CIS網(wǎng)絡(luò)安全智能系統(tǒng)技術(shù)白皮書

1、CIS網(wǎng)絡(luò)安全智能系統(tǒng)技術(shù)白皮書Technical White Paper 目錄 HYPERLINK l _bookmark0 1技術(shù)背景6 HYPERLINK l _bookmark1 2概念及原理6 HYPERLINK l _bookmark2 概念介紹6 HYPERLINK l _bookmark3 智能檢索6 HYPERLINK l _bookmark4 攻擊路徑可視化6 HYPERLINK l _bookmark5 事件關(guān)聯(lián)分析7 HYPERLINK l _bookmark6 流量基線異常檢測7 HYPERLINK l _bookmark7 WEB異常檢測7 HYPERLINK l

2、_bookmark8 郵件異常檢測7 HYPERLINK l _bookmark9 C&C異常檢測7 HYPERLINK l _bookmark10 隱蔽通道異常檢測7 HYPERLINK l _bookmark11 威脅判定7 HYPERLINK l _bookmark12 工作原理8 HYPERLINK l _bookmark13 系統(tǒng)體系結(jié)構(gòu)8 HYPERLINK l _bookmark14 數(shù)據(jù)采集原理8 HYPERLINK l _bookmark15 數(shù)據(jù)預處理原理8 HYPERLINK l _bookmark16 分布式存儲原理8 HYPERLINK l _bookmark17 分

3、布式索引原理8 HYPERLINK l _bookmark18 事件關(guān)聯(lián)分析原理9 HYPERLINK l _bookmark19 流量基線異常檢測原理9 HYPERLINK l _bookmark20 WEB異常檢測原理9 HYPERLINK l _bookmark21 郵件異常檢測原理9 HYPERLINK l _bookmark22 C&C異常檢測10 HYPERLINK l _bookmark23 隱蔽通道異常檢測原理10 HYPERLINK l _bookmark24 威脅判定原理10 HYPERLINK l _bookmark25 3業(yè)務(wù)功能10 HYPERLINK l _book

4、mark26 日志采集10 HYPERLINK l _bookmark27 Syslog日志采集11 HYPERLINK l _bookmark28 Dataflow日志采集11 HYPERLINK l _bookmark29 Netflow數(shù)據(jù)采集11 HYPERLINK l _bookmark30 流量采集11 HYPERLINK l _bookmark31 協(xié)議解析11 HYPERLINK l _bookmark32 文件還原11 HYPERLINK l _bookmark33 流量抓包12 HYPERLINK l _bookmark34 威脅檢測12 HYPERLINK l _book

5、mark35 關(guān)聯(lián)分析12 HYPERLINK l _bookmark36 流量基線異常檢測12 HYPERLINK l _bookmark37 WEB異常檢測12 HYPERLINK l _bookmark38 郵件異常檢測12 HYPERLINK l _bookmark39 C&C異常檢測12 HYPERLINK l _bookmark40 隱蔽通道異常檢測12 HYPERLINK l _bookmark41 智能檢索13 HYPERLINK l _bookmark42 數(shù)據(jù)檢索13 HYPERLINK l _bookmark43 檢索結(jié)果鉆取13 HYPERLINK l _bookmar

6、k44 威脅可視化13 HYPERLINK l _bookmark45 威脅地圖13 HYPERLINK l _bookmark46 事件顯示13 HYPERLINK l _bookmark47 多維分析13 HYPERLINK l _bookmark48 攻擊路徑可視化14 HYPERLINK l _bookmark49 大屏展示14 HYPERLINK l _bookmark50 威脅趨勢14 HYPERLINK l _bookmark51 告警通知14 HYPERLINK l _bookmark52 設(shè)備聯(lián)動14 HYPERLINK l _bookmark53 信譽管理15 HYPERL

7、INK l _bookmark54 業(yè)務(wù)配置15 HYPERLINK l _bookmark55 關(guān)聯(lián)規(guī)則配置15 HYPERLINK l _bookmark56 流量基線配置15 HYPERLINK l _bookmark57 黑白名單配置15 HYPERLINK l _bookmark58 系統(tǒng)監(jiān)控15 HYPERLINK l _bookmark59 告警管理15 HYPERLINK l _bookmark60 日志管理15 HYPERLINK l _bookmark61 節(jié)點監(jiān)控16 HYPERLINK l _bookmark62 系統(tǒng)管理16 HYPERLINK l _bookmark

8、63 集群管理16 HYPERLINK l _bookmark64 全局配置16 HYPERLINK l _bookmark65 北向配置16 HYPERLINK l _bookmark66 系統(tǒng)管理員16 HYPERLINK l _bookmark67 安裝升級17 HYPERLINK l _bookmark68 知識庫管理17 HYPERLINK l _bookmark69 4應用實施17 HYPERLINK l _bookmark70 獨立部署檢測僵尸主機場景17 HYPERLINK l _bookmark71 與沙箱集成檢測APT攻擊場景18 HYPERLINK l _bookmark

9、72 與第三方SOC/SIEM集成檢測APT場景18 HYPERLINK l _bookmark73 5參考文檔19CIS 技術(shù)白皮書CIS Technical White PaperKey words 關(guān)鍵詞：威脅，異常，日志，關(guān)聯(lián)分析，流量基線異常Abstract 摘 要：本文介紹了CIS系統(tǒng)的應用背景，描述了CIS系統(tǒng)的實現(xiàn)與運行機制，并簡單介紹了CIS在實際環(huán)境中的應用縮略語清單List of abbreviations：Abbreviations縮略語Full spelling 英文全名Chinese explanation 中文解釋CISCybersecurity Intellig

10、ent System網(wǎng)絡(luò)安全智能系統(tǒng)CIS技術(shù)白皮書技術(shù)背景安全威脅近些年來發(fā)生巨大的變化，黑客攻擊從傳統(tǒng)帶有惡作劇與技術(shù)炫耀性質(zhì)逐步向利益化、商業(yè)化轉(zhuǎn)變。APT的攻擊迅速發(fā)展起來。APT是advanced persistent threat的縮寫，即高級持續(xù)性威脅。它是指近年來,專業(yè)且有組織的黑客，針對重要目標和系統(tǒng)發(fā)起的一種攻擊手段。APT攻擊和傳統(tǒng)攻擊源和動機有著明顯的區(qū)別，APT主要來自有組織的犯罪集團或者公司， 外國政府，目標是高價值的信息資產(chǎn)，例如商業(yè)秘密，知識產(chǎn)權(quán)，政治軍事機密等。APT攻擊者有強有力的組織性和資源保證，使得APT攻擊融合了情報技術(shù)，黑客技術(shù)，社會工程等各種手段，

11、 針對有價值的信息資產(chǎn)和系統(tǒng)進行復雜的攻擊。APT攻擊的對象，不再是信息系統(tǒng)本身，還包括可通過社會工程學攻擊的管理信息系統(tǒng)的人。而傳統(tǒng)的信息安全技術(shù)在APT攻擊面前是無效的。因為APT攻擊依賴0-Day、AET高級規(guī)避攻擊等多種技術(shù)手段，基于特征的檢測方法無法識別；APT攻擊大量使用社會工程學與協(xié)同攻擊，使得攻擊的每個階段都不滿足攻擊特征，攻擊中的每個事件都是合法的或者低安全威脅的。因此超過80%的企業(yè)遭受過APT攻擊，但絕大多數(shù)沒有察覺。以著名的針對伊朗核設(shè)施的震網(wǎng)APT攻擊為例，攻擊者并沒有廣泛的去傳播病毒，而是針對核電站相關(guān)工作人員的家用電腦、個人電腦等能夠接觸到互聯(lián)網(wǎng)的計算機發(fā)起感染攻

12、擊，以此為第一道攻擊跳板，進一步感染相關(guān)人員的U盤，病毒以U盤為橋梁進入“堡壘”內(nèi)部，隨即潛伏下來。病毒很有耐心的逐步擴散，利用多種漏洞，包括多個0-Day漏洞進行破壞，病毒更改了離心機中的發(fā)動機轉(zhuǎn)速，這種突然的改變足以摧毀離心機運轉(zhuǎn)能力且無法修復。在離心機失控后仍向控制室發(fā)出“工作正?！钡膱蟾妫o伊朗核設(shè)施造成了極大的破壞。業(yè)界對安全威脅檢測防御的思路已經(jīng)發(fā)生了巨大的變化，認識到需要從過去單一設(shè)備、單一方法、關(guān)注威脅單一階段、實時性進行檢測演進到建立縱深防御的體系，從威脅攻擊鏈的整體來看問題，因此基于大數(shù)據(jù)技術(shù)的威脅檢測和調(diào)查分析技術(shù)孕育而生。概念及原理概念介紹智能檢索智能檢索提供了一個基于

13、關(guān)鍵字條件快速查詢的頁面，在用戶進行調(diào)查取證分析時，可通過輸入的關(guān)鍵字條件快速檢索到相關(guān)的日志和流量元數(shù)據(jù)，并可以進一步查看日志和流量元數(shù)據(jù)的詳細信息。攻擊路徑可視化攻擊路徑可視化提供了攻擊過程和擴散路徑的直觀展示，可呈現(xiàn)從外部滲透、建立通道、內(nèi)部擴散到外發(fā)數(shù)據(jù)的完整攻擊鏈和攻擊上下文信息，并支持從威脅、郵件和文件的維度展示威脅影響范圍。事件關(guān)聯(lián)分析事件關(guān)聯(lián)分析是指通過兩個或者多個事件之間的關(guān)聯(lián)、統(tǒng)計或者時序關(guān)系分析異常行為， 以便發(fā)現(xiàn)僅從分析單個事件難以發(fā)現(xiàn)的安全問題。流量基線異常檢測流量基線異常檢測是通過比對檢測時流量和流量基線，同時結(jié)合流量基線異常策略，從而檢測網(wǎng)絡(luò)訪問訪問行為，發(fā)現(xiàn)違規(guī)

14、訪問、訪問頻次和訪問路徑異常。WEB 異常檢測WEB異常檢測是通過對互聯(lián)網(wǎng)出口的HTTP協(xié)議流量的分析，結(jié)合沙箱的文件檢測結(jié)果檢測通過HTTP協(xié)議的外部滲透行為，基于HTTP請求/響應特征發(fā)現(xiàn)Webshell訪問。郵件異常檢測郵件異常檢測是通過對互聯(lián)網(wǎng)出口的SMTP/POP3/IMAP協(xié)議流量的分析，結(jié)合沙箱的文件檢測結(jié)果檢測通過通過郵件的外部滲透行為。C&C 異常檢測C&C異常檢測是通過對互聯(lián)網(wǎng)出口的協(xié)議流量（DNS/HTTP/3,4層協(xié)議）的分析，檢測C&C通信異常、可疑的DGA域名訪問和HTTP周期外聯(lián)。隱蔽通道異常檢測隱蔽通道異常檢測是通過對互聯(lián)網(wǎng)出口的ICMP、DNS協(xié)議數(shù)據(jù)進行分析

15、，檢測基于隱蔽通道的數(shù)據(jù)外發(fā)行為。威脅判定威脅判定是按照預定的行為序列模式對異常檢測模型發(fā)現(xiàn)的異常行為進行關(guān)聯(lián)，并對存在關(guān)系的異常行為進行打分評估，從而生成基于攻擊鏈的威脅。工作原理系統(tǒng)體系結(jié)構(gòu)可視化層支持平臺+APP架構(gòu)。智能檢索，威脅地圖都通過APP的方式呈現(xiàn)。數(shù)據(jù)采集原理數(shù)據(jù)采集包括日志采集和原始流量采集，日志采集器負責日志采集，流探針負責原始流量采集。日志采集流程包括日志接收、日志分類、日志格式化和日志轉(zhuǎn)發(fā)。流量采集流程包括流量采集、協(xié)議解析、文件還原和流量元數(shù)據(jù)上報。數(shù)據(jù)預處理原理數(shù)據(jù)預處理負責對采集器上報的歸一化日志和流探針上報的流量元數(shù)據(jù)進行格式化處理， 補充相關(guān)的上下文信息（包

16、括用戶、地理位置和區(qū)域），并將格式化后的數(shù)據(jù)發(fā)布到分布式總線。分布式存儲原理分布式存儲負責對格式化后的數(shù)據(jù)進行存儲，針對不同類型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進行分類存儲，分布式存儲的數(shù)據(jù)主要用于威脅檢測和威脅可視化?？紤]到可靠性和高并發(fā)性能的要求，分布式存儲的數(shù)據(jù)保存在多個檢測/存儲節(jié)點，并且可以按需擴展存儲節(jié)點。分布式索引原理分布式索引負責對關(guān)鍵的格式化數(shù)據(jù)建立索引，為可視化調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。分布式索引采用了多實例自適應的索引技術(shù)和時間片抽取的分層索引結(jié)構(gòu)，索引數(shù)據(jù)保存在多個檢測/存儲節(jié)點，提供了高可靠性和高并發(fā)索引能力，支持按需彈性擴展索引。事件關(guān)

17、聯(lián)分析原理關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。關(guān)聯(lián)分析采用了高性能的流計算引擎，關(guān)聯(lián)分析引擎直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進行在線分析。系統(tǒng)預置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認為它們之間存在對應的關(guān)聯(lián)關(guān)系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。流量基線異常檢測原理流量基線異常檢測主要解決網(wǎng)絡(luò)內(nèi)部的主機/區(qū)域之間（內(nèi)外區(qū)域之間、內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機之間、內(nèi)網(wǎng)主機與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機與區(qū)域之間）的異常訪問問題。流量基線是指網(wǎng)絡(luò)內(nèi)部主機之間、區(qū)域之

18、間或者內(nèi)外網(wǎng)之間的訪問規(guī)則，包括指定時間段內(nèi)是否允許訪問、訪問的頻次范圍、流量大小范圍等。流量基線可以有兩種來源：系統(tǒng)自學習和用戶自定義配置。流量基線自學習，就是系統(tǒng)自動統(tǒng)計一段時間內(nèi)（比如一個月）網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量信息，以此訪問和流量信息為基礎(chǔ)（對于流量數(shù)據(jù)，還會自動設(shè)置合適的上下浮動范圍），自動生成流量基線。用戶自定義流量基線：用戶手工配置網(wǎng)絡(luò)內(nèi)部各主機、區(qū)域以及內(nèi)外網(wǎng)之間的訪問和流量規(guī)則。流量基線異常檢測將自學習和用戶自定義的流量基線加載到內(nèi)存中，并對流量數(shù)據(jù)進行在線統(tǒng)計和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。WEB 異常檢測原理WEB異常檢測

19、主要用于檢測通過WEB進行的滲透和異常通信，從歷史數(shù)據(jù)中提取HTTP流量元數(shù)據(jù)，通過分析WEB請求數(shù)據(jù)、WEB響應數(shù)據(jù)和WEB通信行為發(fā)現(xiàn)WEB異常訪問。通過分析HTTP協(xié)議中的URL、User-Agent、Refer和上傳/下載的文件MD5等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測下載惡意文件、訪問不常見網(wǎng)站和非瀏覽器流量等異常。通過從HTTP流量中提取WEB請求特征和WEB響應特征，利用機器學習的算法發(fā)現(xiàn)可疑的WebShell訪問。郵件異常檢測原理WEB異常檢測主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過分析SMTP/POP3/IMAP協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件

20、等信息，并結(jié)合沙箱文件檢測結(jié)果，離線挖掘和檢測收發(fā)件人異常、下載惡意郵件、訪問郵件服務(wù)器、郵件正文URL異常等。C&C 異常檢測C&C異常檢測主要通過對協(xié)議流量（DNS/HTTP/TLS/3,4層協(xié)議）的分析檢測C&C通信異常?；贒NS流量的C&C異常檢測采用機器學習的方法，利用樣本數(shù)據(jù)進行訓練，從而生成分類器模型，并在客戶環(huán)境利用分類器模型識別訪問DGA域名的異常通信，從而發(fā)現(xiàn)僵尸主機或者APT攻擊在命令控制階段的異常行為?；?,4層流量協(xié)議的C&C異常檢測根據(jù)CC通訊的信息流與正常通訊時的信息流區(qū)別，分析CC木馬程序與外部通訊的信息的特點，區(qū)分與正常信息流的差異，通過流量檢測發(fā)現(xiàn)網(wǎng)絡(luò)中

21、所存在的CC通訊信息流。對于基于HTTP流量的C&C異常檢測采用統(tǒng)計分析的方法，記錄內(nèi)網(wǎng)主機訪問同一個目的IP+域名的所有流量中每一次連接的時間點，并根據(jù)時間點計算每一次連接的時間間隔，定時檢查每一次的時間間隔是否有變化，從而發(fā)現(xiàn)內(nèi)網(wǎng)主機周期外聯(lián)的異常行為。隱蔽通道異常檢測原理隱蔽通道異常檢測主要用于發(fā)現(xiàn)被入侵主機通過正常的協(xié)議和通道傳輸非授權(quán)數(shù)據(jù)的異常，檢測方法包括Ping Tunnel、DNS Tunnel和文件防躲避檢測。Ping Tunnel檢測是通過對一個時間窗內(nèi)同組源/目的IP之間的ICMP報文的載荷內(nèi)容進行分析和比較，從而發(fā)現(xiàn)Ping Tunnel異常通信。DNS Tunnel檢

22、測通過對一個時間窗內(nèi)同組源/目的IP之間的DNS報文的域名合法性檢測和DNS請求/應答頻率分析，從而發(fā)現(xiàn)DNS Tunnel異常通信。文件防躲避檢測通過對流量元數(shù)據(jù)中的文件類型的分析和比較，從而發(fā)現(xiàn)文件類型與實際擴展名不一致的異常。威脅判定原理威脅判定根據(jù)多個異常進行關(guān)聯(lián)、評估和判定產(chǎn)生高級威脅，為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。威脅判定按照攻擊鏈的階段標識/分類各種異常，并以異常發(fā)生的時間為準，通過主機IP、文件MD5和URL建立異常的時序和關(guān)聯(lián)關(guān)系，根據(jù)預定義的行為判定模式判定是否高級威脅，同時根據(jù)相關(guān)聯(lián)的異常的嚴重程度、影響范圍、可信度進行打分和評估，從而產(chǎn)生威脅事件。業(yè)務(wù)功能日志采集

23、通過優(yōu)化的多管道并發(fā)處理機制，實現(xiàn)日志/事件的高性能采集和預處理，主要功能包括：Syslog 日志采集支持采集第三方系統(tǒng)（ArcSight）和安全設(shè)備（Firehunter）的Syslog日志； 支持將采集的第三方Syslog日志格式化為系統(tǒng)統(tǒng)一的歸一化數(shù)據(jù)格式；支持將歸一化的日志轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺；支持按配置的大數(shù)據(jù)平臺接收IP輪詢發(fā)送歸一化后的Syslog日志；Dataflow 日志采集支持采集華為NGFW的Dataflow格式的IPS/AV日志；支持將采集的Dataflow格式的IPS/AV日志格式化為系統(tǒng)統(tǒng)一的歸一化數(shù)據(jù)格式； 支持將歸一化的日志轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺；支持按配置的大數(shù)

24、據(jù)平臺接收IP輪詢發(fā)送歸一化后的日志；Netflow 數(shù)據(jù)采集支持采集網(wǎng)絡(luò)/安全設(shè)備上報的Netflow數(shù)據(jù)；支持將采集的Netflow數(shù)據(jù)轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺；支持按配置的大數(shù)據(jù)平臺接收IP輪詢發(fā)送歸一化的Netflow日志；流量采集通過優(yōu)化的DPI技術(shù)高效提取原始流量的協(xié)議特性，實現(xiàn)高性能的流量數(shù)據(jù)采集和協(xié) 議還原，流量采集主要功能包括：協(xié)議解析HTTP協(xié)議解析：支持解析HTTP 0.9, 1.0, 1.1版本的應用協(xié)議信息，包括請求主機名、應答碼、Refer、User-Agent、請求URL、上傳/下載的文件名；郵件協(xié)議解析：支持解析SMTP/POP3/IMAP4的應用協(xié)議信息，包括收件

25、人、發(fā)件 人、郵件主題、郵件附件名稱、郵件正文；DNS協(xié)議解析：支持解析DNS流量的應用協(xié)議信息，包括請求的域名/IP、RR類、 RR類型、資源記錄緩存時間、響應延遲、資源記錄中的IPV4/IPV6地址HTTPS協(xié)議解析：配合華為防火墻（SSL Deloader），可以解析https的流量。文件還原HTTP文件還原：支持還原通過HTTP協(xié)議上傳/下載的文件還原；郵件附件還原：支持還原通過SMTP/POP3/IMAP4協(xié)議發(fā)送的郵件的附件還原流量抓包支持按照抓包規(guī)則進行抓包，并保存成PCAP文件；威脅檢測關(guān)聯(lián)分析支持基于日志/事件的分布式在線關(guān)聯(lián)分析；支持單事件的統(tǒng)計分析和多事件的時序關(guān)聯(lián)分析。

26、流量基線異常檢測支持檢測水平掃描和垂直掃描;支持檢測主機組的端口訪問異常；支持基于自定義的流量異常策略檢測訪問頻次超限、流量超限； 支持檢測非白名單的違規(guī)訪問;支持檢測服務(wù)器新開端口； 支持檢測蠕蟲擴散異常行為；WEB 異常檢測支持檢測WEB相關(guān)的異常行為，包括：使用原始IP訪問HTTP服務(wù)，非瀏覽器訪問HTTP 服務(wù)器，通過HTTP下載惡意/可疑文件和可疑的Webshell訪問。郵件異常檢測支持檢測郵件相關(guān)的異常行為，包括：發(fā)件服務(wù)器異常，收件人異常，下載包含惡意 附件的郵件異常。C&C 異常檢測支持檢測異常的C&C通信，包括：可疑DGA域名訪問異常，惡意C&C流量異常，HTTP 周期外聯(lián)異

27、常。隱蔽通道異常檢測支持檢測通過隱蔽通道通信的異常行為，包括： Ping Tunnel異常通信， DNS Tunnel異常通信，文件內(nèi)容躲避異常。智能檢索數(shù)據(jù)檢索支持通過關(guān)鍵字、條件表達式、時間范圍對事件和流量元數(shù)據(jù)進行快速檢索，快速定 位到安全運維分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持查看數(shù)量趨勢統(tǒng)計和檢索結(jié)果詳細 數(shù)據(jù)。檢索結(jié)果鉆取支持通過事件關(guān)聯(lián)流量元數(shù)據(jù)，在流量元數(shù)據(jù)檢索結(jié)果列表可以下載元數(shù)據(jù)相關(guān)的PCAP文件，方便安全運維分析人員進一步取證分析。威脅可視化威脅地圖通過威脅地圖直觀展示企業(yè)在全球范圍內(nèi)面的威脅和最近發(fā)現(xiàn)的威脅事件，方便安全 運維分析人員能及時發(fā)現(xiàn)威脅；威脅地圖支持全球模

28、式和舞臺模式。舞臺模式可以將客戶關(guān)注的行政區(qū)域顯示到屏幕 中央，予以重點關(guān)注?？梢宰鳛槲枧_的行政區(qū)域可以細化到區(qū)縣。事件顯示支持通過普通和高級查詢條件展示符合條件的威脅事件、關(guān)聯(lián)分析事件和流量異常事 件。對于威脅事件，系統(tǒng)提供確認按鈕，允許管理員進行多次確認并保留多次的異常確認結(jié) 果。對于關(guān)聯(lián)事件，支持顯示自定義和預定義關(guān)聯(lián)規(guī)則觸發(fā)的關(guān)聯(lián)分析事件，并可以顯示觸 發(fā)關(guān)聯(lián)事件的源事件。對于流量異常事件，支持顯示自定義的流量基線異常事件，并允許管 理員進行確認，將誤報的流量異常事件加入到白名單。多維專項分析支持從惡意/可疑文件和惡意/可疑域名等多個維度直觀展示威脅分析的結(jié)果，幫助客戶 有效洞察企業(yè)面

29、臨的威脅?？梢酝ㄟ^滲透分析界面查看惡意文件的擴散次數(shù)趨勢和詳細擴散情況，包括惡意文件 下載次數(shù)和詳細擴散路徑，并支持查看惡意文件對應的沙箱檢測結(jié)果。可以通過C&C分析頁面查看被入侵主機連接惡意域名的C&C異常通信行為的趨勢、源 主機請求的惡意域名等信息，對于惡意域名可以通過直觀的可視化查看源主機和網(wǎng)絡(luò)中惡意 域名的訪問關(guān)系。情報檢索支持根據(jù)IP地址、域名、URL和文件HASH值等條件進行情報檢索。在對威脅事件進 行調(diào)查取證分析時，可以對威脅事件中可疑的IP/域名/URL進行情報檢索，并根據(jù)威脅情報 檢索結(jié)果進行攻擊確認。攻擊路徑可視化支持從威脅、郵件和文件多個維度展示攻擊擴散路徑和影響范圍。在

30、威脅維度的攻擊擴散展示維度，有效呈現(xiàn)高級威脅的多個攻擊階段，包括：外部滲透階段、命令與控制階段、 內(nèi)部擴散階段、數(shù)據(jù)竊取階段，并直觀清晰呈現(xiàn)來自不同地區(qū)的外部攻擊源/命令控制服務(wù)器和企業(yè)內(nèi)部受到危害和影響的主機。大屏展示提供大屏展示功能?？蓪⒕W(wǎng)絡(luò)安全狀態(tài)信息以圖表形式呈現(xiàn)在大屏上，便于匯報、展 示、實時監(jiān)控等。支持在屏幕比例16:9，分辨率1920*1080、2560*1440、3840*2160的大屏上進行綜合態(tài) 勢展示。實時展示/監(jiān)控內(nèi)容包括：全網(wǎng)安全態(tài)勢、全網(wǎng)資產(chǎn)態(tài)勢和威脅事件態(tài)勢。威脅趨勢可通過dashboard展示選擇時間段的威脅趨勢，dashboard包括： 威脅度趨勢，按類型的威

31、脅趨勢和占比。威脅報告支持生成威脅報告，威脅報告內(nèi)容包含報告概述、威脅事件分析、報告總結(jié)、附錄等。 支持威脅報告任務(wù)管理，系統(tǒng)預置日報、周報和月報任務(wù)。支持自定義威脅報告任務(wù)，可以定義區(qū)域、統(tǒng)計時段和報告格式等條件。支持生成DOCX和PDF格式的威脅報告，可以在報告列表中下載生成的威脅報告。告警通知可以針對威脅類型和狀態(tài)配置郵件/短信通知策略。設(shè)備聯(lián)動在系統(tǒng)發(fā)現(xiàn)威脅后，能夠?qū)δ繕嗽O(shè)備、資產(chǎn)執(zhí)行指定的聯(lián)動動作。通過界面，可以配 置參與聯(lián)動的設(shè)備類型、設(shè)備以及具體的聯(lián)動動作。在威脅事件命中聯(lián)動規(guī)則時，CIS就能 夠向聯(lián)動設(shè)備下發(fā)具體聯(lián)動要求，實現(xiàn)對重要資產(chǎn)的實時防護。CIS支持與華為防火墻設(shè)備聯(lián)動

32、，可以根據(jù)聯(lián)動規(guī)則的配置在檢測到指定的威脅時向NGFW下發(fā)黑名單數(shù)據(jù)，阻斷內(nèi)部主機訪問外部的惡意主機。CIS支持與華為的安全控制器SecoManager聯(lián)動，在數(shù)據(jù)中心場景，CIS可以根據(jù)聯(lián)動規(guī)則的配置在檢測到指定的威脅時通過SecoManager向防火墻下發(fā)安全策略，從而形成有效 的安全聯(lián)動閉環(huán)。CIS支持與華為的網(wǎng)絡(luò)控制器AC Campus聯(lián)動，在園區(qū)場景，CIS可以根據(jù)聯(lián)動規(guī)則的配置在檢測到指定的威脅時通過AC Campus隔離終端主機，從而有效遏制內(nèi)部擴散。信譽管理CIS根據(jù)沙箱檢測結(jié)果生成信譽保存到本地信譽庫（文件信譽、URL），并提供本地信 譽庫下載接口，支持多個防火墻定期下載更新

33、，從而實現(xiàn)本地文件信譽共享。業(yè)務(wù)配置關(guān)聯(lián)規(guī)則配置支持預置關(guān)聯(lián)規(guī)則，允許用戶自定義關(guān)聯(lián)規(guī)則；支持配置關(guān)聯(lián)規(guī)則子規(guī)則；支持配置關(guān)聯(lián)列表；支持導入/導出關(guān)聯(lián)規(guī)則流量基線配置支持啟動/停止流量訪問白名單學習，并支持白名單學習結(jié)果顯示和確認支持基于主機組自定義流量檢測策略，可以添加、刪除、修改和查詢流量檢測策略， 配置流量基線策略時，支持定義多條訪問頻次或流量超限的流量控制規(guī)則。黑白名單配置支持配置黑白名單，包括添加、刪除和修改IP黑白名單、域名白名單、郵件發(fā)件人黑 白名單和郵件收件人白名單。系統(tǒng)監(jiān)控告警管理支持查看系統(tǒng)當前告警、歷史告警，配置告警閥值、告警轉(zhuǎn)儲和告警通知；日志管理支持查看系統(tǒng)操作日志、

34、系統(tǒng)運行日志和配置操作日志轉(zhuǎn)儲節(jié)點監(jiān)控支持監(jiān)控可視化管理節(jié)點和系統(tǒng)服務(wù)狀態(tài)；系統(tǒng)管理集群管理大數(shù)據(jù)節(jié)點配置:支持集群節(jié)點管理，包括添加、刪除和修改數(shù)據(jù)分發(fā)節(jié)點/檢測存 儲節(jié)點/集群控制節(jié)點。流探針配置：支持添加、刪除和修改流探針，并支持配置流探針的抓包規(guī)則和過濾 規(guī)則；采集器配置: 支持添加、刪除和修改采集器，并支持配置采集器的日志源和發(fā)現(xiàn)日志源；全局配置證書管理: 支持配置API KEY、導入CIS證書和第三方系統(tǒng)證書；敏感數(shù)據(jù)密鑰配置：支持更新郵件正文密鑰和PCAP抓包文件密鑰敏感數(shù)據(jù)權(quán)限配置：支持配置管理員對于用戶組的郵件正文訪問權(quán)限和對于資產(chǎn)組 的PCAP文件訪問權(quán)限；數(shù)據(jù)分發(fā)配置：支

35、持配置數(shù)據(jù)傳輸使用的通信方式。存儲配置：支持配置日志和流量、PCAP文件和郵件正文的存儲周期；License管理：支持系統(tǒng)License的顯示、導入和失效管理；北向配置威脅外發(fā)：支持配置威脅事件北向轉(zhuǎn)發(fā)的目的IP/端口和外發(fā)的過濾條件；告警外發(fā)：支持刪除、修改和添加告警信息北向IP地址、日志源類型、重試次數(shù)、 超時時間、端口和用戶名；信譽查詢：支持添加、刪除和修改北向信譽查詢的賬號；通知服務(wù)器：支持配置郵件服務(wù)器的IP、端口、發(fā)件人郵箱和測試郵箱。系統(tǒng)管理員管理員：支持創(chuàng)建、刪除和修改管理員；管理員組：支持創(chuàng)建、刪除和修改管理員組；在線管理員：支持顯示在線管理員和強制用戶下線；安全策略：支持設(shè)

36、置用戶密碼、系統(tǒng)超時時間和登錄訪問等策略；認證服務(wù)器：支持配置RADIUS服務(wù)器的IP地址、端口、共享密鑰和認證方式等信 息。安裝升級系統(tǒng)安裝：提供向?qū)桨惭b界面，幫助用戶安裝集群節(jié)點的軟件；系統(tǒng)擴容：支持擴容集群節(jié)點、采集器和流探針；知識庫管理知識庫管理：支持DGA家族庫、IPS特征庫、C&C惡意域名庫管理。知識庫升級：支持手工或自動升級DGA家族庫、IPS特征庫、C&C惡意域名庫。應用實施獨立部署檢測僵尸主機場景客戶痛點：大中型企業(yè)存在互聯(lián)網(wǎng)出口，企業(yè)的安全防范措施存在問題，企業(yè)內(nèi)部存在僵尸主機， 企業(yè)運維人員希望能檢測和識別內(nèi)部僵尸主機，避免關(guān)鍵信息泄露和影響業(yè)務(wù)。解決方案：客戶購買CIS標準版，在互聯(lián)網(wǎng)出口部署流探針，在IT運維區(qū)域部署CIS集群（包括采 集器、可視化管理節(jié)點、集群控制節(jié)點、數(shù)據(jù)分發(fā)節(jié)點和檢測/存儲節(jié)點）。部署示意圖如下：獨立部署檢測僵尸主機示意圖流探針部署