安全七八談 | 我國態勢感知發展（6）：中國移動態勢感知應用實踐

張家口，壩上草原。2019年7月1日

中國移動安全威脅分析與預警平臺利用現有的安全系統、安全設備，逐步演進為「安全數據集中存儲、安全威脅分析與預警場景不斷擴充、分析能力與數據對外開放」的高價值安全信息存儲及分析平臺；充分探索新技術，跟蹤重要安全問題方法方法、加快對安全威脅的認知實現及有效預警。

中國移動業務支撐網安全威脅分析與預警平臺主要由功能呈現層、場景分析層、安全數據中心SDC層三個層面組成組成。

功能呈現層包含了安全威脅分析與預警平臺的主要用途，包括安全態勢展示、安全告警監控、安全預警監控、安全威脅情報管理、安全態勢大屏展示，同時提供原始日誌與標準化日誌的智能搜索功能，以及本平臺的系統管理入口和相關接口。

場景分析層定義了安全威脅分析與預警平臺的分析方法與分析能力，其中分析方法採用了分析引擎、分析場景、分析輸出的分別定義，本期分析場景包括適用於外部攻擊分析的網絡威脅分析場景、系統安全分析場景，以及用於內部威脅分析的用戶行為分析場景。

安全數據中心層（簡稱SDC）是一個具有獨立服務能力的數據中心，實現各類安全數據的採集、處理、匯聚、存儲、檢索能力，並向上提供數據訂閱接口。該中心以接口形式向安全威脅分析與預警的分析提供輸入數據，同時接口也供中國移動業務支撐網的其它安全能力開放。

1、數據採集範圍

安全威脅分析與預警平臺的數據採集範圍是業務支撐系統的主要應用系統自身的安全數據及配套的安全類數據、管理類數據、資產及結構數據、流量統計數據，這些應用系統包括但是不限於BOSS系統、CRM系統、經營分析系統、運營管理系統、VGOP/ESOP系統、SMP系統、4A系統、電子渠道上系統、雲管理平臺、大數據管理平臺、能力開放平臺。

安全數據中心將存儲包含有安全類、管理類、審計類、流量類、基礎類，共5大類數據，43種具體數據，在實際建設中可根據數據來源設備產品特點對應和擴充。

1.1、安全類數據

安全類數據是安全威脅分析與預警採集的主要數據，包含了各類網絡設備、安全設備的日誌；來自安全評估與檢測平臺的安全配置、漏洞、弱口令及管理合規符合情況；安全威脅情報信息，來自SMP的安全運行數據等。

1.2、管理類數據

管理類數據涉及人員、工單流程與資產數據，用於形成安全威脅分析與預警所需要的基礎環境數據。在管理類數據中修訂和增加了4A基礎數據的內容，包括自然人、主帳號、從帳號、組織機構、主從帳號關聯、角色數據，這部分數據需要從4A平臺採集。同時工單類數據增加了金庫工單的內容，這部分數據需要從工單系統或4A平以採集。

1.3、審計數據

為了分析人員的操作層面的安全情況，用於支撐人員畫像等分析場景，從正常形態的指標中分析出異常的行為操作，需要採集審計類的數據包括兩部分：4A審計標準化日誌全量和4A審計原始日誌全量。

1.4、流量數據

為了分析網絡層面的安全情況，用於定義正常形態的網絡流量以判斷異常威脅，需要採集的數據包括數據流量統計類的數據，如NETFLOW、NETSTREAM和五元組統計數據。

1.5、基礎數據

為豐富資產、流量、攻擊等信息的價值，需要對相關產品與地址定位信息信息等資料性數據進行收錄管理，此類數據通過人工方式維護。

2、安全威脅分析與預警場景

安全威脅分析與預警的場景是利用大數據分析技術對平臺存在的主要安全威脅和攻擊事件進行檢測。利用業務支撐平臺的安全日誌和基礎信息，對內外部安全威脅狀況從網絡威脅分析、系統安全分析和用戶行為分析三個維度進行態勢安全分析。同時並利用安全威脅情報識別出潛在被攻擊行為。安全威脅分析與預警的場景為安全態勢展示、安全告警監控、安全威脅情報管理等上層應用提供數據支撐。

2.1、網絡威脅分析

攻擊檢測分析：攻擊檢測分析是對來自網際網路的攻擊的原始數據進行標準化處理之後，再進行多維度統計分析，根據不同的分析結果，進行告警、態勢、趨勢預警輸出，用於支撐網絡威脅態勢、安全告警監控展示。

異常流量檢測分析：通過安全設備日誌分析和流量數據的基線檢測方法對DOS/DDOS攻擊和其他異常流量進行檢測分析。

攻擊畫像：攻擊畫像圍繞兩個維度進行，分別為資產角度和攻擊角度對攻擊進行畫像，以資產維度分析，識別並深入分析資產受到的攻擊、安全現狀等。以攻擊維度分析，識別攻擊者的歷史攻擊態勢、攻擊方式偏好、攻擊時間偏好、攻擊威脅源等，以便有針對性的進行攻擊防護。

2.2、系統安全分析

系統攻擊分析：系統攻擊指系統資產受到惡意攻擊，進入資產內進行非法惡意操作對資產造成安全風險，安全威脅與預警平臺通過大數據技術綜合分析各類安全數據，分析多種系統攻擊現象。

脆弱性分析：脆弱性分析指通過關聯分析資產自身存在的安全脆弱點和脆弱點被攻擊者利用的安全事件，來發現系統資產中已被攻擊者利用進行攻擊的安全隱患。

2.3、用戶行為分析

用戶異常行為分析：通過用戶行為基線，形成用戶分析策略的規則中的閥值，再與系統數據、日誌數據的進行比對，篩選出不在正常範圍的用戶行為，並對分析的結果進行告警或預警通知。

用戶畫像：運用大數據的技術，匯總用戶相關的歷史、檔案、行為得出個體和群體在一個長期時間範圍內穩定的數據特徵，從而描繪出用戶的信息全貌。

3、安全威脅分析與預警平臺功能

安全威脅分析與預警平臺主要功能包括安全態勢展示、安全告警管理、安全預警展示、安全威脅情報管理、安全態勢大屏展示，同時提供原始日誌與標準化日誌的智能搜索功能，以及本平臺的系統管理和數據管理入口。

3.1、安全態勢展示

安全態勢展示功能是用來向用戶提供安全威脅與預警信息查看和分析的入口，通過歷史安全數據的歸納總結、實時安全威脅分析以及對態勢發展情況的預測評估，來全面描述全網的安全情況、影響評估和態勢演化。包括綜合安全態勢、重要業務系統態勢、網絡威脅態勢、系統安全態勢、用戶行為態勢、安全態勢報告等

3.2、安全告警管理

安全告警監控：告警監控功能展示內外部威脅分析產生的安全告警，包括網絡威脅告警、系統安全告警、用戶違規行為告警。

安全告警處理：安全威脅分析與預警平臺分析產生告警，安全告警監控人員依據省公司安全管理辦法在本平臺進行告警的確認或清除，需要各業務部門或系統處置的安全告警，由安全監控人員在本平臺進行BOMC告警工單派發，安全告警工單處理流程通過BOMC系統實現。

安全告警處置庫：安全告警處置庫是與具體安全告警相關聯的知識性材料，是一份資料性、文檔性的說明信息，用於說明安全告警的意義、處置建議、相關參考、級別等。

3.3、安全態勢預警

趨勢預警：展現由趨勢分析與預測產生的網絡威脅預警和系統安全預警。預警類型包括攻擊檢測預警、異常流量預警、弱口令分析預警。

威脅情報預警：展現安全威脅事件（通過外部威脅情報，關聯分析出本地安全威脅事件）。

脆弱性預警：展示通過外部漏洞數據與本地資產關聯產生的預警（本地資產漏洞信息）。

3.4、安全威脅情報管理

安全威脅情報管理用於支撐外部威脅的分析和定位，功能包括威脅情報獲取、威脅情報輸入與維護、外部資產發現和監控、情報關聯分析。

3.5、智能搜索

智能搜索是安全威脅分析與預警平臺的日誌搜索入口，提供關鍵字組合輸入功能，實現日誌快速檢索，包含原始日誌搜索、標準化日誌搜索、自定義搜索模板和歷史搜索快照。

本文相關連結：