按照我国网络安全法要求,网络运营者应加强信息基础设施网络安全防护,加强网 络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极 发展网络安全产业,做到关口前移,防患于未然;落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任。
当前安全态势下,网络黑产的产业化、集团化应用趋势明显;网络成为某些恶意组织发起攻击的主要途径,网络威胁种类也更加复杂多变,现有安全解决方案难以应对高级、持续、集团化、武器化的威胁。安全情报成为轻量级的解决复杂网络攻击、实现实时威胁预警及攻击追踪溯源的重要手段。进而,公安部第一研究所基于威胁情报中心,实时发现和共享安全情报信息,研发了一套以安全情报驱动的,具备边界实时预警和防御的体系平台一网络攻击阻断系统(网盾K01)。网盾K01针对网络边界防护设计,依托政府网站综合防护系统(简称网防G01)约5万防护终实时感知互联网安全威胁,采用大数据情报分析。多源融合等多项技水研究,融合产业界顶尖的安全情报能力在网络边界进行基于情报的研判、预警和威胁拦截,实现了情报的有效落地和防护边界的前移,并最终形成了集安全情报的态势感知、溯源画像、旁路阻断及专家研判等功能于一体的综合防护系统,具备全面的情报发现运用能力及灵活的拓扑场景适应性,可以在各个行业的不同业务场景下法慧及时有限的安全防护作用。
网盾K01设备部署在互联网出入口,对监测到的恶意攻击源进行自动化阻断,实现一点监测、全网阻断的效果,是网络安全联动处置的有效手段。恶意攻击源一是来自于公安部-所部署在互联网上的成千上万台网防G01系统监测节点,提取、滚动、整合面向金融、电力、能源、交通等关键信息基础设施行业的恶意攻击源IP;二是来自于网盾K01设备监测的攻击本行业关键信息系统的恶意源IP。通过多级部署、集中监测、联动处置能够快速在互联网所有出入口进行攻击拦截,帮助用户全面掌握网络攻击态势。同时,通过对恶意攻击源IP进行细粒度画像,解决攻击误报、追踪溯源等问题。网盾K01系统具备人工研判和自动阻断两种模式,支持第三方情报源导入,简单、高效,是网络安全防护关口前移的有效措施。
旁路阻断
在旁路部署模式下,当监听检测到威胁的同时,可以通过另外一条通信链路,主动构造阻断数据包分别发送至访问端与服务端,达到拦截封禁攻击的效果。
情报聚合
威胁情报中心通过智能融合、顺序匹配与加权匹配等算法模型将多个安全情报源数据聚合,并且保持与情报源高频率更新互动,以保证威胁判断依据的新鲜度和准确率。
攻击IP画像
通过大数据技术提取有效的情报,形成完整的网络威胁画像库,展现明确的攻击画像和详情。攻击IP画像类型包含暗网、网络代理、暴力破解、Webshell攻击、恶意扫描、Web攻击等。
情报溯源
威胁情报中心可以对互联网上部署的网防G01防护数据进行收集,统计各个情报IP的历史攻击记录,系统支持对某个攻击源IP进行溯源,可以获取它最新的攻击历史轨迹,例如某个IP在某个时间以某种形式攻击过某个单位,从而进一步对情报IP进行辅助判断,确认其准确性。
自动值守
系统可支持自动值守与人工研判双模式,以适应不同安全防护级别的处置需求。在自动值守模式下,系统可直接对威胁请求进行实时封堵,无需手动配置;在人工研判模式下,系统可结合其他检测事件及业务系统的状态信息对情报检测结果进行综合分析和二次甄别,通过增加人工判断确认来提升威胁处理的可靠性。
态势可视化分析
系统自带可视化统计分析模块,可对情报数据的更新状态、地理位置分布情况及本地的情报检测态势进行直观的全局展示;通过首页的攻击源和被攻击目标TOP统计信息,可快速定位当前网络的主要风险点,以便用户准确掌握安全态势。
通过全网部署的网防G01终端对各类攻击进行检测识别,当任一网防G01终 端监控到攻击时,可实时联动全网边界部署的网盾K01系统进行拦截封堵,做到-一点监控,全网阻断,实现关口前移的防护思想。
情报发现与联动处置技术
威胁情报中心实时处理网防G01终端和网盾K01设备检测上报的攻击及防护日志,通过大数据技术挖掘利用高危的、鲜活的攻击源情报,供网盾K01设备实时读取使用,从而实现攻击源情报的发现与联动处置。
攻击画像技术
依托海量的安全告警日志,对攻击源进行全面的多维画像分析,全面提取手段特征、指纹特征、目标规律、时间规律等画像信息,- -方面为攻击源打标签,方便聚类管理与行为分析,另一-方面用于威胁评分的计算分析。
攻击溯源技术
任意流量中命中匹配的攻击源情报都可以调用攻击溯源接口进行该攻击源的攻击轨迹展示,方便用户研判攻击源情报的准确性,确认是否需要对此攻击源的访问流量进行封堵。
攻击流量识别技术
系统内置攻击检测引擎,可以根据不同协议建立对应的检查点,并通过机器学习从海量原始数据中提取服务、请求、网络及系统等关键参数信息来进行安全建模,甄别攻击流量,同时,采用上下文语义关联分析技术实现综合决策,提升攻击识别的准确性。
主动防御技术
旁路部署模式下,系统可以通过监听口对镜像流量进行分析检测,发现攻击时,系统可以模拟服务器端和客户端通信模式及状态细节,主动构造井发送阻断数据包,中断后续会话,从而达到封堵攻击的效果。
态势感知技术
网盾K01设备通过与威胁情报中心及网防G01终端的数据联动技术,形成了一套从云端到边界再到终端的态势感知与响应体系,将安全情报的采集、分析、共享、应急处置与追溯等流程进行闭环,并使用可视化模块做展示分析,钻取攻击轨迹、分布和趋势等多维度信
部署特性
支持串联与旁路部署方式,支持channel. trunk接口模式,并支持MPLS、802.1Q网络环境
阻断特性
支持串联与旁路部署下的情报匹配与拦截防护,支持在旁路镜像检测的同时对问题访问进行阻断拦截
情报源支持
支持将外部情报源聚合获取至本地,具备多源情报决策模型,决策算法包含聚合、顺序匹配及加权匹配
系统内置网防G01情报源,更新频率不低于5分钟;支持自定义添加情报源,接口可支持FTP及API方式,且至少可添加3种以上情报源
情报源数据至少包含暗网攻击、僵尸网络、网络代理、暴力破解、webshell攻击、恶意扫描、漏洞利用及恶意IP等类型
溯源画像
支持对情报源IP进行画像,可明确溯源攻击历史时间、攻击类型、攻击目标IP及攻击目标单位等,至少可溯源5条最近历史记录以便进行研判辅助
攻击阻断支持
支持自动值守和人工研判的攻击阻断方式,并可根据不同安防等级设置封堵范围,包含单个IP、所在C段和所在B段3种范围,并支持按情报类型匹配组合的阻断条件
支持手动黑白名单设置,并可进行批量模板导入
统计分析
支持整体攻击态势可视化展示,内容至少包含当天及本周等范围的TOP情报源、TOP被攻击目标、攻击趋势及攻击次数统计,并可在地图上进行直观的情报IP分布查看,同时可直接在数据统计界面中进行人工研判操作,动作至少包含信任和封禁
支持日志告警、攻击IP分析及被攻击IP分析等审计列表,可通过丰富的组合筛选条件进行详细风险审计
串联部署
网盾K01串行部署于出口与内网业务之间,可采用如下接入模式: 1、透明桥接入2、 二层vlan接入3、channel接入
旁路部署
网盾K01旁路部署在出口路由交换设备镜像侧,进行流量实时监听;同时接路通信线路,可主动构造数据包进行威胁阻断,可支持如下接入模式: 1、MPLS 2、802.1Q
1、网盾K01的防护特色是什么?
-点监控,全网阻断。网防G01系统会将监测到的安全事件上报至情报源,而每台网盾K01都会实时从情报源中获取情报IP,一旦监测到由情报IP发起的访问流量,就直接对其进行阻断封禁,因此所有网盾K01的情报信息都是新鲜井且同步的,这样就可以做到任意一-个网防G01节点发现问题IP,将实时通知所有边界部署的网盾K01设备,一旦发现问题IP入侵,立刻进行封堵,实现全网阻断的效果。
2、网盾K01中的特色防护中情报源指的是什么?
情报源包含了暗网IP、Tor节点IP、代理IP、非法扫描、恶意IP及漏洞利用等各种类型的攻击IP情报,是由公安部一所全网部署的网防G01系统实时检测与统计的,具备可靠的新鲜度和时效性,可以为网盾K01的攻击防护提供最直接的判检测依据。
3、网盾K01可以做旁路阻断部署吗?
可以。网盾K01可以串联部署来进行防护,也可旁路部署,在监听检测的同时对问题流量进行阻断,阻断效率可以达到80%以上。
4、网盾K01旁路阻断的原理是什么?
网盾K01在旁路监听时,可以对流经对联设备的流量进行检测,如果发现有问题流量时,可以通过另外一个互联接口,主动构造阻断数据包,发往访问源和目标服务器来中断连接,从而达到旁路阻断的效果。
5、已部署大量安全设备,是否仍有必要部署网盾K01?
现有的安全防护设备,只能依赖自身的规则库对攻击进行检测,无法直接对IP的黑白与否做甄别和湖源,也无法与其他单位检测到的安全事件互相共享,因此很容易被伪装潜伏,在真正的安全对抗中非常被动。网盾K01作为一道关口,直接前移至边界,将整个网络覆盖起来,并且可以实时获取全网最可靠的情报信息,对风险访问进行自动识别封堵,实现了关口前移主动防护有不可替代的价值。
单个单位部署场景
情报感知:
网盾K01系统通过与情报源实时联动,感知获取全网网防G01系统收集的安全情报信息,对经过流量的访问源进行识别,甄别暗网、Webshell客户端及Web攻击等攻击类型。
自动处置:
网盾K01基于情报数据对流量进行攻击检测,并对威胁情报直接进行IP封堵,实现自动处置。
I行业统筹部署场景
集中监控:
在各分支节点边界部署网盾K01系统,分别保护对应的网络区域,同时采用级联监控系统进行集中展示,对全局态势进行综合分析,实现统筹调度。