運營商

OPERATOR

首頁 > 客戶案例 > 正文

中國移動浙江分公司項目案例

閱讀量：

安全審計服務

項目背景
面對當前不斷出現的安全威脅和業務復雜性的增加，安全事件發生不可避免，基于互聯網Web應用訪問日志、網絡流量日志、安全設備監控日志、安全威脅態勢等信息，如何利用大數據平臺獲取數據量大、維度全面等特性，建立安全風險監控、分析模型，及時發現潛在安全威脅及已經面臨的安全風險，采取有效防護措施，降低可能造成的損失，是浙江移動面臨的重要課題。

項目內容
對Web應用安全威脅及風險的監測∶監測網絡流量、系統日志、安全工具發現的可疑行為及成功入侵行為，包括∶各種掃描探測、惡意賬號攻擊、漏洞利用、惡意業務邏輯攻擊、網站掛馬、Web后門訪問、Web滲透、DDoS、APT攻擊等行為。
Web安全風險大數據安全分析∶通過對監測到的所有行為進行綜合分析和挖掘，建立威脅分析與數據挖掘模型，實現元數據關聯、關聯場景分析、挖掘模型分析等識別各種惡意威脅和安全風險的行為。
總體業務邏輯架構圖

—數據建模

—數據業務分析

1.典型威脅場景分析
大數據安全分析可針對采集到的日志信息，提供內置典型的威脅場景分析，判斷實時存在的高可疑威脅和已經成功的威脅

支持判斷分析非授權時間系統登錄、用戶密碼暴力破解成功、可能成功的DOS攻擊、可能的DDoS攻擊嘗試、可能成功的緩沖區溢出攻擊、可能的自動化工具入侵嘗試等
支持對可疑入侵行為進行有效檢測分析，包含攻擊者非法掃描并登錄系統成功、攻擊者非法掃描并有提權行為、攻擊者非法掃描的服務器有帳戶異常行為、攻擊者暴力破解并有提權行為、攻擊者進行高威脅行為并登錄系統成功、可能成功的上傳木馬、受攻擊服務器短時間內帳戶添加和刪除操作等?

2.Web攻擊事件深度分析
支持對Web業務系統可能遭到數據竊取、病毒爆發、蠕蟲活動和成功的弱點被利用等進行分析
支持不同源和目標的關聯跟蹤，可通過攻擊源、攻擊目的對攻擊路線進行統計，并以圖形化的方式展現，包括攻擊的行為、告警，從攻擊來源、攻擊時間、攻擊方式、攻擊結果等多個緯度綜合對事件進行追溯，快速定位確認攻擊源、漏洞成因、攻擊結果等

3. Web入侵事件深度分析
支持但不限于檢測SQL注入、命令注入、跨站腳本、代碼注入、協議錯誤、異常訪問、惡意代碼攻擊、WebShell后門程序訪問、Web滲透、Web CC等風險;支持根據來源IP、MAC、HTTP請求方法、URL、請求頭、請求參數、響應碼等內容設置審計規則，可自定義高、中、低等風險等級。
支持基于行為的關聯分析，發現更為隱蔽的Web威脅，包含SQL注入取數、表單破解、XSS測試、目錄穿越讀取文件、多人訪問 WebShell、APT攻擊等。

4.安全環境深度分析

5.安全態勢感知綜合評估分析
Web應用威脅攻擊監測日志及系統日志可上傳數據至大數據平臺，并利用大數據平臺進行安全分析，
可支持基于包括攻擊來源、目的、攻擊事件名稱等信息實現基于海量數據的綜合關聯分析、溯源分析、一致性分析、用戶終端分析、用戶群體分析、元數據關聯等。
可支持根據周期性，挖掘時間段，模式長度，模式支持度大于，挖掘數據源，挖掘模型字段，挖掘目標字段信息對數據進行聚類、分類統計分析。

—數據可視化

項目價值

大數據智能化自學習方式建模分析
通過大數據技術結合智能分析模型，將安全事件由被動防御轉變為更具智能化的主動響應
實現安全防御多平臺系統綜合縱深分析
充分利用大數據分析的優勢，將多個安全平臺的防御結果綜合分析，并結合第三方威脅情報、網絡指紋數據，更加全面深層次的分析，增大了大數據系統的安全能力
實現安全事件多維度多層面縱深挖掘
充分利用大數據分析的優勢，將多個安全事件通過時間相似性、手法相似性、攻擊者網絡指紋相似性等多個層面，多個維度縱深挖掘，深層分析攻擊者的意圖，增大了主動防御的能力
發現殘余高危漏洞，成功保障G20期間網絡安全
G20峰會期間，安全態勢感知平臺通過深度分析安全事件，成功發現高危安全漏洞，并即時告警，通知安全人員處理，成功保障了企業網絡在G20期間零安全事故

云安全>

態勢感知>

物聯網安全>

工業互聯網安全>

>

>

新一代安全服務>

偵測服務>

保護檢測服務>

監控分析服務>

應急服務>

運營管理服務>

特色服務>

>

數據安全>

基礎安全>