网络安全行为分析方案介绍

用户可以自定义报表，包括报表样式、统计内容、图表形式
22
与泰合安管平台TSOC-USM对接
• 将流分析和包分析结果以事件的形式发送 给USM • 在USM中将这些事件会同其他事件进行综 合的事件分析，譬如事件关联分析、宏观 态势分析 • 进行攻击场景还原
从事件分析到流分析
对于安管平台，仅分析事件 是不够的 Event Never Enough！ 事件分析的缺陷 ① 透过事件难以还原攻击 /违规的事发现场 ② 事件记录可能不全，导 致难以作出准确的研判 事件：是对IT基础设施工 作过程的记录
业务行为 可视化
行为追溯 资产持续 监测
14
行为合规检查
业务应用需求无知， 还没有设置相应的访 问控制策略。
业务上无应用 需求，访问控 制策略中禁止 的访问关系。
黑名 单
灰名单
白名 单
业务访问 关系自动 发现
网络秩序 分析
业务上有应用需求， 访问控制策略中允许 的访问关系。
全网行为
行为合规 检查
TSOC -NBA
Tip：业务流的边界来说是没有改变的，如果从业务 访问行为的角度进行安全分析，则不受云环境的影 响。
当前面临的挑战之大数据
• 大数据时代来临，海量网络数据，如何发 现信息安全问题？
Tip：微观的分析和检测遇到了瓶颈，那么宏观层面的行为模 式分析和检测则更为重要。
结论
• 需要一个采用宏观分析方法对内网业务流 进行可视化展现和合规性分析，并能够对 资产进行持续性监测的产品，以协助客户 梳理并建立网络秩序，提高网络安全等级， 应对大数据、云计算及APT攻击等新兴技术 的挑战。
NO YES
业务访问 关系自动 发现 行为合规 检查
网络秩序 分析
TSOC -NBA
业务行为 可视化
行为追溯 资产持续 监测
18
网络秩序分析
业务访问 关系自动 发现
网络秩序 分析
行为合规 检查
TSOC -NBA
业务行为 可视化
行为追溯 资产持续 监测
19
其他功能-告警管理
其他功能-报表报告
灵活的内置报表编辑器
——基于行为的分析，而非基于特征的分析
12
TSOC-NBA系统特点
业务访问 关系自动 发现
网络秩序 分析
业务行为 可视化
TSOC-NBA
行为合规 检查 行为追溯
资产持续 监测
13
业务访问关系自动发现
业务访问 关系自动 发现
网络秩序 分析
无需手动连线，自动形成业务访问拓扑图
行为合规 检查
TSOC -NBA
业务行为 可视化
行为追溯 资产持续 监测
15
资产持续监测
业务访问 关系自动 发现
网络秩序 分析
行为合规 检查
TSOC -NBA
业务行为 可视化
行为追溯 资产持续 监测
16
行为追溯
业务访问 关系自动 发现
网络秩序 分析
行为合规 检查
TSOC -NBA
业务行为 可视化
行为追溯 资产持续 监测
17
多维度可视化展现
隐蔽能力强 攻击渠道不确定
长持续性
攻击空间路径不确定
Tip：关注“行为异常”，因为无论是隐蔽通道、恶 意代码、漏洞利用，未知威胁或APT的存在一定会给 网络流、网络访问行为带来“异常”。
当前面临的挑战之云环境
• 云计算迅猛发展，网络边境模糊、消失， 传统信息安全防护体系失效。
当前面临的挑战之云环境
基于黑白名单的检测
匹配
流数据输出
流量异常 特征库 黑白名单 库
流量采集器（并行）
vFlow 源设备 源设备 源设备
下级/流量采集器 *FLow TCP/ UDP
匹配 基于行为的检测 基线比较 标准化 标准化 标准化 流缓冲
流 接 收
流提取 流提取 流提取
基于行为的流量建模 周期性模型 创建/ 更新 动态行为模型库 Model Repository 持久化 动态行为 模型库
• 网络秩序：①网络井井有条的状况。②为维护企业 网络安全，员工必须遵守的行为规范。
当前面临的挑战之网络无秩序
如 何 建 立 网 络 秩 序 ？
Tip：对于网络秩序的建立，如同交通秩序一般，最 重要的是要有手段对网络中现行的访问关系清晰明 了的展现出来，才能更好的设定规则，并监督规则
当前面临的挑战之APT威胁
事件采集 事件采集 流采集
对于安管平台，不仅要分析 事件，还要分析流 Flow is Complementary ! 流分析的优势 ① 流信息能更加详实地再 现攻击/违规的事发现场 ② 流分析可以作为事件分 析的补充 流：是对IP节点之间会话信 息的记录
24
TSOC-NBA系统架构
包追溯取证 分析 包存储
硬件盒子，千兆 可多路抓包，也可直接采集*Flow 可与USM集成部署，也可以独立部署
*Flow SPAN
网络行为分析
NBA
核心技术
创新的VFlow（VenusFlow）流描述语言 ——定义了37个流属性，还支持属性扩展 基于流的行为建模（Flow-based Behavior Profiling）
网络安全行为分析方案介绍
TSOC-NBA
用户面临的挑战
目录
TSOC-NBA网络行为分析模块介绍 应用场景 成功案例
服务优势
2
当前面临的挑战之网络无秩序
• 随着科技的不断发展，网络的作用及面临 的风险也在不断扩大，没有详细要求的无 序的网络使用模式已经无法满足网络安全 的越来越高的要求。
• 我们需要建立一套完善的、适用自身业务 需求的网络秩序。
包存 储库 流控 制器
统计分析
报表管理
实时展示
响应处理 二次检测
镜像抓包 流生成器
数据报文解析
数据包采样/过滤
历史分析
实时分析
告警管理
依据
告警库
告警策略 聚合流 数据库 全流 数据库 持 久 化
多维分析缓存
数据流分组/计算
数据统计/汇聚
数据聚合 流数据聚合
数据聚合
流数据多维分析
异常检测 基于特征的检测
上级/外部系统
TCP/UDP
流转发
预测模型
25
TSOC-NBA产品型号
型号 规格指标
• 专用标准2U机架式千兆平台和安全操作系统，6个千兆 TSOC-NBA-5400网络 行为分析平台 电口（1个管理口，2个电口侦听口，最大可扩充至5个 电口侦听口），冗余电源，存储容量2TB。最大可支持 2.5G网络流量的实时接收采集（多路）。 TSOC-NBA-8400网络 行为分析平台 • 专用标准2U机架式千兆平台和安全操作系统，6个千兆 电口，4个SFP插槽（不含接口模块，1个管理口，2个电 口侦听口，最大可扩充至5个电口侦听口，4个光口侦听 口），冗余电源，存储容量2TB。最大可支持4G网络流 量的实时接收采集（多路）。
用户面临的挑战
目录
TSOC-NBAFra Baidu bibliotek络行为分析模块介绍 应用场景 成功案例
服务优势
11
泰合TSOC-NBA网络行为分析模块
国内第一款流安全分析产品
USM
是什么？
部署在内网中，实现内网通讯流量的可视化， 进行网络通讯的行为建模，并以此发现网络 异常（包括入侵和违规）
综合分析与呈现
日志 告警 事件
长什么样？