CIS网络安全智能系统技术白皮书

1、CIS网络安全智能系统技术白皮书Technical White Paper 目录 HYPERLINK l _bookmark0 1技术背景6 HYPERLINK l _bookmark1 2概念及原理6 HYPERLINK l _bookmark2 概念介绍6 HYPERLINK l _bookmark3 智能检索6 HYPERLINK l _bookmark4 攻击路径可视化6 HYPERLINK l _bookmark5 事件关联分析7 HYPERLINK l _bookmark6 流量基线异常检测7 HYPERLINK l _bookmark7 WEB异常检测7 HYPERLINK l

2、_bookmark8 邮件异常检测7 HYPERLINK l _bookmark9 C&C异常检测7 HYPERLINK l _bookmark10 隐蔽通道异常检测7 HYPERLINK l _bookmark11 威胁判定7 HYPERLINK l _bookmark12 工作原理8 HYPERLINK l _bookmark13 系统体系结构8 HYPERLINK l _bookmark14 数据采集原理8 HYPERLINK l _bookmark15 数据预处理原理8 HYPERLINK l _bookmark16 分布式存储原理8 HYPERLINK l _bookmark17 分

3、布式索引原理8 HYPERLINK l _bookmark18 事件关联分析原理9 HYPERLINK l _bookmark19 流量基线异常检测原理9 HYPERLINK l _bookmark20 WEB异常检测原理9 HYPERLINK l _bookmark21 邮件异常检测原理9 HYPERLINK l _bookmark22 C&C异常检测10 HYPERLINK l _bookmark23 隐蔽通道异常检测原理10 HYPERLINK l _bookmark24 威胁判定原理10 HYPERLINK l _bookmark25 3业务功能10 HYPERLINK l _book

4、mark26 日志采集10 HYPERLINK l _bookmark27 Syslog日志采集11 HYPERLINK l _bookmark28 Dataflow日志采集11 HYPERLINK l _bookmark29 Netflow数据采集11 HYPERLINK l _bookmark30 流量采集11 HYPERLINK l _bookmark31 协议解析11 HYPERLINK l _bookmark32 文件还原11 HYPERLINK l _bookmark33 流量抓包12 HYPERLINK l _bookmark34 威胁检测12 HYPERLINK l _book

5、mark35 关联分析12 HYPERLINK l _bookmark36 流量基线异常检测12 HYPERLINK l _bookmark37 WEB异常检测12 HYPERLINK l _bookmark38 邮件异常检测12 HYPERLINK l _bookmark39 C&C异常检测12 HYPERLINK l _bookmark40 隐蔽通道异常检测12 HYPERLINK l _bookmark41 智能检索13 HYPERLINK l _bookmark42 数据检索13 HYPERLINK l _bookmark43 检索结果钻取13 HYPERLINK l _bookmar

6、k44 威胁可视化13 HYPERLINK l _bookmark45 威胁地图13 HYPERLINK l _bookmark46 事件显示13 HYPERLINK l _bookmark47 多维分析13 HYPERLINK l _bookmark48 攻击路径可视化14 HYPERLINK l _bookmark49 大屏展示14 HYPERLINK l _bookmark50 威胁趋势14 HYPERLINK l _bookmark51 告警通知14 HYPERLINK l _bookmark52 设备联动14 HYPERLINK l _bookmark53 信誉管理15 HYPERL

7、INK l _bookmark54 业务配置15 HYPERLINK l _bookmark55 关联规则配置15 HYPERLINK l _bookmark56 流量基线配置15 HYPERLINK l _bookmark57 黑白名单配置15 HYPERLINK l _bookmark58 系统监控15 HYPERLINK l _bookmark59 告警管理15 HYPERLINK l _bookmark60 日志管理15 HYPERLINK l _bookmark61 节点监控16 HYPERLINK l _bookmark62 系统管理16 HYPERLINK l _bookmark

8、63 集群管理16 HYPERLINK l _bookmark64 全局配置16 HYPERLINK l _bookmark65 北向配置16 HYPERLINK l _bookmark66 系统管理员16 HYPERLINK l _bookmark67 安装升级17 HYPERLINK l _bookmark68 知识库管理17 HYPERLINK l _bookmark69 4应用实施17 HYPERLINK l _bookmark70 独立部署检测僵尸主机场景17 HYPERLINK l _bookmark71 与沙箱集成检测APT攻击场景18 HYPERLINK l _bookmark

9、72 与第三方SOC/SIEM集成检测APT场景18 HYPERLINK l _bookmark73 5参考文档19CIS 技术白皮书CIS Technical White PaperKey words 关键词：威胁，异常，日志，关联分析，流量基线异常Abstract 摘 要：本文介绍了CIS系统的应用背景，描述了CIS系统的实现与运行机制，并简单介绍了CIS在实际环境中的应用缩略语清单List of abbreviations：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释CISCybersecurity Intellig

10、ent System网络安全智能系统CIS技术白皮书技术背景安全威胁近些年来发生巨大的变化，黑客攻击从传统带有恶作剧与技术炫耀性质逐步向利益化、商业化转变。APT的攻击迅速发展起来。APT是advanced persistent threat的缩写，即高级持续性威胁。它是指近年来,专业且有组织的黑客，针对重要目标和系统发起的一种攻击手段。APT攻击和传统攻击源和动机有着明显的区别，APT主要来自有组织的犯罪集团或者公司， 外国政府，目标是高价值的信息资产，例如商业秘密，知识产权，政治军事机密等。APT攻击者有强有力的组织性和资源保证，使得APT攻击融合了情报技术，黑客技术，社会工程等各种手段，

11、 针对有价值的信息资产和系统进行复杂的攻击。APT攻击的对象，不再是信息系统本身，还包括可通过社会工程学攻击的管理信息系统的人。而传统的信息安全技术在APT攻击面前是无效的。因为APT攻击依赖0-Day、AET高级规避攻击等多种技术手段，基于特征的检测方法无法识别；APT攻击大量使用社会工程学与协同攻击，使得攻击的每个阶段都不满足攻击特征，攻击中的每个事件都是合法的或者低安全威胁的。因此超过80%的企业遭受过APT攻击，但绝大多数没有察觉。以著名的针对伊朗核设施的震网APT攻击为例，攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻

12、击，以此为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括多个0-Day漏洞进行破坏，病毒更改了离心机中的发动机转速，这种突然的改变足以摧毁离心机运转能力且无法修复。在离心机失控后仍向控制室发出“工作正常”的报告，给伊朗核设施造成了极大的破坏。业界对安全威胁检测防御的思路已经发生了巨大的变化，认识到需要从过去单一设备、单一方法、关注威胁单一阶段、实时性进行检测演进到建立纵深防御的体系，从威胁攻击链的整体来看问题，因此基于大数据技术的威胁检测和调查分析技术孕育而生。概念及原理概念介绍智能检索智能检索提供了一个基于

13、关键字条件快速查询的页面，在用户进行调查取证分析时，可通过输入的关键字条件快速检索到相关的日志和流量元数据，并可以进一步查看日志和流量元数据的详细信息。攻击路径可视化攻击路径可视化提供了攻击过程和扩散路径的直观展示，可呈现从外部渗透、建立通道、内部扩散到外发数据的完整攻击链和攻击上下文信息，并支持从威胁、邮件和文件的维度展示威胁影响范围。事件关联分析事件关联分析是指通过两个或者多个事件之间的关联、统计或者时序关系分析异常行为， 以便发现仅从分析单个事件难以发现的安全问题。流量基线异常检测流量基线异常检测是通过比对检测时流量和流量基线，同时结合流量基线异常策略，从而检测网络访问访问行为，发现违规

14、访问、访问频次和访问路径异常。WEB 异常检测WEB异常检测是通过对互联网出口的HTTP协议流量的分析，结合沙箱的文件检测结果检测通过HTTP协议的外部渗透行为，基于HTTP请求/响应特征发现Webshell访问。邮件异常检测邮件异常检测是通过对互联网出口的SMTP/POP3/IMAP协议流量的分析，结合沙箱的文件检测结果检测通过通过邮件的外部渗透行为。C&C 异常检测C&C异常检测是通过对互联网出口的协议流量（DNS/HTTP/3,4层协议）的分析，检测C&C通信异常、可疑的DGA域名访问和HTTP周期外联。隐蔽通道异常检测隐蔽通道异常检测是通过对互联网出口的ICMP、DNS协议数据进行分析

15、，检测基于隐蔽通道的数据外发行为。威胁判定威胁判定是按照预定的行为序列模式对异常检测模型发现的异常行为进行关联，并对存在关系的异常行为进行打分评估，从而生成基于攻击链的威胁。工作原理系统体系结构可视化层支持平台+APP架构。智能检索，威胁地图都通过APP的方式呈现。数据采集原理数据采集包括日志采集和原始流量采集，日志采集器负责日志采集，流探针负责原始流量采集。日志采集流程包括日志接收、日志分类、日志格式化和日志转发。流量采集流程包括流量采集、协议解析、文件还原和流量元数据上报。数据预处理原理数据预处理负责对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理， 补充相关的上下文信息（包

16、括用户、地理位置和区域），并将格式化后的数据发布到分布式总线。分布式存储原理分布式存储负责对格式化后的数据进行存储，针对不同类型的异构数据（归一化日志、流量元数据、PCAP文件）进行分类存储，分布式存储的数据主要用于威胁检测和威胁可视化。考虑到可靠性和高并发性能的要求，分布式存储的数据保存在多个检测/存储节点，并且可以按需扩展存储节点。分布式索引原理分布式索引负责对关键的格式化数据建立索引，为可视化调查分析提供基于关键字的快速检索服务。分布式索引采用了多实例自适应的索引技术和时间片抽取的分层索引结构，索引数据保存在多个检测/存储节点，提供了高可靠性和高并发索引能力，支持按需弹性扩展索引。事件关

17、联分析原理关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析采用了高性能的流计算引擎，关联分析引擎直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行在线分析。系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。流量基线异常检测原理流量基线异常检测主要解决网络内部的主机/区域之间（内外区域之间、内网区域与互联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间）的异常访问问题。流量基线是指网络内部主机之间、区域之

18、间或者内外网之间的访问规则，包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。流量基线可以有两种来源：系统自学习和用户自定义配置。流量基线自学习，就是系统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下浮动范围），自动生成流量基线。用户自定义流量基线：用户手工配置网络内部各主机、区域以及内外网之间的访问和流量规则。流量基线异常检测将自学习和用户自定义的流量基线加载到内存中，并对流量数据进行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。WEB 异常检测原理WEB异常检测

19、主要用于检测通过WEB进行的渗透和异常通信，从历史数据中提取HTTP流量元数据，通过分析WEB请求数据、WEB响应数据和WEB通信行为发现WEB异常访问。通过分析HTTP协议中的URL、User-Agent、Refer和上传/下载的文件MD5等信息，并结合沙箱文件检测结果，离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。通过从HTTP流量中提取WEB请求特征和WEB响应特征，利用机器学习的算法发现可疑的WebShell访问。邮件异常检测原理WEB异常检测主要从历史数据中提取邮件流量元数据，通过分析SMTP/POP3/IMAP协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件

20、等信息，并结合沙箱文件检测结果，离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正文URL异常等。C&C 异常检测C&C异常检测主要通过对协议流量（DNS/HTTP/TLS/3,4层协议）的分析检测C&C通信异常。基于DNS流量的C&C异常检测采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型，并在客户环境利用分类器模型识别访问DGA域名的异常通信，从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为。基于3,4层流量协议的C&C异常检测根据CC通讯的信息流与正常通讯时的信息流区别，分析CC木马程序与外部通讯的信息的特点，区分与正常信息流的差异，通过流量检测发现网络中

21、所存在的CC通讯信息流。对于基于HTTP流量的C&C异常检测采用统计分析的方法，记录内网主机访问同一个目的IP+域名的所有流量中每一次连接的时间点，并根据时间点计算每一次连接的时间间隔，定时检查每一次的时间间隔是否有变化，从而发现内网主机周期外联的异常行为。隐蔽通道异常检测原理隐蔽通道异常检测主要用于发现被入侵主机通过正常的协议和通道传输非授权数据的异常，检测方法包括Ping Tunnel、DNS Tunnel和文件防躲避检测。Ping Tunnel检测是通过对一个时间窗内同组源/目的IP之间的ICMP报文的载荷内容进行分析和比较，从而发现Ping Tunnel异常通信。DNS Tunnel检

22、测通过对一个时间窗内同组源/目的IP之间的DNS报文的域名合法性检测和DNS请求/应答频率分析，从而发现DNS Tunnel异常通信。文件防躲避检测通过对流量元数据中的文件类型的分析和比较，从而发现文件类型与实际扩展名不一致的异常。威胁判定原理威胁判定根据多个异常进行关联、评估和判定产生高级威胁，为威胁监控和攻击链路可视化提供数据。威胁判定按照攻击链的阶段标识/分类各种异常，并以异常发生的时间为准，通过主机IP、文件MD5和URL建立异常的时序和关联关系，根据预定义的行为判定模式判定是否高级威胁，同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估，从而产生威胁事件。业务功能日志采集

23、通过优化的多管道并发处理机制，实现日志/事件的高性能采集和预处理，主要功能包括：Syslog 日志采集支持采集第三方系统（ArcSight）和安全设备（Firehunter）的Syslog日志； 支持将采集的第三方Syslog日志格式化为系统统一的归一化数据格式；支持将归一化的日志转发给大数据安全平台；支持按配置的大数据平台接收IP轮询发送归一化后的Syslog日志；Dataflow 日志采集支持采集华为NGFW的Dataflow格式的IPS/AV日志；支持将采集的Dataflow格式的IPS/AV日志格式化为系统统一的归一化数据格式； 支持将归一化的日志转发给大数据安全平台；支持按配置的大数

24、据平台接收IP轮询发送归一化后的日志；Netflow 数据采集支持采集网络/安全设备上报的Netflow数据；支持将采集的Netflow数据转发给大数据安全平台；支持按配置的大数据平台接收IP轮询发送归一化的Netflow日志；流量采集通过优化的DPI技术高效提取原始流量的协议特性，实现高性能的流量数据采集和协 议还原，流量采集主要功能包括：协议解析HTTP协议解析：支持解析HTTP 0.9, 1.0, 1.1版本的应用协议信息，包括请求主机名、应答码、Refer、User-Agent、请求URL、上传/下载的文件名；邮件协议解析：支持解析SMTP/POP3/IMAP4的应用协议信息，包括收件

25、人、发件 人、邮件主题、邮件附件名称、邮件正文；DNS协议解析：支持解析DNS流量的应用协议信息，包括请求的域名/IP、RR类、 RR类型、资源记录缓存时间、响应延迟、资源记录中的IPV4/IPV6地址HTTPS协议解析：配合华为防火墙（SSL Deloader），可以解析https的流量。文件还原HTTP文件还原：支持还原通过HTTP协议上传/下载的文件还原；邮件附件还原：支持还原通过SMTP/POP3/IMAP4协议发送的邮件的附件还原流量抓包支持按照抓包规则进行抓包，并保存成PCAP文件；威胁检测关联分析支持基于日志/事件的分布式在线关联分析；支持单事件的统计分析和多事件的时序关联分析。

26、流量基线异常检测支持检测水平扫描和垂直扫描;支持检测主机组的端口访问异常；支持基于自定义的流量异常策略检测访问频次超限、流量超限； 支持检测非白名单的违规访问;支持检测服务器新开端口； 支持检测蠕虫扩散异常行为；WEB 异常检测支持检测WEB相关的异常行为，包括：使用原始IP访问HTTP服务，非浏览器访问HTTP 服务器，通过HTTP下载恶意/可疑文件和可疑的Webshell访问。邮件异常检测支持检测邮件相关的异常行为，包括：发件服务器异常，收件人异常，下载包含恶意 附件的邮件异常。C&C 异常检测支持检测异常的C&C通信，包括：可疑DGA域名访问异常，恶意C&C流量异常，HTTP 周期外联异

27、常。隐蔽通道异常检测支持检测通过隐蔽通道通信的异常行为，包括： Ping Tunnel异常通信， DNS Tunnel异常通信，文件内容躲避异常。智能检索数据检索支持通过关键字、条件表达式、时间范围对事件和流量元数据进行快速检索，快速定 位到安全运维分析人员关注的威胁和上下文数据，并支持查看数量趋势统计和检索结果详细 数据。检索结果钻取支持通过事件关联流量元数据，在流量元数据检索结果列表可以下载元数据相关的PCAP文件，方便安全运维分析人员进一步取证分析。威胁可视化威胁地图通过威胁地图直观展示企业在全球范围内面的威胁和最近发现的威胁事件，方便安全 运维分析人员能及时发现威胁；威胁地图支持全球模

28、式和舞台模式。舞台模式可以将客户关注的行政区域显示到屏幕 中央，予以重点关注。可以作为舞台的行政区域可以细化到区县。事件显示支持通过普通和高级查询条件展示符合条件的威胁事件、关联分析事件和流量异常事 件。对于威胁事件，系统提供确认按钮，允许管理员进行多次确认并保留多次的异常确认结 果。对于关联事件，支持显示自定义和预定义关联规则触发的关联分析事件，并可以显示触 发关联事件的源事件。对于流量异常事件，支持显示自定义的流量基线异常事件，并允许管 理员进行确认，将误报的流量异常事件加入到白名单。多维专项分析支持从恶意/可疑文件和恶意/可疑域名等多个维度直观展示威胁分析的结果，帮助客户 有效洞察企业面

29、临的威胁。可以通过渗透分析界面查看恶意文件的扩散次数趋势和详细扩散情况，包括恶意文件 下载次数和详细扩散路径，并支持查看恶意文件对应的沙箱检测结果。可以通过C&C分析页面查看被入侵主机连接恶意域名的C&C异常通信行为的趋势、源 主机请求的恶意域名等信息，对于恶意域名可以通过直观的可视化查看源主机和网络中恶意 域名的访问关系。情报检索支持根据IP地址、域名、URL和文件HASH值等条件进行情报检索。在对威胁事件进 行调查取证分析时，可以对威胁事件中可疑的IP/域名/URL进行情报检索，并根据威胁情报 检索结果进行攻击确认。攻击路径可视化支持从威胁、邮件和文件多个维度展示攻击扩散路径和影响范围。在

30、威胁维度的攻击扩散展示维度，有效呈现高级威胁的多个攻击阶段，包括：外部渗透阶段、命令与控制阶段、 内部扩散阶段、数据窃取阶段，并直观清晰呈现来自不同地区的外部攻击源/命令控制服务器和企业内部受到危害和影响的主机。大屏展示提供大屏展示功能。可将网络安全状态信息以图表形式呈现在大屏上，便于汇报、展 示、实时监控等。支持在屏幕比例16:9，分辨率1920*1080、2560*1440、3840*2160的大屏上进行综合态 势展示。实时展示/监控内容包括：全网安全态势、全网资产态势和威胁事件态势。威胁趋势可通过dashboard展示选择时间段的威胁趋势，dashboard包括： 威胁度趋势，按类型的威

31、胁趋势和占比。威胁报告支持生成威胁报告，威胁报告内容包含报告概述、威胁事件分析、报告总结、附录等。 支持威胁报告任务管理，系统预置日报、周报和月报任务。支持自定义威胁报告任务，可以定义区域、统计时段和报告格式等条件。支持生成DOCX和PDF格式的威胁报告，可以在报告列表中下载生成的威胁报告。告警通知可以针对威胁类型和状态配置邮件/短信通知策略。设备联动在系统发现威胁后，能够对目标设备、资产执行指定的联动动作。通过界面，可以配 置参与联动的设备类型、设备以及具体的联动动作。在威胁事件命中联动规则时，CIS就能 够向联动设备下发具体联动要求，实现对重要资产的实时防护。CIS支持与华为防火墙设备联动

32、，可以根据联动规则的配置在检测到指定的威胁时向NGFW下发黑名单数据，阻断内部主机访问外部的恶意主机。CIS支持与华为的安全控制器SecoManager联动，在数据中心场景，CIS可以根据联动规则的配置在检测到指定的威胁时通过SecoManager向防火墙下发安全策略，从而形成有效 的安全联动闭环。CIS支持与华为的网络控制器AC Campus联动，在园区场景，CIS可以根据联动规则的配置在检测到指定的威胁时通过AC Campus隔离终端主机，从而有效遏制内部扩散。信誉管理CIS根据沙箱检测结果生成信誉保存到本地信誉库（文件信誉、URL），并提供本地信 誉库下载接口，支持多个防火墙定期下载更新

33、，从而实现本地文件信誉共享。业务配置关联规则配置支持预置关联规则，允许用户自定义关联规则；支持配置关联规则子规则；支持配置关联列表；支持导入/导出关联规则流量基线配置支持启动/停止流量访问白名单学习，并支持白名单学习结果显示和确认支持基于主机组自定义流量检测策略，可以添加、删除、修改和查询流量检测策略， 配置流量基线策略时，支持定义多条访问频次或流量超限的流量控制规则。黑白名单配置支持配置黑白名单，包括添加、删除和修改IP黑白名单、域名白名单、邮件发件人黑 白名单和邮件收件人白名单。系统监控告警管理支持查看系统当前告警、历史告警，配置告警阀值、告警转储和告警通知；日志管理支持查看系统操作日志、

34、系统运行日志和配置操作日志转储节点监控支持监控可视化管理节点和系统服务状态；系统管理集群管理大数据节点配置:支持集群节点管理，包括添加、删除和修改数据分发节点/检测存 储节点/集群控制节点。流探针配置：支持添加、删除和修改流探针，并支持配置流探针的抓包规则和过滤 规则；采集器配置: 支持添加、删除和修改采集器，并支持配置采集器的日志源和发现日志源；全局配置证书管理: 支持配置API KEY、导入CIS证书和第三方系统证书；敏感数据密钥配置：支持更新邮件正文密钥和PCAP抓包文件密钥敏感数据权限配置：支持配置管理员对于用户组的邮件正文访问权限和对于资产组 的PCAP文件访问权限；数据分发配置：支

35、持配置数据传输使用的通信方式。存储配置：支持配置日志和流量、PCAP文件和邮件正文的存储周期；License管理：支持系统License的显示、导入和失效管理；北向配置威胁外发：支持配置威胁事件北向转发的目的IP/端口和外发的过滤条件；告警外发：支持删除、修改和添加告警信息北向IP地址、日志源类型、重试次数、 超时时间、端口和用户名；信誉查询：支持添加、删除和修改北向信誉查询的账号；通知服务器：支持配置邮件服务器的IP、端口、发件人邮箱和测试邮箱。系统管理员管理员：支持创建、删除和修改管理员；管理员组：支持创建、删除和修改管理员组；在线管理员：支持显示在线管理员和强制用户下线；安全策略：支持设

36、置用户密码、系统超时时间和登录访问等策略；认证服务器：支持配置RADIUS服务器的IP地址、端口、共享密钥和认证方式等信 息。安装升级系统安装：提供向导式安装界面，帮助用户安装集群节点的软件；系统扩容：支持扩容集群节点、采集器和流探针；知识库管理知识库管理：支持DGA家族库、IPS特征库、C&C恶意域名库管理。知识库升级：支持手工或自动升级DGA家族库、IPS特征库、C&C恶意域名库。应用实施独立部署检测僵尸主机场景客户痛点：大中型企业存在互联网出口，企业的安全防范措施存在问题，企业内部存在僵尸主机， 企业运维人员希望能检测和识别内部僵尸主机，避免关键信息泄露和影响业务。解决方案：客户购买CIS标准版，在互联网出口部署流探针，在IT运维区域部署CIS集群（包括采 集器、可视化管理节点、集群控制节点、数据分发节点和检测/存储节点）。部署示意图如下：独立部署检测僵尸主机示意图流探针部署