广州市天河区-新一代APT威胁检测与防御系统项目建议书
思瀚产业研究院 蓝盾信息    2023-02-23

1、项目概况

蓝盾新一代 APT 威胁检测与防御系统将在已有产品蓝盾 APT 系统的基础上进行技术升级，对蓝盾 NxSOC 安全运维管理系统、ITIL 工单流程处置系统、态势感知以及应急服务队伍的丰富经验进行功能整合与扩展，建设一套以攻防自动化安全防御为核心的新一代 APT 威胁检测与防御系统平台。将数据、操作、技术、流程、规范、自动化作为关键因素，采用流量还原、AI 人工智能、动态沙箱、情报关联等重点技术，实现安全、风险、数据、工单、处置与环境协同的信息安全解决方案。最终目标是建立 AI 技术和大数据安全情报体系关联，针对 APT攻防自动化安全防御。

新一代 APT 威胁检测与防御系统，基于大数据 AI 智能：恶意代码及恶意流量映射为图片基因图谱分析，文件基因分析等；同时也结合静态特征匹配、威胁情报关联及动态行为检测，能很好地弥补传统被动的防御体系检测缺陷，能更精确、更迅速地检测 APT 攻击。

2、项目投资计划

本项目估算新增总投资18,843.00万元，其中新增设备购置费4,227.39万元、新增软件购置费 2,572.61 万元、开发技术人员人工费 5,386.00 万元，铺底流动资金 3,830.00 万元%。本项目拟使用募集资金 9,550.00 万元。

3、项目实施的背景

随着 IT 技术的迅速发展和信息化建设的不断深入，各企事业单位的 IT 环境变得日趋复杂，各种 IT 基础设施的数量和类型在不断增多，各企业单位常用的业务系统由于作业需要也在不断扩充，同时更多的安全风险也进一步显露出来，安全威胁发生了很大变化，尤其是高级持续性威胁（APT）有愈演愈烈之势。

为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等，构建了多道安全防线，独立地解决了来自某个方面的安全威胁，然而纵观近年来的网络攻击手段，APT 攻击已经成为最具威胁的攻击方法之一。

在 APT 攻击中，由于黑客可能尝试多种方式进行攻击，所以无法使用一种方法就能有效的检测出 APT 攻击。因此彼此孤立的多道安全防线在 APT 攻击面前显得无能为力，需要利用多种检测手段，对监测到的海量日志数据进行综合关联挖掘分析，才能更有效的发现 APT 攻击行为。

面对新型 APT 攻击，通过全面采集网络中包括原始网络数据包、业务和安全日志等各种数据形成大数据库，再通过大数据分析技术和智能分析算法来检测APT 攻击是最可靠的办法，所以，通过大数据分析、AI 等技术对安全产品进行全局化智能化升级成为信息安全行业的重要发展方向。

4、项目实施的必要性

（1）弥补传统 APT 设备检测能力问题

传统的恶意代码检测识别技术主要包括两类：一类是以恶意代码二进制特征作为判识依据的静态技术，这类技术只能识别特征库中已有特征的恶意代码，随着恶意代码的种类激增，特征库将越发巨大，查杀效能也会急剧下降，即以体征为视角无法得知恶意代码的行为，识别范围受到认知的体征种类限制；另一类是以恶意代码行为特征作为判识依据的动态技术，这类技术能够识别具有已知恶意行为的代码，但由于需要虚拟环境执行恶意代码，因此只能运行在用户终端，难以在高速链路的防护中使用，即以行为为视角无法与恶意代码的体征关联，难以以较高的速度来识别恶意代码。

因此，无论采用“动”还是“静”的恶意代码识别技术，都需要对恶意代码进行分析，然后将其二进制特征或行为特征，采用“亡羊补牢”的方式添加到查杀或防御工具之中。目前，受限于传统代码分析技术，多数安全界人士还是采用半人工半自动的动态调试技术进行恶意代码分析，难以实现恶意代码“行为”和“体征”的关联。这种“亡羊补牢”式的防御，割裂式地对待恶意代码的“行为”和“体征”，造成了传统恶意代码识别技术逐步陷入困境。

当前，我们需要符合现代信息安全要求技术能力的 APT 检测设备。

（2）补齐传统安全设备检测短板问题

当今社会已经进入到“无时不在线，无处不互联”的信息化网络时代，人们的生产、生活，社会的政治、经济，国家的稳定、安全，离开网络空间安全都无从谈起。恶意代码作为网络空间安全威胁的重要源头，日趋“泛化”、“多源化”，其威胁目标从主机、服务器，拓展到移动终端、工业控制系统，甚至是可穿戴设备，呈现出快速增长、种类日益繁杂、威胁愈发严重的态势。因此，对恶意代码的检测、识别和分析一直是网络空间安全领域的重要研究课题之一。

而现有网络安全设备普遍不具备对 APT 类型的攻击的检测能力。

（3）针对性的攻击越发频繁影响巨大

近年来，各类媒体披露的未知攻击不胜枚举。一些专业级黑客组织在不断对我国的各级政府部门、行业组织和企业单位发起攻势。这些攻击针对性极强，一旦成功不只对企事业单位、政府机关、科研机构造成不可弥补的损失，还会造成重大的社会影响。此类攻击往往借助漏洞并且使用社会工程学，有组织有纪律，传统防御手段对此深感无力。APT 攻击难以被发现，不仅窃取网络内部的敏感信息，甚至控制或破坏整个网络。因此，市场迫切需要一款能快速，精确检测APT 攻击的设备。

（4）实现威胁发现及自动化处理流程

随着信息时代的快速发展，IT 运维已经成为 IT 服务内涵中重要的组成部分。面对越来越多复杂的业务、多样化的用户需求，不断扩展的 IT 应用需要越来越合理的模式来保障 IT 服务能灵活便捷、安全稳定地持续保障。从初期的数台服务器发展到庞大的数据中心，单靠人工已无法满足在技术、业务、管理等方面的需求。标准化、自动化、架构优化、过程优化等降低 IT 服务成本的因素越来越受广大行业客户重视。

基于大数据 AI 智能分析、威胁情报关联的新一代防御系统，能很好地弥补传统的基于特征库的被动防御体系的检测缺陷，并且根据事件的重要性、严重性和威胁可能性，实时自动计算风险，帮助企业实现安全风险分析与运维管理，自动完成事件的采集、分析、评估、响应等全过程。能自动识别 APT 攻击，并可与防火墙等串行网络安全设备联动，提升防护 APT 攻击的能力。实现针对 APT攻击的自动化安全防御。

5、项目建设方案

（1）总体设计

蓝盾新一代 APT 威胁检测与防御系统将人工智能、大数据技术与安全技术相结合，实时分析网络流量，监控可疑威胁行为。不仅可以通过多病毒检测引擎有效识别出病毒、木马等已知威胁；通过基因图谱检测技术检测恶意代码变种；还可以通过沙箱（Sandbox）行为检测技术发现未知威胁，对检测及防御 APT 攻击起到关键作用。

整体架构图如下：

项目采用大数据分布式架构体系，使用接口通信，降低模块之间的耦合度，可以灵活的进行分布式部署。同时，对于小型场景提供单节点部署模式，有效降

低小企业落地成本。通过异构计算模型，将各类计算设备通过高速网络连接而成并行计算环境。充分利用各个设备性能优势，完成应用任务。

（2）具体建设内容

新一代高级持续性威胁（APT）检测系统按模块功能组件划分包含：灵活部署架构，异构计算，敌情预警监测，下一代入侵检测，网络异常检测，僵尸网络检测，病毒/木马检测，软件基因分析，基因图谱检测，沙箱动态行为检测，元数据追溯取证，攻击链分析等。

各个子系统的技术要求如下：

1）敌情预警监测

支持敌对安全信息数据在线收集，包括内部发现的敌对威胁信息与外部敌情信息。通过实时下发敌情数据与大数据引擎紧密结合，提升全面检测能力。通过联动提交 IP、域名、URL、文件或文件的 HASH 值、漏洞等到云端敌情分析系统进行追溯取证及可视化关联分析。

2）网络异常检测

异常检测子系统支持 DoS&DDoS 攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测、SMTP 行为异常检测、可疑 SMTP 源 IP 检测、垃圾邮件检测、钓鱼邮件检测、扫描行为检测、密码猜测行为检测、密码暴力破解行为检测等。

3）僵尸网络检测

通过检测网络流量中的 DGA 域名，可以有效定位网络内部已经被僵尸/木马控制的主机（失陷主机）。DGA（DomainGenerateAlgorithm，域名生成算法）域名常用于僵尸/木马的 C&C（Command&Control，命令与控制）通讯，一般是用一个私有的随机字符串生成算法，按照日期或者其他随机种子，每天生成一些随机字符串然后用其中的一些当作 C&C 域名。在僵尸/木马程序里面也按照同样的算法尝试生成这些随机域名然后碰撞得到当天可用的 C&C 域名。

4）入侵检测

对网络内部的扫描探测、入侵攻击、横向渗透等行为进行检测。支持 SQL注入攻击检测、Bash 漏洞攻击检测、心脏出血漏洞攻击检测、协议动态识别、、网络应用攻击检测、C&C 通讯检测、网络木马检测等。支持协议分析及文件还原，包括 PE 格式文件还原、TXT 格式文件还原、OFFICE 格式文件还原、FLASH格式文件还原、PDF 格式文件还原、JAVA 格式文件还原、WEB 格式文件还原、PYTHON 格式文件还原、RAR 格式文件还原、ZIP 格式文件还原、VBS 格式文件还原等。

5）病毒木马检测

采用多个反病毒引擎对流量中的文件进行交叉检测和交叉验证，从而发现其中的已知威胁。

6）基因图谱检测

通过采用基因图谱模糊比对技术对流量中的文件进行静态检测，通过结合图像文理分析技术与恶意代码变种检测技术，将可疑文件的二进制代码映射为无法

压缩的灰阶图片，与已有的恶意代码基因库图片进行相似度匹配，根据相似度判断是否为威胁变种。支持 Windows、Linux 和 Android 所有的文件格式；支持基因树快速查找比对技术。

7）沙箱行为检测

采用沙箱行为模式匹配技术对流量中的文件进行动态检测，根据恶意行为判断是否为威胁变种。支持沙箱环境定制；支持各种 Windows 文件、PE 文件、Office文件、PDF 文件、HTML 文件等；支持反沙箱行为检测；支持恶意代码的行为相似性聚类。通过聚类分析和文件追溯判断该文件是否为恶意文件。若该文件具有多个恶意行为且成功逃过多个反病毒引擎的检测及基因图谱检测，则该文件极有可能为新型的恶意代码，即未知威胁。

8）软件基因检测

使用静态反编译技术对文件进行逆向和碎片化切割，根据软件的功能语义提取基因片段，并结合大数据分析方法，对未知软件进行恶意性判定、同源性分析、漏洞基因检测等。

9）元数据追溯取证

元数据追溯取证：内置网络流量元数据审计取证引擎，对网络流量中的应用层元数据进行提取及事后追溯取证；

协议解析：对网络流量进行协议解析；

应用识别：对网络流量进行应用识别；

会话分析：对网络流量进行会话分析；

10）攻击链分析

高级持续性威胁（APT）检测系统能够对 APT 攻击链的各个阶段进行全面的安全检测，包括 1、扫描探测 2、工具投送 3、漏洞利用 4、木马下载 5、远程控制 6、横向渗透 7、行动收割。

11）溯源取证

支持解析并存储 http、dns、ftp、smtp 等几十种协议的元数据，具有完整的追溯取证能力。通过可视化操作，可快速定位攻击者，并定位出攻击者的 IP，MAC，攻击方式，攻击协议，以及攻击目标等详细信息。

12）资产监测分析

系统支持通过关联分析结果、规则特征配结果、算法模型分析结果、动态行为分析结果与敌情情报关联，确定网络内部已经出现问题的资产。

13）安全联动

能自动识别 APT 攻击，并可与防火墙、入侵防御、网闸等串行网络安全设备联动，提升防护 APT 攻击的能力。

6、项目的实施主体

本项目由蓝盾股份的子公司蓝盾技术自行建设，建设地点设在广州天河软件园。

7、项目效益情况

经测算，项目主要财务分析指标如下：

年销售收入 6,951.11万元，年均净利润1,798.96万元，财务内部收益率 28.76%，投资回收期 2.93年。

8、项目批准情况

本项目已取得广东省广州市天河区发展和改革局出具的《广东省企业投资项目备案证》，项目代码 2020-440106-65-03-007217。

此报告为完整版摘取部分，需定制化编制政府立项、银行贷款、投资决策等用途可行性研究报告咨询思瀚产业研究院。