构建全天候大数据安全态势感知&预警监测系统

2

对韩国数家金融机构展开攻击，导致大面积电脑黑屏，信息系统瘫痪，服务终端.

近期著名安全事件回放，冰山一角…

怀疑是俄罗斯Sandworm团队发起。50%家庭断电，多家电厂被Killdisk恶意软件感染，可破坏计算机硬盘某些零件、破坏工业控制系统功能

乌克兰电网从2013年底开始，将近30个国家和地区的100家金融机构被成熟的匿名APT团队(Carbanak cybergang)攻击，金融损失达$1B，包括中国大陆和香港、台湾

德国核电站怀疑是俄罗斯Sandworm团队发起。50%家庭断电，多家电厂被Killdisk恶意软件感染，可破坏计算机硬盘某些零件、破坏工业控制系统功能

荷兰、希腊、马尔代夫、塞浦路斯等央行

黑客组织匿名者针对世界银行业发起Oplcarus系列攻击活动。通过实施DDOS攻击让多家银行站点一度中断服务，制造金融行业混乱和社会动荡

中国人寿80万份保单泄露，包含投保人险种、手机号、身份证号、密码等隐私信息，中国人寿发布公告确认泄密事件属实并致歉

社 保重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。

互联网金融互联网金融安全再受拷问，信融财富、宝点网和立业贷等多家P2P平台本周同时遭受黑客流量攻击，造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报，中国P2P平台已成为全世界黑客“宰割的羔羊”

3

圣诞前夕乌克兰遭受APT攻击,断电6小时

⑦DDoS 无法准确判断受灾情况

钓鱼邮件

SSH

killdisk

SCADA 控制主机

诊断及保护装置

攻击跳板

①入侵 ③渗透

⑤断电指令

④SSH 后门

⑥破坏数据

伪装成议会发来的邮件

带宏病毒的Excel文件

服务中心

工具 : BlackEnergy 病毒家族

VPN

C&C服务器

②外联

大范围停电

融合装置及终端

4

欧洲：确保数字经济安全发展，推行“网络安全战略”

《欧洲网络安全战略》的目标是，改善欧盟成员国的弹性和能力、加强打击网络犯罪、发展欧盟网络防御的组织结构

和功能，并制定网络安全国际政策，以帮助欧盟以外的地区发展能力

五大战略任务 各国具体动作

制定网络防御政策

强力打击网络犯罪

提升网络恢复能力

发展行业技术资源

推动双边多边合作

国家网络安全计划，5年8亿英镑

网络安全战略

重点保护基础设施

多方力量协调共抓

强调“技术主权”

国家安全与防

卫白皮书

国防部长：网络安全重要性超过军队

10亿欧元组建CALID网络防御部队

英国

德国

法国

多项网络安全法律出台

5

网络空间安全已经上升为国家战略

p2010年，美国政府将“网络空间”定义为与陆、

海、空、天并重的第五战略空间，宣布纳入主权范

围；

p2012年，美国宣布正式组建“网络部队”，强

化在网络空间的攻防能力；

p2013年，斯诺登曝光美国“棱镜”计划；

p2015年10月，美国国会通过了《网络安全信息

共享法案(2015)》，即《2015年网络安全法案》。

p2014年，中国成立网络安全和信息化领导小组,中

共中央总书记习近平亲自担纲组长

p2015年7月，人大初审《中华人民共和国网络安

全法（草案）》，2016年6月28日人大对《网络安

全法草案二次审议稿》进行了分组审议

p2016年3月25日中国网络空间安全协会正式成立

p2016年4月19日，习近平在网络安全和信息化工

作座谈会上着重提到网络安全是信息化的基石

美国 中国

6

国家基础设施和重要数据是网络安全首先要保护的对象

国家基础设施 重要数据

电力、能源

通信网络

铁路、公路、机场、桥梁

金融

政府国防军工医院

个人隐私 高科技

7

信息不对称

充分了解被攻击者

不知道

谁攻击我

范围不对称

攻击

只要一个点

防御

需要360度

规则不对称

无底线

为所欲为

法律合规

全遵守

攻防不对称，防御非常困难

8

IPSNGFWWAF SMG

SandBox

信誉查询系统

安全智能中心

信誉查询

IP Domain File

URL Geo Location

Spam User-ID

安全信誉评估

知识库升级系统

流量分析 病毒分析

0-Day分析 攻击分析

钓鱼分析 关联分析

BotNet分析 沙箱分析

URL分类识别 恶意网址检测

安全威胁分析

知识库同步

网络设备 IT设施事件

流量 日志

恶意行为特征库同步

响应

响应响应

可疑样本

样本贡献

样本分析

安全态势感知

Controller

策略控制

9

安全态势感知可视化

全网 安全态势感知Global Security Awareness

终端恶意文件清除

阻止威胁渗透

阻断 C&C

快速响应 威胁清除 Multidimensional interaction

C&C

木马文件异常流量

0day 漏洞

大数据威胁分析

精准 威胁发现Accurate detection

钓鱼邮件

大数据安全解决方案精准快速发现和清除威胁

10

IP地址

单一C&C域名

使用随机DGA算法

特点：难度低、易被抓方式：硬编码IP到文件检测技术：反向二进制、蜜罐

特点：难度较低、易被抓方式：硬编码C&C域名到文件+免费二级域名检测技术：反向二进制、蜜罐

特点：难度较高，不易被抓方式：加入随机盐值计算候选域名检测技术：熵、N-Gram分析等

Fast-Flux

特点：难度较高，不易被抓方式：快速转换的C&C域名和IP列表检测技术：反向二进制、域名行为特征，二分有向图

高级变形DGA

特点：难度很高、很难被抓方式：利用字典文件，单词组合检测技术：反向二进制、域名行为分析、文件关联分析、隐蔽通道检测

C&C 僵尸网络技术

11

域名随机熵计算

域名连续字符、数字

域名N-Gram频率

域名cc TLD

华为安全专家

特征归一向量化 机器学习

DNS 流量信息正常域名

异常域名

离线域名样本 C&C检测模型

模型优化

实时流量采集系统C&C异常检测模型

C&C检测模型的建立

12

12

全路径回溯

全路径展示

l 基于攻击链路径展示

l 不同节点不同攻击行为展示

全攻击路径数据挖掘

l 节点威胁事件挖掘

l 节点异常事件挖掘

l 节点流量数据挖掘

l 节点日志数据挖掘

攻击路径展示

13

流量元数据钻取

PCAP 文件下载

文件钻取

基于攻击路径的溯源调查-数据钻取

14

l 文件扩散路径展示

l 附主邮件详情

l 文件威胁行为分析

l 威胁事件

l 异常事件

l 流量元数据

查看恶意/可疑文件扩散路径

全路径数据溯源

基于网络攻击的溯源调查-文件回溯图

15

邮件异常检测主要从历史数据中提取邮件流量元数据，通过分析SMTP/POP3/IMAP协议中的收件人、发件人、

邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件检测结果，离线挖掘和检测收发件人异常、下载恶

意邮件、邮件正文URL异常等。

收、发件人

邮件附件

邮件异常检测引擎

沙箱文件检测结果

恶意邮件投递

发件服务器异常

邮件正文URL异常

metadata 邮件异常行为

邮件服务器

邮件正文

…

邮件异常检测

16

邮件头 收件人、发件人 正文 附件、图片

1、信誉检测

2、关联分析

1、发件人随机检测

2、统计分析

1、恶意URL检测

2、爬虫、web 沙箱

3、URL随机性检测

1、文件沙箱

2、文件类型检测

3、检测引擎

1、伪造邮件服务器

2、新出现的邮件服务器

3、发送主机风险评估

4、检测分流

5、DNS等历史信息

1、自动生成的收、发件人

2、群发邮件

3、新出现的发件人

4、发件人历史状况

5、收发件人关联

6、攻击链追踪

1、垃圾邮件

2、恶意链接

3、链接站点行为分析

1、恶意文件检测

2、文件行为分析

输入

相关技术

分析目的

邮件异常检测

17

l 查看恶意/可疑邮件扩散详情

l 查看附件或URL列表

l 查看关联的“异常事件列表”

和“MetaData数据列表

l 查看关联的“威胁事件列表

l 受威胁主机列表

邮件扩散图

全路径邮件数据挖掘

邮件异常检测

18

“闭环防御”APT解决方案，实现客户价值最大化

兼容现有安全技术和资源，抵御高级威胁

更快检测未知、定向、高级威胁

更快响应安全事件

全网安全态势感知，整体把握并改善安全状况

保护投资

高级安全

快速响应

安全可控

•减少攻击面：打补丁、最小端口开放、FW访问控制；IPS/AV签名、FW/ASG/NIP信誉防御等

•转移攻击：蜜罐等事前防御

•利用沙箱、流量探针、日志探针，结合大数据机器学习，快速检测未知威胁

•整合网络和终端的信息，确定攻击事件、并确定优先级

•联动网络、终端，隔离、拦截威胁

事中检测

•提供涵盖终端、网络的响应能力（调查、修复）

•自动生成情报，联动现网FW/IPS等安全策略执行点，实现防御闭环

事后响应

19

排版：左对齐

中文字体：微软雅黑

英文字体：Arial

正文颜色：RGB: 210; 210; 210

标题/强调颜色: RGB: 255;255;255

分隔线条颜色： RGB: 255; 204; 102

分隔线条线粗： 0.75磅

用做画面色块使用，三种颜色请搭

配使用，同一个页面颜色不能重复

使用

图形与文字搭配做底色使用，深浅

搭配使用

红色仅作局部小范围点缀

渐变色只用在数据图形的展示方面

图标：整个胶片出现的图标，使用

线稿效果，增加圆形线圈加以辅助；

图标尺寸为三种2.4x2.4cm，

1.6x1.6cm，0.9x0.9cm

图片：选择亮度高、自然化的图片；

本地+云服务协同DDoS防御

大量企业开始采用新的安全防御技术

中国

葡萄牙

43

墨西哥

沙箱和CIS联动，风险可视、可管、可控

防火墙和沙箱联动，实现APT威胁防御

• 实现威胁攻击路径溯源，快速调查取证，部署首月即发现8个全球威胁

• 切断9个远程黑客控制服务器的外发请求,由于安全措施到位，未造成信息安全事故

• 三重防御部署，800G清洗能力• 统一集中管理8个国家地区• 秒级攻击响应SLA

• 上线3个月，检测到102个高危文件，99%准确

• 全球首次发现恶意文件40+• 成功阻断98次二次攻击

Copyright©2016 Huawei Technologies Co., Ltd. All Rights Reserved.The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.

THANK YOU