在新興技術(shù)推動(dòng)金融機(jī)構(gòu)不斷創(chuàng)新的同時(shí)，隨之而來(lái)的各類新型安全威脅已悄然改變傳統(tǒng)的金融風(fēng)險(xiǎn)內(nèi)涵，金融機(jī)構(gòu)面臨的內(nèi)外部安全威脅不斷增加。金融機(jī)構(gòu)信息系統(tǒng)的安全穩(wěn)定與國(guó)家、金融行業(yè)、金融客戶的利益息息相關(guān)，有效防范信息系統(tǒng)的安全威脅已成為金融工作的重要環(huán)節(jié)之一。

西安銀行在IT基礎(chǔ)設(shè)施建設(shè)，深化信息系統(tǒng)開(kāi)發(fā)建設(shè)方面已取得了長(zhǎng)足的發(fā)展。但是，隨著互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的不斷融合，大量的業(yè)務(wù)系統(tǒng)持續(xù)的產(chǎn)生著海量的數(shù)據(jù)，信息安全形勢(shì)也日趨復(fù)雜和嚴(yán)峻。數(shù)據(jù)在不同的系統(tǒng)、端點(diǎn)間流動(dòng)，使得未知威脅的發(fā)現(xiàn)與處置復(fù)雜度不斷提升，傳統(tǒng)防火墻、防病毒和入侵防御等以邊界防護(hù)和靜態(tài)防護(hù)為主的安全防護(hù)方式，已不能適應(yīng)新的網(wǎng)絡(luò)安全形勢(shì)，需要采用持續(xù)監(jiān)控、大數(shù)據(jù)分析等新技術(shù)，全量采集網(wǎng)絡(luò)相關(guān)數(shù)據(jù)、感知網(wǎng)絡(luò)當(dāng)前態(tài)勢(shì)，并預(yù)測(cè)網(wǎng)絡(luò)安全趨勢(shì)。

因此，西安銀行從2018年開(kāi)始啟動(dòng)未知威脅感知系統(tǒng)的建設(shè)，從時(shí)間（年、月、周、日）/空間（內(nèi)外網(wǎng)、物理位置、IP）角度進(jìn)行全面的未知威脅分析與監(jiān)控。
 

金融機(jī)構(gòu)未知威脅感知是一個(gè)新生事物，西安銀行此次互聯(lián)網(wǎng)環(huán)境未知威脅感知項(xiàng)目的建設(shè)，是強(qiáng)化以信息科技為引領(lǐng)，加快推進(jìn)數(shù)字化銀行建設(shè)的重要舉措。

1. 大數(shù)據(jù)架構(gòu)支撐海量多源異構(gòu)數(shù)據(jù)集中管理

通過(guò)大數(shù)據(jù)技術(shù)（ElasticSearch集群+ Flink）建設(shè)智能分析平臺(tái)，采用分布式采集、存儲(chǔ)、分析架構(gòu)完成安全設(shè)備、主機(jī)、應(yīng)用、網(wǎng)絡(luò)設(shè)備、流量、情報(bào)等數(shù)據(jù)源的數(shù)據(jù)接入，并將收集的信息進(jìn)行標(biāo)準(zhǔn)化和豐富化處理，從而為平臺(tái)的智能分析提供高質(zhì)量的數(shù)據(jù)。

2. 自動(dòng)化數(shù)據(jù)源、數(shù)據(jù)質(zhì)量監(jiān)控

通過(guò)資產(chǎn)自動(dòng)化核查手段，嚴(yán)密監(jiān)控西安銀行資產(chǎn)變化，確保所有信息化資產(chǎn)均納入未知威脅監(jiān)測(cè)體系。通過(guò)數(shù)據(jù)源的智能監(jiān)控模塊對(duì)數(shù)據(jù)質(zhì)量進(jìn)行二次驗(yàn)證。一旦數(shù)據(jù)源出現(xiàn)問(wèn)題平臺(tái)將自動(dòng)重傳數(shù)據(jù)并發(fā)出告警。

3.場(chǎng)景化多引擎智能分析體系

引入規(guī)則分析引擎、流量檢測(cè)分析引擎、機(jī)器學(xué)習(xí)引擎、威脅情報(bào)分析引擎對(duì)海量數(shù)據(jù)根據(jù)不同場(chǎng)景進(jìn)行綜合分析。通過(guò)梳理，西安銀行將未知威脅分為11多類共計(jì)470多種威脅場(chǎng)景，通過(guò)不同的分析引擎進(jìn)行組合、聯(lián)動(dòng)分析，形成了長(zhǎng)周期、多源異構(gòu)數(shù)據(jù)的多引擎智能分析體系。

4. 內(nèi)外部用戶異常行為智能分析模型

西安銀行通過(guò)研發(fā)神經(jīng)網(wǎng)絡(luò)用戶行為分析模型來(lái)處理用戶登錄、訪問(wèn)序列、操作內(nèi)容等元數(shù)據(jù)。在互聯(lián)網(wǎng)異常訪問(wèn)威脅的分析中，安全團(tuán)隊(duì)通過(guò)DBSCAN/T-SNE聚類算法進(jìn)行相同行為的聚類，發(fā)現(xiàn)來(lái)自互聯(lián)網(wǎng)異常的訪問(wèn)；通過(guò)XGBoots/RFC/SVM算法進(jìn)行分類并構(gòu)建訓(xùn)練有監(jiān)督模型；最后通過(guò)多算法投票來(lái)標(biāo)識(shí)別具體的異常行為。

在內(nèi)部用戶異常訪問(wèn)威脅的分析過(guò)程中，使用用戶行為智能分析模型根據(jù)時(shí)間/空間/角色三大維度提取用戶操作各種特征分布完成用戶行為畫像（用戶行為基線），提供了實(shí)時(shí)、準(zhǔn)實(shí)時(shí)的內(nèi)部用戶異常行為告警能力。

5. 引入威脅情報(bào)提升互聯(lián)網(wǎng)威脅感知能力

集成了來(lái)自互聯(lián)網(wǎng)的第三方威脅情報(bào)數(shù)據(jù)，與西安銀行互聯(lián)網(wǎng)金融區(qū)流量數(shù)據(jù)、資產(chǎn)脆弱性數(shù)據(jù)進(jìn)行實(shí)時(shí)碰撞，實(shí)現(xiàn)高可靠告警，確保西安銀行安全團(tuán)隊(duì)快速使用針對(duì)性手段進(jìn)行處置。

為了保障情報(bào)質(zhì)量，西安銀行采用國(guó)內(nèi)首創(chuàng)的情報(bào)管理機(jī)制，實(shí)現(xiàn)了多源情報(bào)整合，對(duì)多源異構(gòu)情報(bào)源參照stix2標(biāo)準(zhǔn)處理，輸出可機(jī)讀的可信威脅情報(bào)，從而實(shí)現(xiàn)實(shí)時(shí)未知威脅檢測(cè)，同時(shí)利用智能算法，對(duì)檢測(cè)結(jié)果進(jìn)行持續(xù)評(píng)估，動(dòng)態(tài)調(diào)整各情報(bào)源的權(quán)重和可信度。

目前，西安銀行未知威脅感知平臺(tái)采集了互聯(lián)網(wǎng)金融區(qū)超過(guò)260臺(tái)設(shè)備的安全數(shù)據(jù)，覆蓋安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、中間件等。管理資產(chǎn)350+臺(tái)，覆蓋了西安銀行的重要業(yè)務(wù)系統(tǒng)，包括西銀惠付、西銀在線、微信銀行、web銀行等。平臺(tái)每日采集日志量超過(guò)1.3億條，流量數(shù)據(jù)超過(guò)400G，每天更新的威脅情報(bào)數(shù)據(jù)量超過(guò)2M。已建立安全分析模型超過(guò)470+條，包含數(shù)據(jù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、服務(wù)安全、違規(guī)行為、惡意代碼等11個(gè)大類，35個(gè)小類。

自2018年8月份未知威脅感知平臺(tái)上線運(yùn)營(yíng)以來(lái)，在外部攻擊、內(nèi)部違規(guī)行為以及APT攻擊等各方面成效顯著，已累計(jì)發(fā)現(xiàn)疑似攻擊行為20萬(wàn)次，經(jīng)平臺(tái)分析統(tǒng)計(jì)，處置已確認(rèn)攻擊事件19萬(wàn)余次，屏蔽惡意IP超過(guò)40多個(gè)，無(wú)攻擊成功事件。通過(guò)不斷的建模、優(yōu)化、調(diào)整，每日的安全事件不斷降低，從每天幾百條降低到每天幾十條。使網(wǎng)絡(luò)安全工作實(shí)現(xiàn)了從獨(dú)立工作到協(xié)同防御的轉(zhuǎn)變，實(shí)現(xiàn)了網(wǎng)絡(luò)安全從被動(dòng)防護(hù)到主動(dòng)防御的轉(zhuǎn)變。

此外，來(lái)自內(nèi)、外部的高質(zhì)量數(shù)據(jù)為智能分析平臺(tái)以及安全分析團(tuán)隊(duì)提供了穩(wěn)定的數(shù)據(jù)支撐能力并輸出告警到展示大屏，使得西安銀行能夠準(zhǔn)確判斷安全形勢(shì)。運(yùn)維人員通過(guò)大屏能直觀看到需要重點(diǎn)關(guān)注及處置的安全事件，減小了運(yùn)維人員工作量，事件處置效率提升約80%。

借助未知威脅感知平臺(tái)，提升了西安銀行安全防護(hù)的整體水平，對(duì)已知威脅及未知威脅能夠“看的見(jiàn)”“抓的住”“防得住”，進(jìn)一步提升智能化風(fēng)控能力，推動(dòng)IT治理架構(gòu)升級(jí)，全面支撐西安銀行數(shù)字化轉(zhuǎn)型。

（作者：韓強(qiáng) 王小林）