我国态势感知发展 (六)：中国移动态势感知应用实践

张家口，坝上草原。2019年7月1日

中国移动安全威胁分析与预警平台利用现有的安全系统、安全设备，逐步演进为“安全数据集中存储、安全威胁分析与预警场景不断扩充、分析能力与数据对外开放”的高价值安全信息存储及分析平台；充分探索新技术，跟踪重要安全问题方法方法、加快对安全威胁的认知实现及有效预警。

中国移动业务支撑网安全威胁分析与预警平台主要由功能呈现层、场景分析层、安全数据中心SDC层三个层面组成组成。

功能呈现层包含了安全威胁分析与预警平台的主要用途，包括安全态势展示、安全告警监控、安全预警监控、安全威胁情报管理、安全态势大屏展示，同时提供原始日志与标准化日志的智能搜索功能，以及本平台的系统管理入口和相关接口。

场景分析层定义了安全威胁分析与预警平台的分析方法与分析能力，其中分析方法采用了分析引擎、分析场景、分析输出的分别定义，本期分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景，以及用于内部威胁分析的用户行为分析场景。

安全数据中心层（简称SDC）是一个具有独立服务能力的数据中心，实现各类安全数据的采集、处理、汇聚、存储、检索能力，并向上提供数据订阅接口。该中心以接口形式向安全威胁分析与预警的分析提供输入数据，同时接口也供中国移动业务支撑网的其它安全能力开放。

1、数据采集范围

安全威胁分析与预警平台的数据采集范围是业务支撑系统的主要应用系统自身的安全数据及配套的安全类数据、管理类数据、资产及结构数据、流量统计数据，这些应用系统包括但是不限于BOSS系统、CRM系统、经营分析系统、运营管理系统、VGOP/ESOP系统、SMP系统、4A系统、电子渠道上系统、云管理平台、大数据管理平台、能力开放平台。

安全数据中心将存储包含有安全类、管理类、审计类、流量类、基础类，共5大类数据，43种具体数据，在实际建设中可根据数据来源设备产品特点对应和扩充。

1.1、安全类数据

安全类数据是安全威胁分析与预警采集的主要数据，包含了各类网络设备、安全设备的日志；来自安全评估与检测平台的安全配置、漏洞、弱口令及管理合规符合情况；安全威胁情报信息，来自SMP的安全运行数据等。

1.2、管理类数据

管理类数据涉及人员、工单流程与资产数据，用于形成安全威胁分析与预警所需要的基础环境数据。在管理类数据中修订和增加了4A基础数据的内容，包括自然人、主账号、从账号、组织机构、主从账号关联、角色数据，这部分数据需要从4A平台采集。同时工单类数据增加了金库工单的内容，这部分数据需要从工单系统或4A平以采集。

1.3、审计数据

为了分析人员的操作层面的安全情况，用于支撑人员画像等分析场景，从正常形态的指标中分析出异常的行为操作，需要采集审计类的数据包括两部分：4A审计标准化日志全量和4A审计原始日志全量。

1.4、流量数据

为了分析网络层面的安全情况，用于定义正常形态的网络流量以判断异常威胁，需要采集的数据包括数据流量统计类的数据，如NETFLOW、NETSTREAM和五元组统计数据。

1.5、基础数据

为丰富资产、流量、攻击等信息的价值，需要对相关产品与地址定位信息信息等资料性数据进行收录管理，此类数据通过人工方式维护。

2、安全威胁分析与预警场景

安全威胁分析与预警的场景是利用大数据分析技术对平台存在的主要安全威胁和攻击事件进行检测。利用业务支撑平台的安全日志和基础信息，对内外部安全威胁状况从网络威胁分析、系统安全分析和用户行为分析三个维度进行态势安全分析。同时并利用安全威胁情报识别出潜在被攻击行为。安全威胁分析与预警的场景为安全态势展示、安全告警监控、安全威胁情报管理等上层应用提供数据支撑。

2.1、网络威胁分析

攻击检测分析：攻击检测分析是对来自互联网的攻击的原始数据进行标准化处理之后，再进行多维度统计分析，根据不同的分析结果，进行告警、态势、趋势预警输出，用于支撑网络威胁态势、安全告警监控展示。

异常流量检测分析：通过安全设备日志分析和流量数据的基线检测方法对DOS/DDOS攻击和其他异常流量进行检测分析。

攻击画像：攻击画像围绕两个维度进行，分别为资产角度和攻击角度对攻击进行画像，以资产维度分析，识别并深入分析资产受到的攻击、安全现状等。以攻击维度分析，识别攻击者的历史攻击态势、攻击方式偏好、攻击时间偏好、攻击威胁源等，以便有针对性的进行攻击防护。

2.2、系统安全分析

系统攻击分析：系统攻击指系统资产受到恶意攻击，进入资产内进行非法恶意操作对资产造成安全风险，安全威胁与预警平台通过大数据技术综合分析各类安全数据，分析多种系统攻击现象。

脆弱性分析：脆弱性分析指通过关联分析资产自身存在的安全脆弱点和脆弱点被攻击者利用的安全事件，来发现系统资产中已被攻击者利用进行攻击的安全隐患。

2.3、用户行为分析

用户异常行为分析：通过用户行为基线，形成用户分析策略的规则中的阀值，再与系统数据、日志数据的进行比对，筛选出不在正常范围的用户行为，并对分析的结果进行告警或预警通知。

用户画像：运用大数据的技术，汇总用户相关的历史、档案、行为得出个体和群体在一个长期时间范围内稳定的数据特征，从而描绘出用户的信息全貌。

3、安全威胁分析与预警平台功能

安全威胁分析与预警平台主要功能包括安全态势展示、安全告警管理、安全预警展示、安全威胁情报管理、安全态势大屏展示，同时提供原始日志与标准化日志的智能搜索功能，以及本平台的系统管理和数据管理入口。

3.1、安全态势展示

安全态势展示功能是用来向用户提供安全威胁与预警信息查看和分析的入口，通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化。包括综合安全态势、重要业务系统态势、网络威胁态势、系统安全态势、用户行为态势、安全态势报告等

3.2、安全告警管理

安全告警监控：告警监控功能展示内外部威胁分析产生的安全告警，包括网络威胁告警、系统安全告警、用户违规行为告警。

安全告警处理：安全威胁分析与预警平台分析产生告警，安全告警监控人员依据省公司安全管理办法在本平台进行告警的确认或清除，需要各业务部门或系统处置的安全告警，由安全监控人员在本平台进行BOMC告警工单派发，安全告警工单处理流程通过BOMC系统实现。

安全告警处置库：安全告警处置库是与具体安全告警相关联的知识性材料，是一份资料性、文档性的说明信息，用于说明安全告警的意义、处置建议、相关参考、级别等。

3.3、安全态势预警

趋势预警：展现由趋势分析与预测产生的网络威胁预警和系统安全预警。预警类型包括攻击检测预警、异常流量预警、弱口令分析预警。

威胁情报预警：展现安全威胁事件（通过外部威胁情报，关联分析出本地安全威胁事件）。

脆弱性预警：展示通过外部漏洞数据与本地资产关联产生的预警（本地资产漏洞信息）。

3.4、安全威胁情报管理

安全威胁情报管理用于支撑外部威胁的分析和定位，功能包括威胁情报获取、威胁情报输入与维护、外部资产发现和监控、情报关联分析。

3.5、智能搜索

智能搜索是安全威胁分析与预警平台的日志搜索入口，提供关键字组合输入功能，实现日志快速检索，包含原始日志搜索、标准化日志搜索、自定义搜索模板和历史搜索快照。

本文相关链接：

• 我国态势感知发展（1）：国家相关政策与法规要求

• 我国态势感知发展（2）：网络安全威胁信息格式规范

• 我国态势感知发展（3）：公安行业态势感知应用实践

• 我国态势感知发展（4）：等保2.0与网络安全态势感知

• 我国态势感知发展（5）：电力行业态势感知应用实践

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。