【网信案例展】金融行业睿眼Web攻击溯源实践-中关村网络安全与信息化产业联盟|从事网络安全技术研发，网络安全产品生产、销售和服务

申请入会 | 文件下载 | 联系我们

今天是：

全部

全部
产品管理
新闻资讯
介绍内容
企业网点

搜索

首页

【网信案例展】金融行业睿眼Web攻击溯源实践

2022-08-10 16:23:17

关键词：

浏览量：

“强国复兴有我，喜迎党的二十大”——网信案例展第四期！

紧跟网信前沿技术，整合行业案例资源，中关村网络安全与信息化产业联盟（以下简称“联盟”）组织开展“强国复兴有我，喜迎党的二十大”——网信案例展活动。被活动发布的案例也将有机会编入联盟2022年中国网信产业桔皮书——《数据安全》。

第四期正式发布，敬请关注！

案例名称

金融行业睿眼Web攻击溯源实践

——中睿天下金融行业网络安全实践案例

案例背景

近年来，网络安全形势愈发严峻，病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷，黑客和网络犯罪分子利用瞬息万变的技术，捕捉技术漏洞和人为错误对金融机构进行有组织的攻击，造成了数百万美元的损失和市场声誉风险，给金融行业带来了巨大的损失。

不间断的网络攻击威胁事件始终是金融机构迫需要解决的难题，金融机构需要寻找准确、有效应对安全挑战的创新解决方案，降低风险，维护消费者对金融平台的信任。

关键挑战

某金融行业客户的互联网区域部署众多Web应用，有效防护和检测Web应用安全是其信息安全领域的一项重点工作。经过多年的网络安全建设，该金融客户已初步建立了网络安全防御体系，但目前在安全监测方面仍存在较大的不足，亟需对应用系统特别是Web应用，建立安全监测机制，实时感知和检测网络中的漏洞，进一步提升其互联网出口的安全性。

解决方案

中睿天下依据Web攻击检测溯源、三层安全架构、风险管理体系的设计思路，结合该金融客户互联网业务逻辑架构，设计规划了此次解决方案的部署架构。该方案采用的部署架构是将Web攻击溯源系统通过旁路的方式接入到客户互联网专区，管理接口负责与统一监控平台进行联动，镜像接口负责采集双向进出互联网区域的Web应用层流量。同时，该方案规划部署了睿云统一监控平台，负责管理Web攻击溯源系统，在管理平面执行策略命令等管理操作。

部署架构图

该解决方案主要采用以下关键技术建立Web应用安全防御体系：

(1) 流量深度分析技术：从时间、会话、协议、事件等不同维度进行网络流量追踪分析，根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害程度；

(2) 纵深检测技术：建立纵深检测体系，覆盖攻击者攻击的主要环节。即使某一点失效和被攻击者绕过，也可以在后续的点进行补充，让攻击者很难从检测中逃逸；

(3) 攻击研判技术：智能研判技术采用智能匹配深度报文检测，操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术实现智能化、自动化的工具，对攻击事件进行关联分析、聚类分析、攻击成功研判；

(4) 攻击场景还原技术：基于攻击者视角，在攻击路径的每一个环节设置有效的检测和防御措施，通过攻击溯源技术关联分析每个攻击事件，还原攻击的全过程，揭示系统漏洞及攻击来源。

该解决方案的功能特点有以下几点：

(1) 威胁检测：从时间、会话、协议、事件等不同维度进行网络流量追踪分析，基于攻击模型与攻击行为检测，以攻击者视角出发，参考攻击者思路进行建模收集、归纳、验证攻击行为信息，并根据验证结果的危害程度，划分等级进行呈现及响应，全面展示事件的危害；

威胁检测告警

(2) 攻击研判：智能攻击研判技术采用深度报文检测、操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术，实现智能化、自动化对攻击事件进行关联分析、聚类分析、攻击成功研判；

攻击检测研判体系

(3) 攻击过程还原：对攻击事件进行深度分析，全量储存黑客的攻击路径，包括攻击次数、攻击手法、攻击工具等关键信息，将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”，极大地方便了用户对攻击态势的清晰认知。不仅如此，还可以实现攻击过程回放功能，以黑客视角真实还原出攻击细节，为后续的溯源提供了强有力的现实依据；

攻击链条

(4) 黑客攻击画像：领先的溯源技术可帮助用户最大化地搜集攻击者信息，分析攻击者的来源、身份、背景、目的，以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据，再联动云端威胁情报中心的攻击者档案，完成对黑客的精确画像。同时，系统还能依据攻击行为辨别出攻击者是否采用跳板、关联恶意域名等拓展资源，从而保障了溯源与检测的准确度；

黑客画像

(5) 告警响应处置：系统可配置邮件通知与短信通知，根据实际情况配置预警通知的选项，包含特定资产IP、威胁程度、攻击特征、攻击状态、阈值、触发时间段等，当遭受攻击事件时，可通过邮件或短信提供实时报警提示，助力安全运营人员及时处理威胁。同时支持协同处置，通过联动防火墙下发响应指令，及时阻断威胁，保护资产；

(6) 威胁可视化：系统支持3D/2D地球方式实时展示攻击详情，提供3D展示数据模式与业务模式的切换，业务模式可针对不同业务区域的划分进行威胁展示，数据模式可展示后门弱点数、攻击状态、各项威胁指标Top5等关键告警数据与统计，清晰呈现威胁态势；

3D/2D威胁态势图

(7) 安全报表：系统为用户提供威胁报告、安全周报、资产报告等丰富的报表报告。其中，威胁报告、安全周报支持导出，当前具备HTML、PDF两种类型。

威胁报告主要展示攻击统计、攻击成功事件、致命威胁事件、攻击图表统计等威胁详情；安全周报主要展示对应时间段的威胁态势，报告中提供安全评级、黑客数量、检测攻击数、成功攻击事件及黑客攻击趋势、攻击类型分布、攻击资产统计、黑客工具统计、恶意IP分布等图表统计；让安全运营人员清晰且全面地掌握威胁动态。资产报告主要展示资产的脆弱性，包括漏洞数量，漏洞特征，已处理漏洞，未处理漏洞等，提醒运营人员及时处理漏洞，降低安全风险。

中睿天下安全报告示意

案例创新性与优势

(1) 深度检测，有效发现未知威胁

采用了中睿天下自主研发的多层检测引擎，并集成了由中睿天下核心成员多年研究而成的千余种攻击模型，能够适用于不同的生产环境，使检测成功率更为精准、检测范围更为广泛、检测效果更为优良，尤其是在面对复杂攻击或0day攻击时也能具备出色的检测能力；

(2) 关联分析，精准研判攻击结果

基于多年的攻防经验，总结出基于攻击结果的研判方法论，通过挖掘数据包中的请求包与返回包信息，对攻击成功与否给予研判。并解决传统安全防御设备所面临的告警数据量大，价值信息难提取等问题，最终形成以事件为单位的聚类分析，研判出攻击伤害；

(3) 分析溯源，完整溯源安全威胁

能够对攻击事件进行深度分析，全量储存黑客的攻击路径，包括攻击次数、攻击手法、攻击工具等关键信息，将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”，清晰完整地呈现攻击态势。

最大化地收集攻击者信息，分析攻击者的来源、身份、背景、目的以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握的数据，再联动云端威胁情报中心的攻击者档案，完成对黑客的精确画像。让用户准确地知道是谁攻击了我，攻击了我什么，使用了什么手法，资产是否沦陷，窃取了什么信息；

(4)响应处置，及时消除安全风险

当威胁发生时，通过系统预算制定通知策略，可使用短信、邮件等方式进行告警；同时，通过处置联动功能，发送指令给防火墙设备，对外网IP进行封禁，对内网IP进行通信阻断，快速消灭威胁，为资产保驾护航；

(5)安全可视，清晰掌握威胁态势

能够将攻击成功事件、攻击等级、攻击次数、后门数、弱点数、威胁排行等威胁态势以3D/2D地球的方式进行可视化实时展现，让用户清晰掌握潜在安全风险及每一次发生的安全风险。

应用效果

（1）满足国家监管要求

威胁事件是网络运营人员用以了解攻击详情的最佳方式之一，所以留存威胁事件至关重要，系统可设置威胁数据库存储时间为770天，符合《中华人民共和国网络安全法》第二十一条：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，满足国家的政策要求；

（2）提高应用安全防护能力

该金融客户依靠目前已建设的安全防护体系，威胁检测主要依赖于规则库及主动防御，依然存在部分漏报、误报的现象。睿眼Web攻击溯源系统基于“攻击模型”的双向流量检测方法将会大大加强现有安全体系的检测能力，同时可以帮助其提高安全防护的整体防护能力；

（3）提高工作效率节约客户成本

此前，该金融客户通常在攻击事件发生后，需要通过人工分析大量安全设备告警信息，服务器日志等信息，才能分析出攻击的详情，以及资产的损失。通过部署睿眼Web攻击溯源系统，在事件发生的同时立即作出分析，判断攻击状态成功与否、还原攻击场景、追溯攻击者以及能够迅速判断资产弱点和后门，大大提高安全分析效率。同时第一时间得出的分析结果有助于提高响应的效率，节约大量人力资源成本；

（4）完善客户网络安全防御体系

该金融客户已部署的传统安全产品，缺乏有效的检测与响应机制，通过部署睿眼Web攻击溯源系统，不仅能有效检测到威胁并及时响应处置，同时能把攻击过程完整地展示出来，使管理者明确了解到攻击者是如何一步步进行攻击的，哪儿存在弱点和后门，并给出对应的修复方案，并且能对攻击者的攻击目的、身份背景、利益关系等进行分析溯源反制。

联盟将持续征集网信行业案例，欢迎各会员单位积极参与！

声明：本文所配图片均来自于网络，如侵犯到您的权益，请及时与我们联系，联系电话：010-57328155