数据中心--构建医院安全大脑解决方案模板v1.0.docx

深信服安全感知 解决方案 （ 构建医院安全大脑 解决方案） 深信服科技股份有限公司 201 8 年 0 4 月 目 录 1 需求分析 1 1.1 用户信息化和安全建设现状分析 1 1.1.1 信息安全建设现状与分析 1 1.2 行业现状和攻防对抗需求分析 1 1.2.1 传统威胁有增无减新型威胁层出不穷 1 1.2.2 已有检测技术难以应对新型威胁 2 1.2.3 未知威胁检测能力已经成为标配 2 1.3 现有安全体系的不足分析 3 1.3.1 看不清自身业务逻辑 3 1.3.2 看不见潜藏威胁隐患 4 1.3.3 缺乏整体安全感知能力 4 2 方案理念 6 2.1 看清业务逻辑 6 2.2 看见潜在威胁 7 2.3 看懂安全风险 7 2.4 辅助分析决策 8 3 解决方案 8 3.1 方案概述 8 3.2 安全感知系统 8 3.2.1 系统架构 8 3.2.2 组件实现 9 3.2.3 主要功能 13 4 方案价值和主要技术优势 20 4.1 全网业务资产可视化 20 4.2 全网访问关系可视化 20 4.3 多维度威胁检测能力 21 4.4 安全风险告警和分析 21 4.5 全局视角态势可感知 22 需求分析 用户 信息化和安全建设 现状分析 信息 安全 建设现状 与分析 随着医疗行业信息技术的飞速发展，医院信息系统的各类应用不断得到扩充，目前大多数医院都在逐步完善自己的信息系统。一方面医院业务逐步的向“互联网 + 医疗”的目标前进，信息系统极大提升医院自身的管理和服务水平；另一方面医院业务对信息系统的依赖性越来越强，医院信息系统所承载的数据也越来越重要；医院传统的纯内网环境已无法满足新时代背景下医疗信息化催生的各种业务的需要。随着 新业务的引入，业务系统 的建设必将打破业务内网的安全边界 ，由外网新业务建设带来的全网安全风险将大大超过以往纯内网的网络环境。 国务院 2016 年 12 月 27 日印发的《“十三五”国家信息化规划》（国发〔 2016 〕 73 号），提出要“健全网络安全保障体系”、要“全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设”。 因此针对医院目前的“互联网 + ”信息化环境，为了响应中央对网络安全建设的号召，也为了医院能够更好的管理和优化自身网络安全建设，防止黑客攻击带来业务及声誉上的损失，我们都需要搭建一套属于医院自己的安全态势感知平台，让平台成为用户的安全大脑，为用户的网络安全决策提供服务。 行业现状和攻防对抗 需求分析 传统威胁有增无减新型威胁层出不穷 随着网络的发展，互联网已经逐渐成为 人们生活中不可或缺的 重要依靠 ，但信息安全的问题 也 随之 越来越严峻 。 近几年来 ， 信息安全 问题 已经成为业界关注和讨论的热点，目前 ， 木马、僵尸网络、钓鱼网站等传统网络安全威胁有增无减，分布式拒绝服务（ DDOS 攻击）、高级持续威胁（ APT 攻击）等新型网络攻击愈演愈烈。 面对如今越发严重的安全形势，传统的安全 行业 也面临 巨大的 挑战。 2018 年刚过完传统农历新年，就有数家医院遭受勒索病毒攻击，导致医院长时间无法为患者提供医疗服务，极大的影响了医院正常业务的开展。 已有检测技术难以应对新型威胁 传统的防御措施主要是依靠防火墙技术、 入侵检测技术 以及防病毒技术 ， 任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往 就是这三样，传统的 防御 虽然 起到了很大的作用，但还是 面临着 许多新的问题。 首先 ，用户系统虽然部署了防火墙，但仍然 避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰 。并且 未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。 其次 ，虽然很多用户在 单机 、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来 非法侵入 、补丁管理以及合规管理等方面。 所以说， 虽然传统的防御 仍然发挥着重要作用，但是用户已渐渐感觉到其不足之处 ，因为 它已经无法 检测 和 防御 新型攻击 。简单的说，网络攻击技术已经超过了目前大多数 医院 使用的防御技术。 未知威胁检测能力已经成为标配 Gartner 公司的 201 6 年信息安全趋势与总结 中提出 ， 当前我们所知道的关于安全的一切都在变化：常规路线逐渐失控；所有的实体需要识别潜在的攻击者 ； 大量的资源将会组合使用；常规安全控制手段逐渐失效；需要从以堆叠来保护信息的方式进行改变；入侵、高级持续性攻击极难被发现。 在《 Gartner 201 6 年信息安全趋势与总结》 中提出 ： 传统的安全手段无法防范 APT 等高级定向攻击；随着云计算、 BYOD 的兴起，用户的 IT 系统将不在属于用户自己所有或维护管理；仅仅靠防范措施是不能够应对安全威胁，安全监控和响应能力是 医院 安全能力的一个关键点；没有集体共享的威胁和攻击的情报，单个用户 将无法保卫自己。报告中 还 发表了一个数据 ，预测 2020 年， 60% 的 信息安全预算的将用于快速检测和响应方面， 而 2013 还不到 10% 。 现有安全体系的不足分析 医院 之所以难以及时发现黑客入侵的主要原因可以总结为 “三个看不清”和 “三个看不见”，继而由此产生 了 的安全 技术 保障体系和安全治理管理 体系的脱节 ， 简单堆砌的防火墙、入侵检测、防病毒等产品无法提供 信息安全 管理决策所需的数据支撑，而管理决策体系确定的安全策略也缺乏对应的抓手却检测是否真正实现和落地了。 看不清自身 业务 逻辑 信息安全保障的是 核心业务和数据资产，如果我们都不清楚 被保护的主体包含了哪些系统、 哪些资产以及他们之间是如何交互 、如何互相访问 的 ，那么就谈不上 建立针对性的安全保障体系 。越来越多的 黑客攻击已经开始基于业务逻辑和业务流开始构建自己的攻击过程，例如著名的孟加拉央行劫案 ，都不是通用安全防护设备能够应对的 ；而来自 恶意 内部员工的 窃密和攻击，多数时候甚至都不是严格意义上的网络攻击行为，更加无法依赖 标准化交付的安全产品实现。 而 “ 看不清 ”自身业务主要包括以下三个维度： 看不清的新增资产产生安全洼地 关键 IT 资产的梳理和清单目录是许多 IT 运维人员最头疼的问题，特别是随着 IT 资产逐步 向虚拟化迁移，新增部署一台虚拟机往往只需要数分钟的时间 ， 而在服务器上开启服务或者端口的管控机制也不健全。 看不清的新增资产 会 因为缺少安全检查与访问控制，成为攻击者攻入 关键 业务区 的 跳板 ； 看不清 的资产配置信息 及 开放的 服务端口 ， 会 由于缺乏安全访问 规则的 控制 ， 成为远程 接入 的 最佳途径 ； 看不清的 资产漏洞， 会 由于没有适当的安全加固 ，最简单的攻击代码就能轻易攻陷这些机器。 看不清的业务关系使业务安全防护失效 目前大部分安全防护的重点均停留在网络与应用系统侧，对业务与数据访问的防护还不健全。黑客在突破和绕过边界以后，往往利用合法用户的计算机与 身份对数据库、财务系统、客户关系管理系统等关键资产进行非法访问、数据窃取与资产破坏行为 。而这些访问往往只是正常的增删查改操作，并不需要借用攻击代码或恶意软件，传统基于网络和应用系统的防御措置往往无法识别。 缺乏 有效手段主动识别新增业务 过去 的 IT 管理 需要大量 管理 设备与专业 人士 进行业务资产的识别与梳理， 很多 情况下 要发现新增 业务资产 往往只能依赖定期的安全巡检，效率不高且滞后。 如果不能 通过自动化 的 手段对新增业务资产及其开放端口、使用协议、系统配置信息进行识别， 以及 对关键业务访问关系及其流量模型的可视化呈现， 那么 管理人员手里的资产台账永远都只是过去时态，难以应对 安全事件分析的需求 。 看不见 潜藏 威胁 隐患 “ 三个看不见 ”， 即 看不见黑客发起 的内网横向攻击、看不见内部人员的违规操作以及看不见内网异常行为 ， 其中 ： 第一个看不见是指攻击者绕过边界防护后，发生在 医院 内网的横向移动攻击是无法检测到的，例如通过失陷主机向内网业务资产或业务资产管理员发起的横向移动或者跳板攻击，包括内网嗅探、内网扫描、漏洞利用、远程控制、攻击会话等都无法被边界设备检测； 第二个看不见是指攻击者的行为往往不是病毒、漏洞利用等明显恶意行为，而是通过社会工程学、钓鱼、跳板等更加隐蔽的手段获取高级管理员的账号与权限，同时，内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限； 第三个看不见是指攻击者在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链中，会将关键文件进行打包加密甚至隐写，所有的网络会话也会在加密通道上传输，而会话维持以及远程控制服务器的通信会夹杂在代理、 VPN 隧道、 NTP 、 DNS 等正常网络协议中混淆视听，从而隐藏自己的攻击行为。 在看不见的环境中与黑客较量无异于遮住眼睛与人搏斗 ， 只有 看清 了 全 网业务和流量，对内部的攻击行为、违规操作和异常行为进行持续检测，利用威胁情报、流量监测、机器学习等核心技术有效识别内网中潜伏的威胁， 才能 通过可视化平台将这安全状态实时地展现给安全部门，从而让内鬼和黑客无所遁形。 缺乏整体安全感知 能力 安全技术保障体系和安全治理管理体系的脱节，主要是 指安全组件发现的 安全 问题缺乏 相应 的检测分析能力 和追溯能力 ， 无法提供有效的事件应对处置闭环 ； 而安全治理所需 系统状态、安全态势也缺乏 相应 的感知和可视 手段 ，无法实现真正的看到和看懂 。 图 2-1 传统的安全体系缺乏看到看懂的感知环节 事后难以追溯取证 市面上绝大多数网络安全类产品只能保持 HTTP 、 DNS 等常见应用日志的记录，而 ARP 请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一，引起文件误报等行为，给用户决策带来干扰。其次，在追溯网络犯罪过程中没有原始的数据包作为支撑，当我们故障排查的时候很难准确定位问题环节，阻碍深入追溯分析的进行，给攻击目标带来无法挽回的损失。 单点检测管中窥豹 现如今的安全防御软件检测方式单一。如 传统 防火墙根据一定格式的协议对文件访问进行过滤，不能防范攻击者 IP 欺骗攻击；反病毒软件根据病毒特征或者黑白名单判断文件攻击性，无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能，能够在不同的环境中通过 合理的变形和伪装躲避反病毒软件的查杀，最终侵入系统核心部位爆发 。 这些新型攻击手段，显然需要防御者能够综合分析多维度的信息，进行综合判断才能进行及时的检测和处置。 传统 SOC 存在局限 传统的安全管理中心 （ Security Operations Center ， SOC ）无论在技术层面上还是管理层面上都无法达到预期的效果。绝大多数 SOC 功能仅仅停留于各类设备日志的收集上，如：路由器、防火墙、交换机、数据库的日志，更谈不上数以千 计的安全软、硬件产品的集中综合管理。其定义与实际功能严重不符， SOC 平台仍然还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析，以及用户的投资回报（ Return On Investment ， ROI ）。 方案理念 针对 传统安全保障体系难以新型威胁 和 APT 攻击，以及缺乏 看到看懂的感知环节的不足，深信服提出了基于 行为 检测 和关联分析技术 、对全网 流量进行安全监 测的可视化 和 预警检测 解决方案 。 方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要 基于 “看清业务逻辑、看见潜在威胁、看懂安全风险、辅助 分析 决策 ” 的 思路进行设计实现 的 。 图 3-1 安全感知平台整体逻辑架构 看 清业务 逻辑 信息安全 的核心目标是解决 组织和 医院 核心 业务的安全 、 稳定运行 ， 如果安全 检测 系统不了解信息 系统的 资产有哪些、业务逻辑关系 如何 ，而是 无论在哪一个客户的网络中都复用同一套安全判断准则 ，那么 它提供的 检测 能力 显然是脱离实际的 。所以 未知威胁检测和 安全感知的 首要 需求 就 是看清业务逻辑，即： 能够 对业务系统 的 核心资产进行识别，梳理用户与资产的访问关系； 对业务资产存在的脆弱性进行持续检测，及时发现 新 业务上线以及 系统更新产生的漏洞及安全隐患， 识别新增 业务 资产以及业务访问关系 ； 看 见潜在威胁 信息 安全是一个涉及多个领域的复杂 问题，攻击者 可能 包括外部黑客、心怀不满的员工 、以及内外勾结等各种 情况，攻击途径更是包括了暴力攻击、社会工程学、恶意代码、 APT 、漏洞利用等等数百种不同手段。防御者需要全面监控，但攻击者只需要一点突破即可，如果没有系统的检测能力，即使别人告诉你被 黑客 攻击了，都找不出黑客 是 怎么攻击的。 而新一代的未知威胁检测和安全感知 技术 ，正是由于其 对现有业务及其逻辑关系 具备 深入 的 理解， 就能够有别于传统检测系统， 实现更 加 全面的 潜伏 威胁检测和 安全态势感知 分析 能力 ： 传统的安全防御体系过于关注边界防护， 对绕过边界防御的进入 内网的攻击 缺乏监测手段，需要 对东西向流量和访问行为进行监测和分析 ， 弥补 传统 边界和 静态防御 的 不足； 黑客攻击过程特别是以窃取信息为目的的 APT 攻击， 都具备较长的攻击链条 ， 如果 能够对 网络 内部 信息 资产已发生的安全事件进行持续检测， 就能够通过对 不同事件和告警之间的关联 分析 ， 真正还原整个攻击链从而 及时遏止黑客 进一步攻击，在产生实际危害前 进行封堵 ； 对内部用户、业务资产的异常行为进行持续 检测 ，通过建立合法行为基线，对传统入侵防御系统无能为力的内鬼作案和内外勾结窃取敏感信息行为进行监控 ； 针对新型威胁快速更新迭代的特点 ， 就更加需要建立 海量威胁情报 关联 体系 ， 通过 国内外 权威情报库 和云端 关联 强化 新型威胁检测 能力 ； 看懂 安全风险 信息安全系统除了需要能够及时发现问题外 ，还需要保障系统的易用性 ，确保客户 技术人员能够方便快 速的发现 安全问题、 了解影响范围、 定位问题源头 ， 提供 响应的展示告警和分析 举证服务 。 只有 人性化的安全事件分析告警和 举证分析服务 ，才能真正为 安全 保障部门 的事件分析和应急处置提供 有效帮助 ： 打破传统的网络拓扑展示 局限 ，采取 基于 系统业务逻辑 的 业务 访问 视图， 安不安全 、 哪里不安全一目了然 ； 从运维和安全应急人员视角， 在 失陷业务 、风险用户和有效攻击等不同维度 分析和展示安全风险 ， 方便定位安全问题； 辅助分析决策 除了 专业的威胁检测和风险分析效果， 安全感知的核心目标还是 全面展示安全态势与辅助安全决策分析： 安全态势展示： 可视化的形式呈现关键业务资产及针对 关键业务资产 的 攻击与潜在 威胁 ， 通过 全网攻击监测 、 分支机构监管 、风险 外联监测 等多个不同视角的大屏展示 ， 提供对失陷业务 和主机的报告导出和分析服务 ， 为 信息安全主管提供 驾驶舱式的 辅助决策服务 。 辅助决策分析： 通过访问逻辑展示、主机威胁活动链分析、安全日志举证和查询、以及基于特定资产的深度业务逻辑 分析 和威胁 攻击链 钻取（潜伏威胁黄金眼）， 更是 可以快速定位问题影响和源头 ， 进行相应的分析研判； 解决方案 方案概述 基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路，深信服安全感知解决方案 主要通过 技术监测平台和相关安全监测服务共同实现， 由安全感知系统建立基本的潜伏威胁检测和安全感知 能力，而专业的云端安全专家和应急响应专家团队则为客户提供系统的检测响应闭环服务。 安全感知系统 系统架构 通过潜伏威胁探针、全网安全感知可视化平台、深信服安全服务云平台构成持续检测快速响应的技术架构： 图 3-2 安全感知平台系统架构 潜伏威胁探针： 在核心交换层与内部安全域部署潜伏威胁探针，通过网络流量镜像在内部对用户到业务资产、业务 的访问 关系进行识别，基于捕捉到 的 网络流量对内部进行初步 的攻击识别 、违规行为检测与内网异常行为识别 。 探针以旁路模式部署，实施简单且完全不影响原有的网络结构，降低了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”，主要用于监听、检测局域网中的数据流及用户或服务器的网络行为，以及实现对用户或服务器的 TCP 行为的采集。 安全感知 系统： 在内网部署安全感知 平台 全网检测系统对各节点安全检测探针的数据进行收集，并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产 的 攻击与潜在 威胁 ；并通过该平台对现网所有安全系统进行统一管理和策略下发。 其他安全组件： 安全感知系统可以对深信服主流的安全产品，包括 NG AF 、 EDR 等设备和系统进行日志统一关联和事件联动处置 。 组件实现 全网安全感知平台主要由威胁潜伏探针 、 安全感知系统 两部分组成 ， 并提供基于 深信服安全服务云的 深度分析、威胁关联和服务响应能力 。威胁潜伏探针构筑在 64 位多核并发高速硬件平台之上，采用自主研发的并行操作系统 (Sangfor OS) ，将转发平面、安全平面并行运行在多核平台上 ， 多平面并发处理，紧密协 作，极大的升了网络数据包的安全处理性能。 安全感知系统 利用 大数据 并行计算框架支撑 关联分析、流量检测、机器学习等计算检测模块，从而实现海量 数据分析协同的全方位检测服务。 威胁潜伏探针 分离平面设计 威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。 多核并行处理 威胁潜伏探针的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。 单次解析架构 威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配，有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过 “0” 拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。 跳跃式扫描技术 威胁潜伏探针利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为 HTTP 流量，那么 FTP server-u 的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。 流量记录 能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括： TCP 会话记录、 Web 访问记录、 SQL 访问记录、 DNS 解析记录、文件传输行为、 LDAP 登录行为。 报文检测引擎 可实现 IP 碎片重组、 TCP 流重组、应用层协议识别与解析等，具备多种的入侵攻击模式或恶意 URL 监测模式 , 可完成模式匹配并生成事件，可提取 URL 记录和域名记录，在特征事件触发时可以基于五元组和二元组 (IP 对 ) 进行原始报文的录制。 Sangfor Regex 正则引擎 正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了探针的整机速度的提高。为此，深信服设计并实现了全新的 Sangfor Regex 正则引擎，将正则表达式的匹配速度提高到数十 Gbps ，比 PCRE 和 Google 的 RE2 等知名引擎快数十倍，达到业界领先水平。 深信服威胁潜伏探针的 Sangfor Regex 大幅降低了 CPU 占用率，有效提高了威胁潜伏探针的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别高的场景，如运营商、电商等。 安全感知平台 资产业务管理 按照功能划分，内网设备可分为资产和业务。安全感知平台可以主动识别内网资产，主动发现内网未被定义的设备资产的 IP 地址，无需用户进行繁琐的统计和录入，节省用户时间。资产配置详情展示模块，可以识别内网服务器资产的 IP 地址，操作系统，开放端口以及传输使用协议和应用。业务与资产关系展示模块，能够按资产 IP 地址 / 地址段，组合成为特定的业务组。 内网流量展示 访问关系展示模块，通过访问关系学习展示用户、业务系统、互联网之间访问关系，能够识别访问关系的 who 、 what 、 when 、 how 。通过颜色区分不同危险等级用户、业务系统。内网违规访问、攻击行为、异常流量的图形化展示，展示内网针对不同业务资产的正常访问、违规访问、攻击行为、异常流量，并用不同颜色加以区分，让用户查阅更直观。 监测识别知识库 安全感知平台内建的检测识别知识库，涵盖的应用类型超过 1100 种，应用识别规则总数超过 3000 条，具备亿万级别 URL 识别能力；知识库涵盖的入侵防护漏 洞规则特征库数量超过 4000 条，入侵防护漏洞特征具备中文介绍，包括但不限于漏洞描述、漏洞名称、危险等级、影响系统、对应 CVE 编号、参考信息和建议的解决方案；知识库具备独立的僵尸主机识别特征库，恶意软件识别特征总数在 50 万条以上。 日志收集和关联 安全感知平台可以收集和分析深信服公司的下一代防火墙 （ NGAF ）、端点安全系统（ EDR ）相关日志和 告警信息，并进行相应的分析和关联，同时对于平台分析发现的安全隐患， 也可以 迅速调用这些防护 系统阻断和查杀响应的安全隐患和攻击代码。 对于支持 syslog 的第三方安全设备，平台同样支持相关日志的搜集、存储和查询服务。 可视化平台 全网攻击监测可视化平台 支持安全态势感知，对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。可视化平台支持全网业务可视化，可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。支持用户自定义的业务资产管理的可视化。支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描）。业务外连监控大屏，展示资产、业务被外网攻击的实时动态地图，图形化大屏展示。分支安全监测，能够以地图拓扑的形式展示分支机构 / 被监管机构的安全状态，对风险状态进行排名并罗列分支机构 / 被监管机构的安全趋势。 安全日志展示支持所有安全设备的安全日志汇总，并能够通过时间、类型、严重等级、动作、区域、 IP 、用户、特征 / 漏洞 ID 、回复状态码、域名 /URL 、设备名称等多个条件查询过滤日志。 风险可视化 基于等保部分要求，展示以用户组为粒度的风险详情及对业务系统的影响情况，风险用户可视化对高危用户进行可视化展示，对高危用户的风险操作、攻击行为、违规行为、影响业务进行可视化展现，并按确定性分类为失陷用户、高危用户、可疑用户。风险业务可视化，对高危业务进行可视化展示，对业务的有效 攻击、篡改、后门的攻击路径进行图形化和可视化的展示，并按确定性分类为失陷业务、高危业务、可疑业务。 大数据分析引擎 大数据分析引擎负责实现各类检测能力及大数据关联分析能力。该引擎由数据预处理、数据融合、模型构建、模型融合、分析结果生成等主要模块构成，以 MapReduce 为底层计算框架、以 MLib 和 Tensorflow 作为主要机器学习框架，实现了 SVM 、贝叶斯网络、随机森林、 LDA 、 DGA 、马尔科夫聚类、 iForest 、 RNN 等关键机器学习算法，从而支撑 UEBA 、失陷主机检测、及大数据关联分析等安全能力。 管理功能 管理功能由多个模块组成。登录模块支持用户身份安全认证模式，多次登录失败将锁定账号 5 分钟内不得登录，支持用户初次登陆强制修改密码功能；升级模块支持在线升级和离线升级两种升级方式，并支持定时自动升级，平台统一管控探针的升级；用户管理模块支持新增并管理用户，可控制用户使用权限，权限包括读取和编辑；时间管理模块支持时间同步，支持 NTP V4.0 协议；网络管理模块提供网络管理功能，可进行静态路由配置；设备管理模块可实时监控设备的 CPU 、内存、存储空间使用情况，能够监控监听接口的实时流量情况；数据管理模块可以分析统计 1 天或 1 周时间内的文件还原数量情况及各个应用流量的大小和分布情况。 主要功能 从 医院 网络安全建设的角度看，过去的网络流量可以说是非黑即白，黑即风险流量，白即安全流量，防火墙 类边界防护设备 的黑白名单过滤配合基于特征的方法就能拦截大多数威胁。然而随着互联网接入设备的日益增加、网络结构的日益复杂，网络环境出现了越来越多的可利用弱点，黑客攻击的方式也在不断改进和变异，形成了黑和白之间的灰色区域，并且规模仍在不断扩 大。 传统方法难以有效发现灰色区域中潜在的风险 ， 对此 我们 采取了一种 应对未知威胁的关键技术，通过这些技术可以更快更准的发现黑客入侵的踪迹，从而将黑客的攻击计划扼杀在摇篮之中。 针对黑客攻击特点 的 设计实现，统筹考虑黑客 攻击链的每个环节，是在黑客攻击手段不断升级的今天监护内网安全态势、保障 医院 网络安全的不可或缺的关键能力。 威胁检测和攻防对抗 基础检测能力 黑客之所以能入侵 医院 内网，有时并不是凭借多么高明技巧，相反，对网络安全事件进行复盘总结发现，许多黑客入侵 医院 内网给 医院 造成损失，凭借的仅是一些传统的、简单的手段