞与风险，通知目标机构/系统负责人情况并要求整改。针对可能常见的风险/漏洞项通过钉钉群通知全省排查，形成全省安全威胁监测闭环。

七、项目成效

经济效益或社会效益

（1）落实践行国家网络安全相关法规

落实《中华人民共和国网络安全法》立法中要“加强网络安全监测预警”的要求，做到要全天候全方位感知网络安全态势，关口前移，防患于未然；做到快速发现攻击，快速地定位、拦截攻击；实现‘风险预警、威胁识别、积极管控’的目标”。

（2）提升了全省全流量和全协议的安全监测能力

基于多级联动的一体化安全威胁监测体系建设项目完善了我联社对于全流量和全协议的安全监测能力，补充安全流量分析设备，弥补了我联社与地市机构内网安全监测覆盖不足的短板，补全态势安全日志对地市机构内网的缺失，为地市农商行数据资产安全提供了坚强保障，有效地保护和提升广东省农村信用社联合社的信誉。

（3）降低成本

一是建设金融业基于多级联动的一体化安全威胁监测体系，对广东省农村信用社联合社及辖内农合机构相关数据进行集中管理，有效降低了安全监控、值守、保障的人力成本。二是通过数据分析能力（基于日志元数据湖的NTA技术、威胁检测研判、跨长时间周期的数据关联计算），有效降低了安全研判、分析的人力成本。

八、经验总结

项目建设、推广经验总结

金融业基于多级联动的一体化安全威胁监测体系建设结合部署在本地的软、硬件设备，监测系统能够对包括APT在内的高级威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，终达到对入侵途径及攻击者背景的研判与溯源。主要包括以下总结：

（1）解决省联社多法人体系安全监测难点

将辖内农商行纳入省级安全监测平台，实现安全的统一监测，联动处置，解决农商行因安全人员缺乏而导致安全监测能力不足的问题，同时实现跨地域、跨法人机构的多级分布式部署。

（2）全方面数据采集

通过对于大量包括APT攻击在内的大量高级威胁攻击的梳理分析后发现数据采集留存至少需要包括流量的原始信息和检测告警信息两个方面才能有效的对于高级威胁发现和溯源分析，流量的原始信息可以与云端下发本地可机读的威胁情报IoC进行匹配以及进行溯源分析，本地多维度检测的告警信息可以作为高级威胁检测的辅助以及检测范围的补充。

（3）多维度威胁发现

通过Gartner对于高级威胁检测的分析，可以看到目前国际上初步达成的共识是，仅仅依靠对于单一维度的检测已经无法有效的检测高级威胁攻击，对于高级威胁检测需要覆盖威胁全生命周期检测能力需要通过网络流量、流量传输中的负载、终端检测以及网络和终端的流量结合威胁情报进行统一分析威胁发现。

（4）精准的溯源分析

依托轻量级大数据搜索技术的快速回溯能力,基于搜索技术的数据分析平台可对本地抓取的海量数据进行快速检索从而进行高效分析，对内网的攻击行为进行历史回溯。在本地数据的存储和检索方面，使用ElasticSearch检索平台做为基于搜索技术的数据分析平台基础，可进行定制化修改，并配套大量的检索和分析软件以对数据做到高效分析。