华为CIS网络安全智能系统-HuaweiEnterprise.PDF

华为CIS网络安全智能系统 APT （Advanced Persistent Threat ，高级持续性威胁）是黑客以窃取核心资料为目的，针对企业发 动的网络攻击和侵袭行为。其目标是访问企业网络、获取数据，并长期地秘密监视目标计算机系 统。近年来，APT攻击已经成为业界关注和讨论的热点。因其独特的攻击方式和手段，传统的安 全防御工具无法有效防御。典型的APT攻击，包括多个攻击过程，如：资源侦查、外部渗透、命 令与控制、内部扩散、数据外发等。一旦攻入企业内部，黑客能在企业内部持续横向渗透，收集 敏感信息并回传，造成巨大的损失。 华为推出的CIS （Cybersecurity Intelligence System ，网络安全智能系统），采用最新大数据分析和 机器学习技术，可用于抵御APT攻击。它从海量数据中提取关键信息，通过多维度风险评估，采 用大数据分析方法关联单点异常行为，从而还原出APT攻击链，准确识别和防御APT攻击，避免核 心信息资产损失。 产品图 华为CIS网络安全智能系统 10-1 方案亮点 全面检测：基于APT攻击链，检测单点事件，关联组合威胁 全网协防：威胁联动安全设备、终端设备处置闭环、云端信誉共享 全网可视：安全态势实时感知，PB级数据秒级检索溯源 方案架构 APT CIS CC web sysLog\NetFlow 图1. 方案架构 数据采集： 通过流探针采集全网流量元数据、日志采集器采集网络安全设备的日志信息、华为沙箱上报文件 信息等，CIS网络安全智能系统进行格式化预处理、针对不同类型的数据进行分布式存储、对关键的 格式化数据建议索引，以提供快速检索、威胁检测、威胁可视化等服务。 CIS网络安全智能系统： CIS系统基于多种数据源进行分析，流量元数据，用于CC检测、隐蔽通道检测、Mail检测等；日志 用于日志关联分析；netflow用于流量异常分析；在mail异常、隐蔽通道异常检测中，结合文件信息，帮 助判断是否异常。以时间、空间、IP等信息为关联，CIS系统将单点异常事件进行关联并综合评估，得出 攻击链，并进行高级威