CIS网络安全智能系统技术白皮书.pdf

CIS网络安全智能系统 技术白皮书 Technical White Paper 目录 1技术背景 6 2概念及原理 6 2.1 概念介绍 6 2.1.1 智能检索 6 2.1.2 攻击路径可视化 6 2.1.3 事件关联分析 7 2.1.4 流量基线异常检测 7 2.1.5 WEB异常检测7 2.1.6 邮件异常检测 7 2.1.7 CC异常检测 7 2.1.8 隐蔽通道异常检测 7 2.1.9 威胁判定 7 2.2 工作原理 8 2.2.1 系统体系结构 8 2.2.2 数据采集原理 8 2.2.3 数据预处理原理 8 2.2.4 分布式存储原理 8 2.2.5 分布式索引原理 8 2.2.6 事件关联分析原理 9 2.2.7 流量基线异常检测原理 9 2.2.8 WEB异常检测原理9 2.2.9 邮件异常检测原理 9 2.2.10 CC异常检测 10 2.2.11 隐蔽通道异常检测原理 10 2.2.12 威胁判定原理 10 3业务功能 10 3.1 日志采集 10 3.1.1 Syslog 日志采集 11 3.1.2 Dataflow 日志采集 11 3.1.3 Netflow数据采集 11 3.2 流量采集 11 3.2.1 协议解析 11 3.2.2 文件还原 11 3.2.3 流量抓包 12 3.3 威胁检测 12 3.3.1 关联分析 12 3.3.2 流量基线异常检测 12 3.3.3 WEB异常检测 12 3.3.4 邮件异常检测 12 3.3.5 CC异常检测 12 3.3.6 隐蔽通道异常检测 12 3.4 智能检索 13 3.4.1 数据检索 13 3.4.2 检索结果钻取 13 3.5 威胁可视化 13 3.5.1 威胁地图 13 3.5.2 事件显示 13 3.5.3 多维分析 13 3.5.4 攻击路径可视化 14 3.5.5 大屏展示 14 3.5.6 威胁趋势 14 3.5.7 告警通知 14 3.5.8 设备联动 14 3.5.9 信誉管理 15 3.6 业务配置 15 3.6.1 关联规则配置 15 3.6.2 流量基线配置 15 3.6.3 黑白名单配置 15 3.7 系统监控 15 3.7.1 告警管理 15 3.7.2 日志管理 15 3.7.3 节点监控 16 3.8 系统管理 16 3.8.1 集群管理 16 3.8.2 全局配置 16 3.8.3 北向配置 16 3.8.4 系统管理员 16 3.8.5 安装升级 17 3.8.6 知识库管理 17 4应用实施 17 4.1 独立部署检测僵尸主机场景 17 4.2 与沙箱集成检测APT攻击场景 18 4.3 与第三方SOC/SIEM集成检测APT场景 18 5参考文档 19 CIS 技术白皮书 CIS Technical White Paper Key words 关键词：威胁，异常，日志，关联分析，流量基线异常 Abstract 摘 要：本文介绍了CIS系统的应用背景，描述了CIS系统的实现与运行机制，并简