数字经济的安全基石

运营商

OPERATOR

首页 > 客户案例 > 正文

中国移动浙江分公司项目案例

阅读量:

安全审计服务

项目背景
面对当前不断出现的安全威胁和业务复杂性的增加,安全事件发生不可避免,基于互联网Web应用访问日志、网络流量日志、安全设备监控日志、安全威胁态势等信息,如何利用大数据平台获取数据量大、维度全面等特性,建立安全风险监控、分析模型,及时发现潜在安全威胁及已经面临的安全风险,采取有效防护措施,降低可能造成的损失,是浙江移动面临的重要课题。


项目内容
对Web应用安全威胁及风险的监测∶监测网络流量、系统日志、安全工具发现的可疑行为及成功入侵行为,包括∶各种扫描探测、恶意账号攻击、漏洞利用、恶意业务逻辑攻击、网站挂马、Web后门访问、Web渗透、DDoS、APT攻击等行为。
Web安全风险大数据安全分析∶通过对监测到的所有行为进行综合分析和挖掘,建立威胁分析与数据挖掘模型,实现元数据关联、关联场景分析、挖掘模型分析等识别各种恶意威胁和安全风险的行为。
总体业务逻辑架构图


—数据建模



—数据业务分析


1.典型威胁场景分析
大数据安全分析可针对采集到的日志信息,提供内置典型的威胁场景分析, 判断实时存在的高可疑威胁和已经成功的威胁

支持判断分析非授权时间系统登录、用户密码暴力破解成功、可能成功的DOS攻击、可能的DDoS攻击尝试、可能成功的缓冲区溢出攻击、可能的自动化工具入侵尝试等
支持对可疑入侵行为进行有效检测分析,包含攻击者非法扫描并登录系统成功、攻击者非法扫描并有提权行为、攻击者非法扫描的服务器有帐户异常行为、攻击者暴力破解并有提权行为、攻击者进行高威胁行为并登录系统成功、可能成功的上传木马、受攻击服务器短时间内帐户添加和删除操作等 

2.Web攻击事件深度分析
支持对Web业务系统可能遭到数据窃取、病毒爆发、蠕虫活动和成功的弱点被利用等进行分析
支持不同源和目标的关联跟踪,可通过攻击源、攻击目的对攻击路线进行统计,并以图形化的方式展现,包括攻击的行为、告警,从攻击来源、攻击时间、攻击方式、攻击结果等多个纬度综合对事件进行追溯,快速定位确认攻击源、漏洞成因、攻击结果等


3. Web入侵事件深度分析
支持但不限于检测SQL注入、命令注入、跨站脚本、代码注入、协议错误、异常访问、恶意代码攻击、WebShell后门程序访问、Web渗透、Web CC等风险;支持根据来源IP、MAC、HTTP请求方法、URL、请求头、请求参数、响应码等内容设置审计规则,可自定义高、中、低等风险等级。
支持基于行为的关联分析,发现更为隐蔽的Web威胁,包含SQL注入取数、表单破解、XSS测试、目录穿越读取文件、多人访问 WebShell、APT攻击等。
4.安全环境深度分析
5.安全态势感知综合评估分析
Web应用威胁攻击监测日志及系统日志可上传数据至大数据平台,并利用大数据平台进行安全分析,
可支持基于包括攻击来源、目的、攻击事件名称等信息实现基于海量数据的综合关联分析、溯源分析、一致性分析、用户终端分析、用户群体分析、元数据关联等。
可支持根据周期性,挖掘时间段,模式长度,模式支持度大于,挖掘数据源,挖掘模型字段,挖掘目标字段信息对数据进行聚类、分类统计分析。
—数据可视化


项目价值

大数据智能化自学习方式建模分析
通过大数据技术结合智能分析模型,将安全事件由被动防御转变为更具智能化的主动响应
实现安全防御多平台系统综合纵深分析
充分利用大数据分析的优势,将多个安全平台的防御结果综合分析,并结合第三方威胁情报、网络指纹数据,更加全面深层次的分析,增大了大数据系统的安全能力
实现安全事件多维度多层面纵深挖掘
充分利用大数据分析的优势,将多个安全事件通过时间相似性、手法相似性、攻击者网络指纹相似性等多个层面,多个维度纵深挖掘,深层分析攻击者的意图,增大了主动防御的能力
发现残余高危漏洞,成功保障G20期间网络安全
G20峰会期间,安全态势感知平台通过深度分析安全事件,成功发现高危安全漏洞,并即时告警,通知安全人员处理,成功保障了企业网络在G20期间零安全事故



返回