一、智能安全分析决策管理

 “数据驱动安全”是更符合当今时代的安全理念——“数据”是基础，安全威胁往往隐藏在海量数据之中，拥有海量、多维及持续的数据是后续进行安全分析和挖掘的基础；“驱动”是手段，现今基于海量多维数据的存储、计算、分析、挖掘及可视化能力，是对基于特征码等过时安全技术的颠覆；“安全”是目标，只有将大数据及处理技术应用于安全攻防领域，结合安全专家的知识与经验，才能真正帮助业内从传统安全防护思路的困境中顺利走出。

“智能安全分析决策管理”能贯穿安全风险监控、分析、响应和预测的全过程，以威胁、风险、资产、业务、用户等为对象，基于安全日志、网络流量、用户行为、终端日志、业务数据、资产状态等多源数据，结合外部情报，通对全局状态评价、外部攻击评级、系统合规自检等手段，实现“事态可评估”；通过对攻击趋势分析、异常流量判断和终端行为检测，实现“趋势可预测”；通过对未知威胁的智能检测识别、流量/行为/资产的状态监控和多维度风险分析，实现“风险可感应”；通过对攻击溯源取证、工单流程闭环处理和设备策略自适应调整，实现“知行可管控”。

“安全管理管得好，安全事件应急处置急得起”，平台是一款真正基于大数据、机器学习、模式识别等技术的安全威胁感知、主动安全防御的智能统一平台。建设网络安全威胁感知联协调指挥平台，实现对重点信息系统的网络安全的威胁觉察、跟踪溯源和关分析，全面掌握网络安全态势、威胁、风险和隐患，实时监测漏洞、病毒木马、网络攻击情况，形成网信部门和其他职能部门协调联动的网络安全监测预警处置工作机制，及时向各单元组织和监管部门通报重大网络安全威胁。

1)  攻击行为分析

通过对各探针采集的实时数据流进行关联分析，包括网络流量安全事件、日志安全事件、资产、安全信息配置、内网IP地址段等信息之间采用基于规则、基于统计、基于资产的关联方法，综合分析安全告警，深度挖掘安全隐患、判断安全事件的严重程度。

2)  失陷主机分析

异常主机是指该主机已经被恶意程序所控制，成为僵尸主机、进行恶意挖矿行为或者进行DNS隐蔽通讯。

3)  历史数据分析

通过对各时间段的历史的被攻击情况、违规情况和失陷事件等数据进行关联，并进行威胁趋势的统计，综合评定主机的整体风险情况。

4)  安全态势分析

从整体上动态反映网络安全状况，并对网络安全的发展趋势进行预测和预警。借助大数据技术特有的海量存储、并行计算、高效查询、数据分析等特征手段，对全网的资产进行运行数据与日志数据等信息进行自动分析处理与深度挖掘，对网络的安全状态进行分析评价，感知网络中的异常事件与整体安全态势，并利用大屏幕展示感知信息。大屏展示需要如下：安全总览大屏、网络实时状况大屏、安全实时状况大屏、业务实时状况大屏、资源状况大屏。

5)  可视化分析

支持丰富的交互式可视化分析手段，通过直观且可交互下钻的图表，帮助安全分析人员简便快捷发现难于发现的威胁和风险。支持包括：关联关系可视化分析、网络行为透视可视化分析、事件可视化分析、行为可视化分析、攻击链可视化分析等几十种多种可视化分析方法。

可信交换防御

1)  自主流量建模

自动获取网络中的流量信息，判断各类网络资产之间的业务数据流量关系。通过一个阶段的东西向流量的自学习，并将这些信息汇总后，由策略计算绘制出一个完整的业务流模型图，辅助管理者对整个内网进行管理。

技术细节：

1.  在自学习过程中，会根据识别策略列出相应的访问源/目的IP、端口号、数据流向；

2.  流可视化：管理者通过该模型便可快速掌握网络中整个信息资产的逻辑应用关系图，该模型会将可信访问的主客体全部展现在管理者面前。

2)  全息诱捕

采用独有的专利技术——全息诱捕技术，可以在四层网络中虚拟出大量的虚拟IP和端口，从而形成海量高密度的陷阱主机，当攻击者访问陷阱主机超过设定的次数时，将该IP认为非可信客体。

技术细节：

1.  自动批量生成虚拟IP，并在IP上开启常用端口：138、139、445、1431、1521、3389。生成的IP范围、数量可自定义；

2.  自动生成的IP及端口号可访问，形成诱捕陷阱主机群，与真实主机混杂；

3.  当诱捕陷阱主机群被访问超过一定阀值后，判定改源IP为非可信IP。 阀值默认为4次，可自定义；

4.  可以通过旁路模式部署进行诱捕检测模式。在此模式下，微隔离功能失效。

3)  南北、东西向微隔离

通过自主流量建模后，会根据可信访问列表建立基于白名单的访问控制策略。把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散，只有合理的划分了网络区域，安全策略也可以更有效的实施。

技术细节：

1.      访问控制策略基于五元组的白名单模式，只允许某IP访问某IP的某个端口，其他皆不允许；

2.      管理员可对策略进行自定义调整：添加、开启、关闭、对五元组进行调整、重构。

4)  异常访问拦截

通过全息诱捕技术将非可信IP捕获后，会立即对其进行拦截动作。

技术细节：

1.  会立即拦截全息捕获的非可信IP，阻止其访问真实主机；

2.  不会拦截非可信IP继续访问陷阱主机，继续让非可信IP对陷阱进行各种操作，不让非可信IP有所察觉，留存更多痕迹以便进一步观察和判断；

3.  通过旁路方式部署时，可以与第三方主流交换机进行联动，当诱捕到非可信IP后，主动推送ALC到第三方交换机进行拦截、阻断。

5)  攻击防御

内置了完善的2—7层攻击防御模块，基于攻击特征的检测技术对经过系统的流量进行过滤，实时发现并拦截各种已知的攻击：系统漏洞利用、Web应用攻击、蠕虫木马等等。

为客户定位各种网络威胁，以及违反安全策略的流量，并提供详实、有效的指导措施，进而实现防护—检测—响应一体化的解决方案。

6)  引流功能

可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备，以便进一步分析可疑流量。通过此种方法，无需用户在网络中部署大量的交互式蜜罐，可以大大降低部署交互式蜜罐的人力、物力和财力成本。

7)  基础网络功能

VLAN功能：支持4K个VLAN；支持基于端口的VLAN。

IP路由：支持静态路由。

端口汇聚：支持多协议的端口捆绑策略。

旁路部署：支持旁路流量镜像监听。

支持SNAT和DNAT的地址转换。

支持全局访问控制。

主机网络安全行为感知

综合安全攻击识别引擎传输病毒识别部分、内网可疑主机识别引擎及网络异常行为识引擎三大技术为一体，以等保要求及内网安全管理最佳实践为方法论，对内网安全提供传输，潜伏及事中的安全风险的识别，是内网安全管理有效辅助平台。

安全基线

随着企业应用的快速变化与迭代，由此带的运维过程中服务器的不断变化，给安全管理带来的困扰。随时确认系统的配置状态是否附合企业安全方针与策略，是确认服务器安全的关键所在。基线审查模块基于等保主机的核查规则，但不限于等保，企业可基于自身的安全策略，定义基线审查规则，agent自动化核查主机配置情况，并可以与人员进行KPI绑定，形成报告，确保安全策略落地。

漏洞监控与管理

防范于未然，先于黑客发现问题，解决问题，是安全管理中非常重要的举措，可以有效的防止黑客的入侵行为。漏洞管理模块通过扫描引擎，可以对数据库、操作系统、WEB应用及弱密等进行扫描，快速撑握主机中存在脆弱点，能够降低与缓解主机中的漏洞造成的威胁和损失。

安全运营报告

安全关键功能清单

大屏可视化

二、安全大屏

采用大屏的方式，将安全威胁感知系统上的攻击威胁数据进行实时呈现。通过“全局安全态势”和“安全事件分析”两个安全维度视角，将安全状况通俗易懂的展示出来，让安全分析不再只是专业安全工程师的专利。