安徽省联社：基于安全大数据和智能分析的智能安全识别平台

  2020年，我们国家取得的扶贫攻坚战的全面胜利，实现了全面建设小康社会的宏伟目标。在此背景下，国家于2021年2月设立国家乡村振兴局，全面实现乡村振兴战略。为深入贯彻落实党中央、国务院、安徽省关于促进乡村产业振兴的决策部署和习视察安徽重要讲话指示精神，推进乡村产业高水平质量的发展，建设现代化农业强省，安徽省农村信用社联合社（以下简称：省联社）带领全省83家农商银行坚守“服务三农、服务县域、服务小微、服务社区”的市场定位，通过慢慢地增加金融资源配置、推进信用体系建设、优化业务办理渠道、推动数字普惠金融，为助力乡村振兴发展作出了应有贡献。

  近年来，省联社持续加强信息化建设工作，取得了显著成绩。两地三中心灾备体系架构初步建立、二级三层综合业务网络覆盖全省、百余套信息系统陆续投产、两级研发体系稳步推进、四大科技服务平台相继建成、三大标准体系（ISO20000、ISO27001、CMMI3）落地实施，为全系统业务发展和转型升级提供了有力支撑。随着新一代核心业务系统及滨湖数据中心机房同步投产上线成功，标志着全省农商银行系统信息化建设迈上了新的台阶。但同时，信息化建设离不开安全，特别是随着国内新金融科技的持续不断的发展和全球政治经济发展形势的一直在变化，互联网安全形势日趋紧张，农村中小金融机构面临的网络安全挑战愈加严峻。在此背景下，网络安全已上升到国家安全的战略高度，各行各业都在积极提升网络安全意识、加固网络安全防御体系，各类网络安全活动日益频繁，农村中小金融机构亟需技术方法洞察互联网安全态势，提升网络安全事件的应急响应速度和处置能力。

  根据内外部环境变化和发展需求，省联社审时度势，结合自己十余年来信息化建设成果，一直在优化丰富安全风险监测和管控的手段，倾力打造了基于互联网态势感知理念的智能安全识别平台（以下简称：平台）。该平台以安全大数据为基础，综合运用多维度安全数据，实现对与网络态势变化相关要素的获取、分析、评估和整合；从全局视角，结合机器学习和智能分析，自动化生成安全风险处置策略，推动安全事件的闭环处置和安全能力的实践落地，实际做到“主动发现、预知未来、协同防御、智能进化”。

  智能安全识别平台的创新点大多数表现在：【安全大数据】【智能化态势分析与风险处置】。

  在生产中心和灾备中心部署日志采集引擎，纳管多类安全设备，收集上送的安全日志进行初步整合分析，实现本地化收集加工后再与平台交互，避免了大量日志占用广域网链路带宽资源。在生产中心和灾备中心分别部署流量探针，通过UEBA（UEBA是用户实体行为分析User and Entity Behavior Analytics的简写）规则对镜像流量进行仔细的检测分析，发现异常流量、异常连接和异常访问。

  同时，引入人行金融业安全态势感知与信息共享平台及第三方网络安全情报数据，逐步扩大数据来源、提升数据质量、夯实数据基础，为后续分析决策提供数据支撑。

  该智能安全识别平台以威胁、风险、资产、业务、用户等为对象，基于安全日志、网络流量、用户行为、资产状态、外部情报等多源数据，作用于网络安全风险的监控、分析、响应的闭环处置全过程。平台通过全局状态评价、外部攻击评级和系统合规自检等手段，实现“事态可评估”；通过攻击趋势变化分析、异常流量判断和终端行为检测等手段，实现“趋势可预测”；通过未知威胁的智能检测识别、流量/行为/资产的状态监控和多维度风险分析等手段，实现“风险可感应”；通过攻击溯源取证、工单流程闭环处理和设备策略自适应调整或人工干预等手段，实现“知行可管控”。

  平台通过部署在生产中心和灾备中心分别部署流量探针，采集现网实时流量数据，纳管网络中多类安全设备，收集上送的安全日志进行整合分析；同时，接入人行金融业安全态势感知与信息共享平台安全数据和第三方网络安全情报数据，实现了安全大数据智能化检测、分析和处理，构建了统一规范化的安全大数据分析处理平台。

  在用户历史行为数据的基础上，利用机器学习回归算法为用户将来的行为建立安全行为基线。算法能够准确的通过历史时刻某些因素对未来某数值的影响，加权综合判断未来该数值的可能值。异常检测算法通过用户历史行为规律以及同类用户行为规律协同分析，从表面正常的行为背后预测、发现异常行为。

  使用深度学习方法对海量数据来进行分析，构建基于用户行为画像的入侵检测模型。通过收集用户的基础信息，如性别、地域、年龄等相对来说比较稳定的静态数据，以及用户原始操作记录中的行为信息等动态数据，结合深度学习方法如卷积神经网络等对其进行训练，提炼用户的特征标签。同时，引入时间窗口，构建动态的用户画像。最后，基于构建完成的用户画像进行入侵行为检测，实现对入侵者和入侵行为的精确定位。

  基于机器学习等技术构建安全大脑，通过分类、聚类、回归、深度学习等算法进行模型训练，提供对应的安全AI能力，开展多维度的安全风险分析，及时有效地发现安全风险、提示安全警报，提升深度防护能力，实现从被动监测到主动防御的跨越。利用“知识大脑”推理检测已知及未知类型的复杂攻击，全面掌握规模件的感染路径。相关分析功能有：挖矿感染分析、勒索感染分析、C&C外联分析、恶意文件分析、专家推理分析和智能化威胁分析等。

  对用户、资产和业务进行关联，聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法和人工智能方法，全面感知和监控资产的运营状态和安全指数，对业务办理需要的资产进行智能化分析，为运维决策并联动响应处置提供可视化的操作建议。

  构建以“知识”为中心的、以控制网络行为为目的框架模型。通过引入上下文管理模块，用于加强已知控制策略的保存和自学习，当网络态势及业务目标等发生明显的变化时，在知识库和策略库的支撑下，可利用基于案例的推理（CBR）方法自适应生成和调整的控制策略，从而消除或减轻由累积错误导致的系统可靠性不高的问题，并同步由省联社或农商银行完成相关事件联动处置。

  在大数据分析和机器学习的基础上，将各类互联网安全事件、数据、报表通过综合大屏进行可视化综合展示，为安全事件的统揽和监测提供了直观的渠道，为重保值守等网络安全活动提供了有力的技术抓手。同时，相关安全告警信息可以推送到运维人员手机APP端，确保对安全风险监控无死角。

  此阶段时间段为2020年7月至2020年8月，其间主要完成了网络安全需求分析，结合省联社网络现状和安全现状提交项目需求分析报告。

  此阶段时间段为2020年9月至2020年10月，其间主要集合省联社网络安全监测需求来做项目设计，同时考虑对接人行金融业安全态势感知与信息共享平台。提交了平台设计说明书等材料。

  此阶段时间段为2020年11月至2021年3月，其间主要完成了网络安全识别平台的定制化需求开发和测试，提交了项目测试报告。完成了平台上线前的相关准备工作。

  此阶段时间段为2021年4月至2021年6月，其间完成了平台的上线投产，实现对接人行的七类攻击类型事件的上报，并且进一步完成了监控大屏的优化。

  包括互联网南北向访问流量采集、内网东西向访问流量采集、主机访问流量采集、用户行为监测、互联网及内网流量统计、用户流量统计。下图为2021年6月1日至9月5日流量日志数量的趋势统计（按周统计）：

  日志采集引擎支持各种网络设备、安全设备、漏扫设备、主机及应用日志采集，包括分布式流量分析引擎日志、高级威胁检测引擎日志、入侵防御系统日志等，同时可接入外部威胁情报。下图为2021年6月1日至9月5日安全日志的处理数量的趋势统计（按周统计）：

  通过对流量和安全日志的分析生成安全事件，进而推进事件的闭环处理。下图为2021年6月1日至8月31日处理的安全事件数量趋势统计（按周统计）：

  实现对全网原始事件进行分类展示，对来自国内外的攻击地域、攻击业务、业务流量、攻击类型、病毒统计和攻击趋势做展示，达到对外网攻击态势一目了然的监控目标。

  日常工作中时刻监测重要设备受攻击状态，在省公安厅组织的护网演练活动和“建党百年重要时刻保障”工作中发挥及其重要的作用，为安全事件的“及时有效地发现、及时分析、及时处置”提供了有力的技术抓手。通过关联规则、UEBA规则、场景化分析，关键主机的流量分析、访问源分析等手段，发现潜在风险和攻击、并对攻击源进行针对性阻断。以关键主机为维度进行异常流量和应用监控、趋势展示、阈值设定、偏离告警；访问源IP统计、物理位置分布统计、结合情报库分析有威胁或风险的源IP、NAT溯源。实时监控、发现、跟踪和分析平台产生的安全日志、安全事件，通过多部门评估和确认安全事件，实现安全事件闭环处理。

  根据中国人民银行下发的《中国人民银行科技司关于做好金融业网络安全态势感知与信息共享平台第三批接入工作的通知》（银科技﹝2020）10号）文件要求，在智能安全识别平台上定制开发信息共享模块，借助智能安全识别平台实现安徽省农村信用社联合社与83家辖内农商银行网络安全事件数据向人民银行的实时上报。

  以威胁事件为入口、以安全威胁模型为基准，针对攻击全过程中攻击者留下的任意线索进行多维拓展，对安全事件进行回溯和调查，可视化绘制出完整的攻击链条，覆盖攻击的源头、手段、目标、范围等相关信息，并对被发现的未知威胁进行快速溯源和定性。内置多维度风险呈现，为安全运营提供决策依据，以安全大数据为基础，从资产/流量/行为等维度形成可视化视图，同时提供丰富多样的数据可视化效果。

  农村中小金融机构都会存在盘子小、技术力量薄弱的情况，在当前金融科技加快速度进行发展的大环境下，科技支撑力度不足的问题日渐凸显。考虑到农商银行自建系统成本比较高等因素，本次平台建设由省联社牵头，集中汇总全省83家农商银行网络安全数据，集中分析安全态势动态，集中向人行上报安全运行数据。一方面，避免了农商银行重复建设，取得了较好的建设效果；另一方面，在节省本金同时又提高资源利用率和工作效率，走出了一条集约化的科技建设之路，为类似信息化建设工作的开展提供了有益的借鉴和参考。

  伴随移动网络的加快速度进行发展，“传统业务+互联网”已成为当前银行业发展的大趋势。但同时，银行机构面对的外部安全威胁、安全攻击也慢慢变得多。另一方面，由于农商银行系统员工数量较多且员工安全风险意识和安全专业相关知识参差不齐，来自内部的安全风险和漏洞也不得忽视。

  针对内外部安全风险的威胁，同时基于省联社目前的纵深防御体系，建设以“智能化分析和安全大数据技术”为特色的智能安全识别平台，充分的发挥平台的智能AI能力、大数据分析能力、整合能力、发现能力和联动处置能力，将省联社数据中心和全省83家农商行统一纳入网络安全监控之中，提供全局、全域的安全监测视角，从网络安全的角度为全省农商银行系统深化改革发展、为推动乡村振兴战略落地生根保驾护航。