在新興技術(shù)推動金融機(jī)構(gòu)不斷創(chuàng)新的同時，隨之而來的各類新型安全威脅已悄然改變傳統(tǒng)的金融風(fēng)險內(nèi)涵，金融機(jī)構(gòu)面臨的內(nèi)外部安全威脅不斷增加。金融機(jī)構(gòu)信息系統(tǒng)的安全穩(wěn)定與國家、金融行業(yè)、金融客戶的利益息息相關(guān)，有效防范信息系統(tǒng)的安全威脅已成為金融工作的重要環(huán)節(jié)之一。

西安銀行在IT基礎(chǔ)設(shè)施建設(shè)，深化信息系統(tǒng)開發(fā)建設(shè)方面已取得了長足的發(fā)展。但是，隨著互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的不斷融合，大量的業(yè)務(wù)系統(tǒng)持續(xù)的產(chǎn)生著海量的數(shù)據(jù)，信息安全形勢也日趨復(fù)雜和嚴(yán)峻。數(shù)據(jù)在不同的系統(tǒng)、端點間流動，使得未知威脅的發(fā)現(xiàn)與處置復(fù)雜度不斷提升，傳統(tǒng)防火墻、防病毒和入侵防御等以邊界防護(hù)和靜態(tài)防護(hù)為主的安全防護(hù)方式，已不能適應(yīng)新的網(wǎng)絡(luò)安全形勢，需要采用持續(xù)監(jiān)控、大數(shù)據(jù)分析等新技術(shù)，全量采集網(wǎng)絡(luò)相關(guān)數(shù)據(jù)、感知網(wǎng)絡(luò)當(dāng)前態(tài)勢，并預(yù)測網(wǎng)絡(luò)安全趨勢。

因此，西安銀行從2018年開始啟動未知威脅感知系統(tǒng)的建設(shè)，從時間（年、月、周、日）/空間（內(nèi)外網(wǎng)、物理位置、IP）角度進(jìn)行全面的未知威脅分析與監(jiān)控。
 

金融機(jī)構(gòu)未知威脅感知是一個新生事物，西安銀行此次互聯(lián)網(wǎng)環(huán)境未知威脅感知項目的建設(shè)，是強(qiáng)化以信息科技為引領(lǐng)，加快推進(jìn)數(shù)字化銀行建設(shè)的重要舉措。

1. 大數(shù)據(jù)架構(gòu)支撐海量多源異構(gòu)數(shù)據(jù)集中管理

通過大數(shù)據(jù)技術(shù)（ElasticSearch集群+ Flink）建設(shè)智能分析平臺，采用分布式采集、存儲、分析架構(gòu)完成安全設(shè)備、主機(jī)、應(yīng)用、網(wǎng)絡(luò)設(shè)備、流量、情報等數(shù)據(jù)源的數(shù)據(jù)接入，并將收集的信息進(jìn)行標(biāo)準(zhǔn)化和豐富化處理，從而為平臺的智能分析提供高質(zhì)量的數(shù)據(jù)。

2. 自動化數(shù)據(jù)源、數(shù)據(jù)質(zhì)量監(jiān)控

通過資產(chǎn)自動化核查手段，嚴(yán)密監(jiān)控西安銀行資產(chǎn)變化，確保所有信息化資產(chǎn)均納入未知威脅監(jiān)測體系。通過數(shù)據(jù)源的智能監(jiān)控模塊對數(shù)據(jù)質(zhì)量進(jìn)行二次驗證。一旦數(shù)據(jù)源出現(xiàn)問題平臺將自動重傳數(shù)據(jù)并發(fā)出告警。

3.場景化多引擎智能分析體系

引入規(guī)則分析引擎、流量檢測分析引擎、機(jī)器學(xué)習(xí)引擎、威脅情報分析引擎對海量數(shù)據(jù)根據(jù)不同場景進(jìn)行綜合分析。通過梳理，西安銀行將未知威脅分為11多類共計470多種威脅場景，通過不同的分析引擎進(jìn)行組合、聯(lián)動分析，形成了長周期、多源異構(gòu)數(shù)據(jù)的多引擎智能分析體系。

4. 內(nèi)外部用戶異常行為智能分析模型

西安銀行通過研發(fā)神經(jīng)網(wǎng)絡(luò)用戶行為分析模型來處理用戶登錄、訪問序列、操作內(nèi)容等元數(shù)據(jù)。在互聯(lián)網(wǎng)異常訪問威脅的分析中，安全團(tuán)隊通過DBSCAN/T-SNE聚類算法進(jìn)行相同行為的聚類，發(fā)現(xiàn)來自互聯(lián)網(wǎng)異常的訪問；通過XGBoots/RFC/SVM算法進(jìn)行分類并構(gòu)建訓(xùn)練有監(jiān)督模型；最后通過多算法投票來標(biāo)識別具體的異常行為。

在內(nèi)部用戶異常訪問威脅的分析過程中，使用用戶行為智能分析模型根據(jù)時間/空間/角色三大維度提取用戶操作各種特征分布完成用戶行為畫像（用戶行為基線），提供了實時、準(zhǔn)實時的內(nèi)部用戶異常行為告警能力。

5. 引入威脅情報提升互聯(lián)網(wǎng)威脅感知能力

集成了來自互聯(lián)網(wǎng)的第三方威脅情報數(shù)據(jù)，與西安銀行互聯(lián)網(wǎng)金融區(qū)流量數(shù)據(jù)、資產(chǎn)脆弱性數(shù)據(jù)進(jìn)行實時碰撞，實現(xiàn)高可靠告警，確保西安銀行安全團(tuán)隊快速使用針對性手段進(jìn)行處置。

為了保障情報質(zhì)量，西安銀行采用國內(nèi)首創(chuàng)的情報管理機(jī)制，實現(xiàn)了多源情報整合，對多源異構(gòu)情報源參照stix2標(biāo)準(zhǔn)處理，輸出可機(jī)讀的可信威脅情報，從而實現(xiàn)實時未知威脅檢測，同時利用智能算法，對檢測結(jié)果進(jìn)行持續(xù)評估，動態(tài)調(diào)整各情報源的權(quán)重和可信度。

目前，西安銀行未知威脅感知平臺采集了互聯(lián)網(wǎng)金融區(qū)超過260臺設(shè)備的安全數(shù)據(jù)，覆蓋安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、中間件等。管理資產(chǎn)350+臺，覆蓋了西安銀行的重要業(yè)務(wù)系統(tǒng)，包括西銀惠付、西銀在線、微信銀行、web銀行等。平臺每日采集日志量超過1.3億條，流量數(shù)據(jù)超過400G，每天更新的威脅情報數(shù)據(jù)量超過2M。已建立安全分析模型超過470+條，包含數(shù)據(jù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、服務(wù)安全、違規(guī)行為、惡意代碼等11個大類，35個小類。

自2018年8月份未知威脅感知平臺上線運營以來，在外部攻擊、內(nèi)部違規(guī)行為以及APT攻擊等各方面成效顯著，已累計發(fā)現(xiàn)疑似攻擊行為20萬次，經(jīng)平臺分析統(tǒng)計，處置已確認(rèn)攻擊事件19萬余次，屏蔽惡意IP超過40多個，無攻擊成功事件。通過不斷的建模、優(yōu)化、調(diào)整，每日的安全事件不斷降低，從每天幾百條降低到每天幾十條。使網(wǎng)絡(luò)安全工作實現(xiàn)了從獨立工作到協(xié)同防御的轉(zhuǎn)變，實現(xiàn)了網(wǎng)絡(luò)安全從被動防護(hù)到主動防御的轉(zhuǎn)變。

此外，來自內(nèi)、外部的高質(zhì)量數(shù)據(jù)為智能分析平臺以及安全分析團(tuán)隊提供了穩(wěn)定的數(shù)據(jù)支撐能力并輸出告警到展示大屏，使得西安銀行能夠準(zhǔn)確判斷安全形勢。運維人員通過大屏能直觀看到需要重點關(guān)注及處置的安全事件，減小了運維人員工作量，事件處置效率提升約80%。

借助未知威脅感知平臺，提升了西安銀行安全防護(hù)的整體水平，對已知威脅及未知威脅能夠“看的見”“抓的住”“防得住”，進(jìn)一步提升智能化風(fēng)控能力，推動IT治理架構(gòu)升級，全面支撐西安銀行數(shù)字化轉(zhuǎn)型。

（作者：韓強(qiáng) 王小林）