上海市司法局“天眼系统”护航智慧司法

　　一、建设背景

　　为了加快上海市司法局行政网络安全和信息化建设，以应对不断变化的网络安全形势，提升法治建设的数字化、网络化、智能化水平，上海市司法局亟需建立一套符合网络攻防实战化可视化的安全运营体系，加强对高级网络攻击威胁及未知网络威胁的检测、分析、溯源，实现基于网络流量的全生命周期可视化建设。

　　在此基础上，上海市司法局通过使用奇安信天眼威胁监测与分析系统（简称天眼系统），结合上海市司法局业务需求现状和网络安全现状，进行本次基于网络流量的全生命周期可视化建设，配合上海市司法局发现包括司法行政网网站、行政许可审批系统、12348公共法律服务平台、智慧公证系统、智慧调解平台、法律援助服务平台、司法鉴定执法执业平台、涉法涉诉信访案件管理系统等各类政法业务系统存在的网络安全隐患，一旦发现可疑的网络行为及威胁事件，天眼系统会实时发出告警，提醒安全分析人员及时处置，提升了上海市司法局全网威胁可知、可视、可溯的能力。为上海市司法局的信息安全建设提供助力。

　　二、运用成效

　　1.风险可视，主动发现安全威胁

　　当下的网络攻击具备隐蔽性和多样性等特点，勒索病毒、APT攻击更是防不胜防，而现阶段的安全建设和传统安全防御产品更多注重防御能力，对于此类未知威胁检测的能力明显不足，导致部分安全风险看不清。

　　天眼系统在基于网络流量全生命周期的安全可视化建设项目中，为上海市司法局检测网络中的各类攻击行为，并通过管理界面清晰的展示网络中的威胁。据统计，最近半年以来，共检测出超过10W+的网络攻击行为，其中约6.5W条攻击判定为为高危。

　　2.威胁溯源，呈现威胁攻击的全过程

　　传统的网络安全防护设备只能对攻击行为进行告警，无法呈现整个攻击过程，也无法从源头进行溯源分析。

　　天眼系统在基于网络流量全生命周期的安全可视化建设项目中，协助上海市司法局从攻击链的维度将网络攻击行为进行重新划分，对告警进行深度关联分析，以受害主机为线索还原整个攻击过程，研判与溯源入侵途径，提供处置建议，及时开展威胁处置。

　　3.联动处置，强力提升威胁处置时效

　　传统的事件处置基本依赖人工，而人员经验和能力也存在一定的差异，从而导致事件的处置效率不尽相同。

　　天眼系统在基于网络流量全生命周期安全可视化项目中，将安全工具、能力和流程高度协同起来，将分散的安全工具与能力转化为可编程的应用和动作，以可视化的视角打造场景化的标准处置流程和响应处置体系，持续开展标准化、自动化的联动处置，全面提升了上海市司法局安全威胁发现和处置响应效率，变被动通报为主动积极防御。

　　4.安全运营，切实提高整体防御能力

　　健全的安全运营可有效保障日常安全工作的有序开展，但在传统的日常安全运维工作中，各类设备事件告警太多，有效事件告警被淹没，无法有效、及时的发现安全威胁，经常陷入重复的安全处置工作中。

　　天眼系统在基于网络流量全生命周期安全可视化项目中，固化安全威胁处置流程，以不同分类的场景方式开展自动化响应处置，将重复的响应过程缩短为小时级分钟级，使得有限的资源投入于真正的威胁和问题，高效完成安全威胁和事件的闭环响应处置，提高系统的整体防御能力，实现网络安全管理有事件无事故。

　　三、核心能力

　　1.基于大数据挖掘分析的恶意代码智能检测技术，提升了检测恶意代码的能力

　　该项目中，天眼系统采用了机器学习等人工智能算法，针对海量程序样本进行自动化分析，有效解决了大部分未知恶意程序的发现问题。由于传统杀毒技术严重依赖于样本获得能力和病毒分析师的能力，基本只能处理已知问题，不能对可能发生的问题进行防范，具有严重的滞后性和局限性。本技术对海量样本进行挖掘，能够找到恶意软件的内在规律，能对未来相当长时期的恶意软件技术做出前瞻性预测，实现不更新即可识别大量新型恶意软件，在全球处于领先水平。

　　2.以威胁情报打通攻击定位、溯源与阻断等环节，从源头上解决安全问题

　　传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知，这种设计往往会制约多种不同设备或系统之间的信息传递。同时由于对于消息接口缺乏一个系统化的规范化的描述，很难对复杂的攻击行为进行准确定义。而该项目的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，可满足未来扩展攻击特征以及后续扩展联动设备的需要。

　　3.人工智能恶意代码检测技术，有效识别大量新型恶意软件

　　由于传统杀毒技术严重依赖于样本获得能力和病毒分析的能力，基本只能处理已知问题，不能对可能发生的问题进行防范，具有严重的滞后性和局限性。而本项目采用了机器学习等人工智能算法，针对海量程序样本进行自动化分析，有效解决了大部分未知恶意程序的发现问题。在该项目中，天眼系统对海量样本进行挖掘，能够找到恶意软件的内在规律，能对未来相当长时期的恶意软件技术做出前瞻性预测，实现不更新即可识别大量新型恶意软件，有效保障上海市司法局内网对抗未知威胁。

　　4.基于多引擎的动态沙箱检测技术,第一时间发现并阻断恶意文件传播

　　面对恶意代码的复杂性和多样性,传统静态检测技术体现出特征库匹配的局限性,已无法完全检测新出现的恶意代码，而沙箱动态检测技术通过动态执行，可对文件进行细粒度的行为检测，能够从行为层面进行细致分析，是对传统静态检测技术的有效补充。静态分析查其“形”，动态分析查其“行”。

　　在该项目中，天眼系统基于多引擎沙箱的本地检测系统可对APT攻击的核心环节“恶意代码植入”进行检测，与传统的采用基于恶意代码特征匹配的检测方法不同，基于多引擎沙箱的本地检测系统所采用的多引擎沙箱的方法可以对未知的恶意代码进行有效检测，这种利用对恶意代码的行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测，因为免杀木马是APT攻击的核心步骤，因此对未知恶意代码样本的有效检测，可以有效解决APT攻击过程的检测问题。

　　动态沙箱引擎采用基于硬件模拟的虚拟化动态分析技术，对APT攻击的核心环节“恶意代码植入”进行检测，这种利用对恶意代码的行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测，因为未知恶意代码是APT攻击的核心步骤，因此对未知恶意代码样本的有效检测，可以有效解决APT攻击过程的检测问题。

　　5.基于SOAR的自动化编排响应技术，提升了快速响应处置的能力

　　传统的安全事件处置，基本依赖人工，不同人员所负责业务面不同各自为战，经验和能力也存在一定的差异，从而导致事件的处置效率不尽相同，且难以应对复杂的安全威胁和事件。

　　在该项目中，天眼系统可通过与相关处置设备联动，支持告警收集与指令下发，预置多种处置场景应对常见类型的告警事件，对应不同告警事件调用预置的处置流程，通过接口下发处理动作完成对告警事件的处置，提升业务系统的安全系数。同时系统支持通过自主编排功能，根据实际业务需求添加任务脚本、联动服务以及工作流程，实现根据业务需求量身打造处置流程，大大提升了响应处置的速度与准确性。

　　6.对告警进行深度分析，以攻击链的视角重现攻击过程

　　在该项目中，天眼系统从攻击链的维度将攻击行为进行重新划分，对告警进行深度调查分析，以告警中的受害主机为线索还原整个攻击过程（侦察-入侵-命令控制-横向渗透-数据外泄-痕迹清理）。同时结合安全专家积累的经验给出相应的处置方案。

　　7.基于可视化威胁分析运营技术，助力上海市司法局快速全面应对威胁

　　基于相关大数据平台架构构建可视化威胁运营能力，以及运用先进的可视化呈现技术，实现用户在可视分析画布上对任意线索的自定义拓线及溯源分析，该过程通过一步步的交互对当前数据进行拓线分析，最终可以将威胁攻击的全过程推演并呈现在用户面前。同时，拓线分析过程可实现数据结果快照导出，对于给定线索的溯源结果进行攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等维度的展示，同时，威胁运营平台可基于手机端连通协作，实时告警提醒和处置，以及报告接收等；通过平台强大的安全可视化运营能力，帮助上海司法局捕获威胁，并快速全面地对威胁进行响应。

　　责任编辑：广汉