网络安全行为分析方案介绍

1、网络安全行为分析方案介绍 TSOC-NBA目录用户面临的挑战应用场景成功案例2TSOC-NBA网络行为分析模块介绍服务优势当前面临的挑战之网络无秩序随着科技的不断发展，网络的作用及面临的风险也在不断扩大，没有详细要求的无序的网络使用模式已经无法满足网络安全的越来越高的要求。我们需要建立一套完善的、适用自身业务需求的网络秩序。网络秩序：网络井井有条的状况。为维护企业网络安全，员工必须遵守的行为规范。当前面临的挑战之网络无秩序Tip：对于网络秩序的建立，如同交通秩序一般，最重要的是要有手段对网络中现行的访问关系清晰明了的展现出来，才能更好的设定规则，并监督规则的执行。如何建立网络秩序？当前面临的挑

2、战之APT威胁Tip：关注“行为异常”，因为无论是隐蔽通道、恶意代码、漏洞利用，未知威胁或APT的存在一定会给网络流、网络访问行为带来“异常”。隐蔽能力强攻击空间路径不确定攻击渠道不确定长持续性当前面临的挑战之云环境云计算迅猛发展，网络边境模糊、消失，传统信息安全防护体系失效。当前面临的挑战之云环境Tip：业务流的边界来说是没有改变的，如果从业务访问行为的角度进行安全分析，则不受云环境的影响。当前面临的挑战之大数据大数据时代来临，海量网络数据，如何发现信息安全问题？Tip：微观的分析和检测遇到了瓶颈，那么宏观层面的行为模式分析和检测则更为重要。当前面临的挑战之BYODBYOD安全管理严重缺失

3、盲目应用导致企业“零隐私”Tip：对于新出现在网络中的设备要及时进行告警，并且对其访问进行合规性判定。结论需要一个采用宏观分析方法对内网业务流进行可视化展现和合规性分析，并能够对资产进行持续性监测的产品，以协助客户梳理并建立网络秩序，提高网络安全等级，应对大数据、云计算及APT攻击等新兴技术的挑战。目录用户面临的挑战应用场景成功案例11TSOC-NBA网络行为分析模块介绍服务优势泰合TSOC-NBA网络行为分析模块12SPAN*Flow日志告警事件USM综合分析与呈现NBA网络行为分析是什么？部署在内网中，实现内网通讯流量的可视化，进行网络通讯的行为建模，并以此发现网络异常（包括入侵和违规）长

4、什么样？硬件盒子，千兆可多路抓包，也可直接采集*Flow可与USM集成部署，也可以独立部署核心技术创新的VFlow（VenusFlow）流描述语言定义了37个流属性，还支持属性扩展基于流的行为建模（Flow-based Behavior Profiling）基于行为的分析，而非基于特征的分析国内第一款流安全分析产品TSOC-NBA系统特点13网络秩序分析业务访问关系自动发现行为合规检查资产持续监测行为追溯TSOC-NBA业务行为可视化业务访问关系自动发现14网络秩序分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现TSOC-NBA无需手动连线，自动形成业务访问拓扑图网络秩序

5、分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现行为合规检查15TSOC-NBA黑名单白名单全网行为灰名单业务上有应用需求，访问控制策略中允许的访问关系。业务上无应用需求，访问控制策略中禁止的访问关系。业务应用需求无知，还没有设置相应的访问控制策略。网络秩序分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现资产持续监测16TSOC-NBA行为追溯17网络秩序分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现TSOC-NBA多维度可视化展现18网络秩序分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现TSOC-NB

6、ANOYES网络秩序分析19网络秩序分析行为合规检查资产持续监测行为追溯业务行为可视化业务访问关系自动发现TSOC-NBA其他功能-告警管理其他功能-报表报告灵活的内置报表编辑器用户可以自定义报表，包括报表样式、统计内容、图表形式22与泰合安管平台TSOC-USM对接将流分析和包分析结果以事件的形式发送给USM在USM中将这些事件会同其他事件进行综合的事件分析，譬如事件关联分析、宏观态势分析进行攻击场景还原从事件分析到流分析24事件采集事件：是对IT基础设施工作过程的记录事件分析的缺陷透过事件难以还原攻击/违规的事发现场事件记录可能不全，导致难以作出准确的研判对于安管平台，仅分析事件是不够的E

7、vent Never Enough！流：是对IP节点之间会话信息的记录流分析的优势流信息能更加详实地再现攻击/违规的事发现场流分析可以作为事件分析的补充对于安管平台，不仅要分析事件，还要分析流Flow is Complementary !事件采集流采集TSOC-NBA系统架构25流量采集器（并行）基于行为的流量建模周期性模型预测模型动态行为模型库Model Repository动态行为模型库持久化异常检测基于特征的检测基于黑白名单的检测基于行为的检测流量异常特征库匹配创建/更新流数据多维分析多维分析缓存告警管理黑白名单库依据基线比较告警库二次检测告警策略响应处理全流数据库聚合流数据库数据聚合数

8、据聚合流数据聚合实时分析历史分析实时展示统计分析报表管理流转发*FLowTCP/UDP流控制器流提取标准化流提取标准化流提取标准化流接收流生成器上级/外部系统vFlow数据包采样/过滤数据流分组/计算数据统计/汇聚流数据输出数据报文解析TCP/UDP匹配源设备源设备源设备下级/流量采集器持久化流缓冲镜像抓包包追溯取证分析包存储包存储库TSOC-NBA产品型号26型号规格指标TSOC-NBA-5400网络行为分析平台专用标准2U机架式千兆平台和安全操作系统，6个千兆电口（1个管理口，2个电口侦听口，最大可扩充至5个电口侦听口），冗余电源，存储容量2TB。最大可支持2.5G网络流量的实时接收采集（

9、多路）。TSOC-NBA-8400网络行为分析平台专用标准2U机架式千兆平台和安全操作系统，6个千兆电口，4个SFP插槽（不含接口模块，1个管理口，2个电口侦听口，最大可扩充至5个电口侦听口，4个光口侦听口），冗余电源，存储容量2TB。最大可支持4G网络流量的实时接收采集（多路）。TSOC-NBA部署方式共享Hub端口镜像TAP分接旁路部署、即插即用，对业务网络没有任何影响TSOC-NBA典型部署模式28TSOC-NBA产品优势基于行为的异常分析强大的可视化能力明晰的流分析理念插件式的协议快速扩展基于策略式、灵活的流监控与流分析能力基于cupid平台的众多功能特点。目录用户面临的挑战应用场景成

10、功案例30TSOC-NBA网络行为分析模块介绍服务优势基于流量行为分析的威胁感知流量分布异常、Dark域名检测、Dark IP检测、未知安全威胁感知功能流量回溯分析7*24小时不间断的全线速网络流数据存违规外联分析、违规内部访问、合法操作的违规行为、网络配置不合理、自动化合规审计业务合规审计策略式多维度网络流量分析、拓扑方式直观展现网络流量、业务交互关系可视化展示、分布式流量监控、七层应用流量分析基于策略的网络及应用流量分析应用场景持续的资产分析违规外联分析重要的服务器，网络设备等主动连接外网，这是不合理的防火墙等网关设备虽然也可以按源目的地址阻断，但是无法主动发现此类主动尝试的行为违规内部访

11、问地址为市场部门的IP访问公司财务服务器。合法操作的违规行为具备访问权限，但突然大量下载数据或文件网络配置不合理自动化合规审计策略式多维度网络流量分析拓扑方式直观展示网络流量业务交互关系可视化展示安全域安全域；子域子域；设备设备分布式流量监控能力展示全网总部和分支所有流量，实现层次化的分级流量监控七层应用流量分析流量回溯分析7*24不间断持续分析，2T存储空间基于流量行为分析的威胁感知持续的资产分析未知IP预警目录用户面临的挑战应用场景成功案例45TSOC-NBA网络行为分析模块介绍服务优势某电力调度系统客户需求分析解决封闭网络下（工业控制环境）的两个问题：海量告警过滤问题，精确定位告警业务流

12、量的可视化期望通过三个方面展示网络拓扑：物理连接图：传统的设备物理连接图。网络逻辑图：详细展示IP资源分布的网络逻辑图。业务逻辑图：展示业务连接关系的逻辑图。某电力调度系统103、104规约数据聚合实时监控业务流量行为规则检测存储FLOW级历史数据回溯告警联动某电力调度系统项目总结不同于传统网络中流量行为的多样化，工业控制网络的网络行为具有强烈的标准性和计划性。TSOC-NBA流量分析能够精确的建立网内业务流量的黑白名单体系，进而发现一切计划外的行为，从而达到对网络行为现状的描述与行为合规的审计。项目中定制开发了电网专有协议（103规约、104规约等）的协议解析功能，更好的对电网环境进行支持。

13、与TSOC-USM结合，实现事件与流量两种分析技术的结合，更加详尽的对网络内的行为进行分析与预警。某军工项目项目需求作为国家军工行业的代表，XXX是各方敌对势力关注的焦点，其涉密系统必须提升发现未知威胁的能力，在现有防护的基础上，改善现状，通过综合多方论证、智能关联分析、攻击信息共享等手段来实现对未知威胁更快速的感知和深度分析，以及对未知安全事件的回溯评估、检测和取证。需求分析基于客户的业务实际和安全特点，我们提出了“基于业务流异常行为特征分析” 监控检测思路。核心的理念是涉密系统中业务访问流程在网络行为轨迹是可以做到精确可寻的，任何攻击或异常操作都会在行为、流量、时间、路径等因素上表现出异常

14、，通过对业务流全路径动态行为的综合分析，实现对未知网络攻击和各种异常操作的检测、发现、定位。这是对现有防护体系的有力补充和完善。某军工项目解决方案基于异常，从业务安全需求出发，总结出关键业务流程白名单根据关键的业务IT路径，生成相应的IT合规规则建立从用户到服务器的业务访问路径对应关系监控链条依据建立的白名单及已有的安全设备，通过TSOC-NBA从非法用户访问、合法用户非法访问、服务器间非法访问等三个方面调动关键路径上进行异常监控，对不符合当前业务要求的操作和流程进行分析和判断某军工项目项目总结通过建立关键业务流程白名单达到了以下目的：对未授权IP违规访问的监测和报警对合法用户对应用系统服务器

15、非授权的访问监测和报警服务器作为跳板时的违规访问关系监控方法：业务访问白名单目标：建立关键人员、关键 路径、关键资源的业务访问链路，并进行监控，判断异常；综合行为分析平台目录用户面临的挑战应用场景服务优势52TSOC-NBA网络行为分析模块介绍成功案例完备的产品资质与诸多荣誉国家版权局计算机软件著作权登记证书公安部计算机信息系统安全专用产品销售许可证保密局涉密信息系统产品检测证书中国信息安全测评中心信息技术产品安全测评证书EAL3级中国人民解放军军用信息安全产品认证证书2006年度计算机网络和信息防护解决方案优秀奖2006年度中国计算机报编辑选择奖计算机世界2008年度产品奖CCID 2008

16、年2013年连续六年中国SOC安全管理平台市场占有率第一53完善的安全知识库，并可以升级提供知识库定期更新升级54启明星辰专门成立了泰合中心负责泰合TSOC的研发、咨询、项目实施与运维。泰合中心分别在北京、上海设有研发中心，总人数超过200人。资深的平台咨询、定制开发和实施能力55资深的平台咨询、定制开发和实施能力56泰合中心能够根据用户自身的特点和需求提供行业化、客户化的安全管理平台咨询、开发和实施能力丰富的业界最佳实践！泰合本部中国最早的安全管理平台研发团队之一，超过10年的技术沉淀，拥有网管、安管和运维领域的丰富经验负责安管平台类产品的研发、咨询、项目实施与运维研发中心分布在北京、上海，总人数超过200人获得了多项发明专利，承接了多项国家级项目57匹配规则包含可选字符的并行多模式匹配的方法及系统200810239201.1匹配规则包含或运算符的并行多模式匹配的方法及系统200810225563.5一种海量日志关联分析方法及系统200810225913.8一种智能特征提取方法及系统200810227753启明星辰产品研发中心、VF专家团和AD-Lab为泰