IP画像网络行为分析解决方案

       随着智能电网的发展以及不断完善的电网综合信息系统的建设，来自内部的网络安全问题也日益突出，比如在电网综合信息网的日常办公平台和对外电力交易业务与应用平台，网络内部的非法访问、滥用网络资源、病毒传播、针对应用与系统漏洞的攻击和威胁等。基于IP协议的通信量的巨大增长，这种增长主要体现在虚拟机IP地址数量通信量上，由于前期IP地址规划和分配的不可预见性导致了IP地址管理的问题，怎样及时和有效地管理整个网络系统中的IP地址，地址过多和怎么有效的分配这些IP地址，成为困扰一些企业内部网络管理的问题。如果没有有效的管理，可能导致网络安全、网络风暴，甚至网络的崩溃。

       电力信息网络作为电力系统安全运行的重要组成部分，随着业务的建设发展存在以下趋势和要求：

•        信息网络的容量增大，网络拓扑不断调整变更、扩大。
•        业务不断丰富，网络能否承载新业务；新业务的上线后对原来业务体验的影响也提出相应的要求。
•        终端类型多样化，需要评估各种Wifi终端、LTE终端的网络体验状况。
•        故障高效有效的隔离，提出如何在服务系统、网络与终端之间快速定位问题点。
•        通过网络流量数据的分析，对网络中的办公主机、网络设备进行行为分析和画像。了解目标对象的特征，行为进行数据化标签。一方面可以根据预设的特征标签对比判断是否有异常访问行为，另一方面可以更细致的了解对的行为特征，为更加精益化管理提供数据依据。

 

一、主要功能

1. 无代理自动化网络发现，提供全面的网络、终端数据

终端信息自动发现：终端信息自动发现是对网络内的IP 使用情况进行主动探测分析，结合实名信息，帮助管理员解决最为关心的“IP是否在用？谁在用？在哪用？”的问题，提高管理效率。

网络信息自动发现：支持与交换机联动，主动采集交换机信息，实现网络全局可视化，管理员可看到整个网络中划分了多少个VLAN、对应着多少个接口、开通了哪些协议等信息协助管理员对网络进行整体管控。

交换机端口控制：交换机端口管理帮助企业管理员识别某个设备所连接的交换机端口，无需再手动跟踪网线，并可针对二层交换机，三层交换机的端口进行关闭，启动操作，实现用户终端的网络控制。

2. 事后异常分析能力，提供分析溯源能力

自动化IP地址实时跟踪：使用主动扫描发现并跟踪子网及相关的地址块，查看子网内各IP地址当前的状态以及对应的设备信息。

IP详细信息历史跟踪：提供每个IP的全部历史使用情况以及详尽的报表信息，以便于企业IT部门的审计、溯源工作。

地址冲突检测：支持监控IP地址使用情况，当规划地址与使用地址不符，而造成IP地址冲突时触发告警。

二、数据采集

主要有如下三部分：

1. 网络全流量镜像

2. 漏洞扫描

3. NMAP扫描

三、目标设定

1. 业务行为画像

通过网络流量数据分析各个节点、主机的业务行为画像。

1) 行为视图：可以看到主机（节点）的基础信息，业务行为的描述。提供图形化的视图显示此主机到各个系统的访问路径图。

2) 使用率视图：显示当前主机（节点）的CPU，内存，磁盘使用情况，并用图形化的方式进行直观的显示。

2. 安全（异常问题）画像

1) 网络异常问题分类

通过数据分析展现常见的网络异常数据，以统计分析图的形式直观的呈现出来，易于方便的发现异常情况。

常见的网络异常情况列举：

 客户服务端延时，

TCP建立连接超时，TCP重传、零窗口

异常的SYN、RST、FIN包

2) 安全画像图

设计一个可视化的安全画像展示图，可表达整体网络环境的安全情况

举例：失败请求分析

3. 节点流量画像

根据日常网络运营流量数据的统计情况系统可以智能的给出与流量相关的标准基线设定，系统可以支持多维度的基线、对偏离基线的异常行为及时发现。

以图形化的方式表示各个节点的流量统计数据，可以显示应用服务节点经过交换机到各主机的流量分布情况。

     4. 设备、主机使用率分析

通过网络流量的数据分析各个设备的使用率情况，可以发现不使用的设备，负载过高的设备等情况，在此分析基础上给出设备的使用优化方案。

系统需要通过分析数据以及视觉化的方式呈现各个设备资源的占用率情况，能给出一些资源优化的提示和建议。

5. 安全预警

下图展示了部分安全预警点、预警逻辑以及预警的方式和表现形式。

 

 

 

 安全监测

      对网络全流量，利用规则和威胁情报，发现潜在的威胁。同时平台可以根据不同网络环境和需求来建立自定义的场景来发现异常。并且结合漏洞扫描的结果，进一步证明检测的可靠性。

 

1. 资产风险概况和总览

 

结合多个维度的安全数据，对资产的安全状况进行分数评估。根据安全评估，系统列出最值得关注的资产。

 

 

 

 

2.告警事件详情

 

每一个告警都有详细的描述和处置建议，可以流量回溯，发现攻击详情。 并且针对机器间的交互进行事件关联，发现可能的时间节点和攻击链。平台提供方便的查询界面，通过各种组合发现感兴趣的告警。

 

 

告警事件

 

 

 

 

告警事件中的流量追溯

 

 

告警事件中的关联事件

 

 

 

3.场景设置

 

平台可以根据不同的网络环境和用户的需求自定义场景来发现异常现象。

 

 

告警分析

 

4.漏洞扫描

 

平台能对资产进行主动漏洞扫描，对资产进行安全状况评估。每一个漏洞都有详情的描述和处理建议。并且通过相同的CVE事件与针对该资产的攻击进行关联，从另一个维度来印证攻击发现的可靠性。

 

 

漏洞扫描

 

5. 可疑连接

 

   利用非监督机器学习的方法（LDA算法），从网络流量里发现最不可能或是最有独特特征的网络连接。

 

 

可疑连接

 

 

 

6.关联汇总（机器画像）

 

针对每一个资产，从多维度（安全，流量，运维）来进行画像，显示资产的健康状况。

 

 

机器画像