安于责任

恒于创新

态势感知与安全运营

安恒风暴中心 杨勃

安于责任

恒于创新

信息化的发展带来了便捷的生活

第一台计算机

个人PC与局域网

互联网

互联网+

安于责任

恒于创新

带来了无法想像的计算能力

4月28日消息 28日，阿里云计算与瑞云

科技达成战略合作，搭建面向全球的视觉云计算平台通常一部2小时的电影，传统渲染速度可能需要半年，Render cloud只需不到一周，并节省40%的成本

安于责任

恒于创新

网络空间把你我与世界连在一起

Online

安于责任

恒于创新

然而安全问题更加严峻

安全问题严峻

资金投入不够

技术基础薄弱

法律法规欠缺

安全意识落后

我国在信息安全投入上占据 IT总投入比例相对发达国家过低，据统计我国这一比例仅为 2%左右，而发达国家已经达到10~12%。

我国网络与信息系统防护水平不高、应急能力不强，信息安全管理和技术人才缺乏、关键技术上整体比较落后、长期缺乏核心竞争力，信息安全管理薄弱。

我国信息安全法律法规和标准不完善，虽然自1994年便

出台了《计算机系统安全保护条例》，但仍然存在着法律法规内容重复交叉、有待完善之处。

全社会的信息安全意识不强，对于信息安全问题造成的损失和可能带来的损失缺乏预见性，缺少防范措施，网络行为的道德规范尚未形成。

安于责任

恒于创新

国内大量仿冒、商业传播、数据窃取事件

公民信息泄露

赌博色情黑页

仿冒党政网站

安于责任

恒于创新

个人已无隐私

2011-12 CSDN、天涯等网站数据库泄露

2013-11 腾讯数据库泄露

2014-12 12306数据库泄露

2015-10-31 000webhost明文密码泄露

安于责任

恒于创新

攻击影响更加深远

GPS信号与无人机劫持 物联网水质监测系统入侵

GSM信号嗅探、信号压制及SIM卡旁路克隆技术，成为移动互联网基础设施安全的重大威胁

对GPS信号的伪造、重放与劫持，对智慧城市建设、智能设备应用甚至飞机、航海与地面交通安全等造成重大隐患

智慧城市基础设施的物联网趋势，使攻击者可以对城市供水供电、交通管理等命脉设施发动APT攻击，轻易摧毁正常城市秩序

伪基站

安于责任

恒于创新

国际网络战悄然临境

“斯拉夫兵工厂”

Hacking Team事件

英国Gamma公司事件

境外敌对组织匿名者等 疑似国家行为的APT攻击

高度针对拉美国家特定语系、特定种族人群且跨平台传播的定制化、规模化攻击战术“弯刀”

国际数字军火商偏爱系统底层0day，尤以GrSecurity/PaX类Linux内核漏洞为最，一旦规模化利用则会对国家级重要信息系统造成毁灭性后果

军火供应 黑客雇佣兵 国家正规军

政治诉求与经济诉求相结合的境外黑客组织，接受雇佣请求，计划、组织与发起具有高度目的性的攻击行动，如OP HK和OP CHINA

安于责任

恒于创新

智能设备与大规模攻击浑然一体

• 海量网络设备与智能设备后门构成新型高频攻击源

• 无线路由器、网络摄像头、智慧城市智能设备的普及造成规模性、事件性安全问题

• 大数量级维度下的“黑天鹅”事件特性：

不可抗性

随机性

以0 day预检测与安全态势监测预警的方式最大限度消减此类事件风险

安于责任

恒于创新

未来已来，你准备好了么？ Tomorrow is coming, are you ready?

安于责任

恒于创新

有感而知，“先知”探索者

借力大数据

历时两年

监测与侦听相结合

强化实践与试点工作

安于责任

恒于创新

覆盖全国的监测网络

分布式基础网络

覆盖全国32个省市的监测节点

自发现网络空间在线系统

海量数据处理性能

网络设备 12，339，390

发现漏洞 68，922，867

存储数据 465TB

灵活的大数据集群

可动态扩展，适应各类项目规模

安于责任

恒于创新

“先知”的技术内幕

发现设备

服务质量 监测

安全事件监测

分布式 节点

01011 10001010 101010010101

数据存储、规范、降噪 关联、聚类分析

基础信息库：IP、指纹、域名、信誉

安全态势分析与感知

漏洞、事件、可用性、攻击行为、访问行为

感知1：动态可视化展现

感知2：安全运营服务

流量日志采集

感知3：威胁情报分析

安于责任

恒于创新

“先知”的服务内幕

3分钟，快速发现反动组织恶意入侵

30分钟，完成全国0day影响范围评估

7*24小时运营服务

云向端实时数据分享

3秒钟，完成用户端数据分享

30余万个应用系统，云端实时监测

安于责任

恒于创新

“先知”的业务流程

告警通报 先知——态势感知 应急支持

应急工具箱

确认完成

闭环的感知—通报—处置——跟踪流程

安于责任

恒于创新

“先知”的数据示例

953个政府网站解析到国外地址 730起域名劫持事件 220多起伪造政务域名事件 大多成为博彩类广告网站的入口

2014 ，openssl爆出心脏出血，23,512个站点未修复

2015，再次爆发0day漏洞，受影响约31,864 个网站

分析3万多个被暗链感染的网站样本， 共植入528,777个暗链， 18 条暗链/网站， 集中在博彩、澳门赌场、百家乐、游戏、色情等

more……

安于责任

恒于创新

“先知”项目示例

云防御服务

风暴中心平台可视化展现 7*24专家团队安全运营服务

专业配置 防御监控

监测

日志监控 风险预警

防火墙 IPS

WAF

传统设备

Syslog Accesslog ……

DPI

安于责任

恒于创新

“先知”的实践模式

告警

辖区分析报告

区域行业可视化监控大屏

建设用户自有计算资源 可选 32个全国节点 监测共享

海量的数据 计算资源

7*24的安全 运营服务

专题安全报告

漏洞、事件通报

0day安全预警

云端资源与服务 用户建设内容

安于责任

恒于创新

未来，“先知”还将探索更多

1030::……:48AA:1A2B

1030::……:22CD:1124

1030::……:3321：221C

1030::……:333d：cd21 网络空间的高速发展 发现能力 指纹识别 漏洞检测 攻击行为 ……

1030::……:48AA:1A2B

空间安全感知+

安于责任

恒于创新

未来，网络空间整体防御将成为标配

云安全防御中心

蜜罐

骨干节点流量分光 蜜罐捕获最新攻击行为 威胁情报采集分析

攻击追踪与防御

安于责任

恒于创新

未来已来，“先知”已知