一、项目背景

随着互联网的普及和信息技术的快速发展，各种网络攻击手段层出不穷，企业和个人的安全受到的威胁日趋严重。银行业面对网络安全威胁面临更大的挑战，具体体现在以下几方面：

1.数据量大：整体流量庞大，导致出现网络攻击事件后，难以在这些海量数据中追查攻击行为和攻击者。

2.网络和业务环境复杂：网络环境包含分布式的数据中心、分支机构、云服务等；业务系统存在节点多，访问关系复杂的情况。网络和业务的复杂性往往对攻击事件溯源造成比较大的影响。

3.安全威胁多样化：银行业属于各类黑客组织和个人的重点“关照”对象，面临的安全威胁多种多样，不乏0day攻击、APT攻击、社会工程学攻击等手法。传统的安全产品难以应对这些多样化的安全威胁。

吉林农信在此严峻背景下，采用基于网络流量分析（Network Traffic Analysis, NTA）技术的安全分析系统补全网络安全运维工作中缺乏的安全感知能力、威胁追踪能力、扩线分析能力。通过全流量方式达成以下安全运维效果：

事前预防：利用流量可视化能力，看见资产，看清安全洼地，看透安全隐患；

事中分析：异常行为检测分析实现威胁追踪，在攻击造成实际破坏之前及时处置；

事后回溯：利用全量数据对安全事件进行回溯和调查，对攻击事件的影响和系统防御和处置效果进行评估。

二、项目方案

1.平台架构

该项目采用分层架构模式，分别为原始流量调度层、流量采集层、分析层和展示层。下面具体介绍各层级内容：

原始流量调度层

该层主要包含网络设备的镜像流量，通过TAP交换机进行流量汇聚。

流量采集层

该层对接到原始的网络镜像流量。接入过程可进行流量筛选，如去重、协议过滤、IP过滤等。

分析层

该层能够从IP、会话、应用等多个维度生成统计信息；实现元数据解析、文件还原、数据流还原；实现特征值检测、行为模型检测。

展示层

将原始数据流量和生成的各类分析数据进行输出，能够实现攻击聚类、威胁路径、资产画像、威胁狩猎等高级功能。

2.流量监控点规划

结合我社实际情况，从攻击者角度思考攻击者的攻击路径，分析进入内部网络的可能路径，进而在攻击者进行攻击的可能路径上部署检测点。同时流量监控点需要尽量为明文流量，也就是SSL卸载后的采集点。目前流量监控点包含：互联网出口位置、外联接入区。

三、创新点

该全流量安全项目是一个多种技术结合的防护方案，其关键创新点在于：

1.无死角全流量检测：通过在网络关键节点部署网络镜像点，能够实现对网络流量的全面监控，及时发现并定位异常行为和潜在威胁。有效防止安全风险在网络中蔓延。

2.深度国产化：该项目硬件采用全国产化方案，从芯片到操作系统都达到了信创要求；软件方面包含具备自主知识产权的客户端软件和流量分析组件。

3.全面防御体系：该项目将以往传统安全产品不具备的攻击事件回查分析、扩线分析等功能进行了补全，能够在安全事件发生的事前进行预警；事中进行攻击溯源；事后进行攻击源回查分析。构建了一个全面、立体化的安全防护体系。

四、技术实现特点及优势

该项目主要基于流量分析技术实现，包含以下技术特点：

1.全网通信可视

从用户的应用角度出发，提供控制台分析工具和分析中心作为统一、集中的监控平台。通过对我社网络的集中监控管理，全面掌握各类关键通讯数据，为安全运维人员提供透明可视的网络，实时监控网络之间的通讯，将杂乱无序的网络通讯进行有序梳理。一旦发现异常，及时还原网络节点间的真实通信行为，快速还原并锁定攻击数据。

2.发现未知攻击

安全防御的能力取决于安全感知能力，安全感知能力的重点在于对未知安全威胁的感知能力，本系统提供从数据包、数据流、网络会话、协议元数据日志、统计数据、网络行为模型等多维度、多层次数据进行检测，帮助安全运维人员透析更多网络流量内容，看得清、看得透、看得全，能够在网络攻防对抗中发现更多未知威胁。

3.全量数据存储

大部分网络攻击事件都需要通过事后的关联和回溯分析后才能有效定性和取证，这就要求必须对原始全量数据进行完整保存，并能快速回溯关联的数据内容。通过海量数据的存储，保证当前检测到的攻击行为与历史流量进行关联，实现完整的攻击溯源和攻击调查与取证分析。

五、项目过程管理

项目各阶段的实施周期：

1.需求收集整理：2022年7月；

2.项目实施：2022年8月；

3.测试及试运行：2022年8月-9月；

4.上线运行：2022年10月。

六、运营情况

该系统上线后，在“七一重保”和“护网行动”等重要网络安全活动中发挥了较大作用。如利用文件还原功能提取钓鱼邮件附件、通过全流量数据分析佐证安全报警正确性等。在日常工作中能够借助系统的全量数据回查功能回查log4j等0day漏洞和验证安全产品防护效果。

七、项目成效

项目实现了基于网络流量的安全运维能力，包括攻击事件感知、回查、分析等多个方面。具体体现以下几点：

1.全面感知网络威胁

能够基于全流量，实现全天候全方位实时地识别网络流量数据，发现未知威胁、木马通讯、隐蔽信道等异常行为。利用流量可视化能力，看见资产、看清安全洼地、看透安全隐患，构建灵敏的网络威胁感知能力，展示全方位的网络安全态势。

2.及时止损与快速响应

安全运维人员能够通过安全事件关联分析，完整扩线各类事件数据，判断告警的准确性、严重性及威胁事件的结果，进行影响面评估，发现安全弱点和盲点，并及时采取相应处置措施，阻止事态继续发展。

3.数据取证与责任判定

对网络原始通讯数据进行全流量完整保存，通过秒级提取海量历史流量数据，还原网络安全事件发生时的全部网络通讯内容，实现数据包级的数据取证和责任判断，并对攻击事件的影响和处置效果进行长期跟踪与评估。

八、经验总结

本项目为基于流量进行的安全运营实践。项目建设过程中考虑到了新兴技术应用和吉林农信现状，从解决实际问题的角度出发，实现了围绕安全攻击事件前、中、后各个阶段的解决方案。项目一方面采用软硬件全国产化的方式，做到了安全可靠，自主可控；一方面基于网络镜像监控点，做到了网络安全的无死角的全面监控。本项目上线后在日常运维和重保场景中均有不俗表现，后续将继续推进网络安全运维能力的提升。