【网络安全五大样板工程】西安银行：未知威胁感知

在新兴技术推动金融机构不断创新的同时，随之而来的各类新型安全威胁已悄然改变传统的金融风险内涵，金融机构面临的内外部安全威胁不断增加。金融机构信息系统的安全稳定与国家、金融行业、金融客户的利益息息相关，有效防范信息系统的安全威胁已成为金融工作的重要环节之一。

西安银行在IT基础设施建设，深化信息系统开发建设方面已取得了长足的发展。但是，随着互联网与传统行业的不断融合，大量的业务系统持续的产生着海量的数据，信息安全形势也日趋复杂和严峻。数据在不同的系统、端点间流动，使得未知威胁的发现与处置复杂度不断提升，传统防火墙、防病毒和入侵防御等以边界防护和静态防护为主的安全防护方式，已不能适应新的网络安全形势，需要采用持续监控、大数据分析等新技术，全量采集网络相关数据、感知网络当前态势，并预测网络安全趋势。

因此，西安银行从2018年开始启动未知威胁感知系统的建设，从时间（年、月、周、日）/空间（内外网、物理位置、IP）角度进行全面的未知威胁分析与监控。
 

金融机构未知威胁感知是一个新生事物，西安银行此次互联网环境未知威胁感知项目的建设，是强化以信息科技为引领，加快推进数字化银行建设的重要举措。

1. 大数据架构支撑海量多源异构数据集中管理

通过大数据技术（ElasticSearch集群+ Flink）建设智能分析平台，采用分布式采集、存储、分析架构完成安全设备、主机、应用、网络设备、流量、情报等数据源的数据接入，并将收集的信息进行标准化和丰富化处理，从而为平台的智能分析提供高质量的数据。

2. 自动化数据源、数据质量监控

通过资产自动化核查手段，严密监控西安银行资产变化，确保所有信息化资产均纳入未知威胁监测体系。通过数据源的智能监控模块对数据质量进行二次验证。一旦数据源出现问题平台将自动重传数据并发出告警。

3.场景化多引擎智能分析体系

引入规则分析引擎、流量检测分析引擎、机器学习引擎、威胁情报分析引擎对海量数据根据不同场景进行综合分析。通过梳理，西安银行将未知威胁分为11多类共计470多种威胁场景，通过不同的分析引擎进行组合、联动分析，形成了长周期、多源异构数据的多引擎智能分析体系。

4. 内外部用户异常行为智能分析模型

西安银行通过研发神经网络用户行为分析模型来处理用户登录、访问序列、操作内容等元数据。在互联网异常访问威胁的分析中，安全团队通过DBSCAN/T-SNE聚类算法进行相同行为的聚类，发现来自互联网异常的访问；通过XGBoots/RFC/SVM算法进行分类并构建训练有监督模型；最后通过多算法投票来标识别具体的异常行为。

在内部用户异常访问威胁的分析过程中，使用用户行为智能分析模型根据时间/空间/角色三大维度提取用户操作各种特征分布完成用户行为画像（用户行为基线），提供了实时、准实时的内部用户异常行为告警能力。

5. 引入威胁情报提升互联网威胁感知能力

集成了来自互联网的第三方威胁情报数据，与西安银行互联网金融区流量数据、资产脆弱性数据进行实时碰撞，实现高可靠告警，确保西安银行安全团队快速使用针对性手段进行处置。

为了保障情报质量，西安银行采用国内首创的情报管理机制，实现了多源情报整合，对多源异构情报源参照stix2标准处理，输出可机读的可信威胁情报，从而实现实时未知威胁检测，同时利用智能算法，对检测结果进行持续评估，动态调整各情报源的权重和可信度。

目前，西安银行未知威胁感知平台采集了互联网金融区超过260台设备的安全数据，覆盖安全设备、网络设备、主机、中间件等。管理资产350+台，覆盖了西安银行的重要业务系统，包括西银惠付、西银在线、微信银行、web银行等。平台每日采集日志量超过1.3亿条，流量数据超过400G，每天更新的威胁情报数据量超过2M。已建立安全分析模型超过470+条，包含数据安全、网络安全、主机安全、服务安全、违规行为、恶意代码等11个大类，35个小类。

自2018年8月份未知威胁感知平台上线运营以来，在外部攻击、内部违规行为以及APT攻击等各方面成效显著，已累计发现疑似攻击行为20万次，经平台分析统计，处置已确认攻击事件19万余次，屏蔽恶意IP超过40多个，无攻击成功事件。通过不断的建模、优化、调整，每日的安全事件不断降低，从每天几百条降低到每天几十条。使网络安全工作实现了从独立工作到协同防御的转变，实现了网络安全从被动防护到主动防御的转变。

此外，来自内、外部的高质量数据为智能分析平台以及安全分析团队提供了稳定的数据支撑能力并输出告警到展示大屏，使得西安银行能够准确判断安全形势。运维人员通过大屏能直观看到需要重点关注及处置的安全事件，减小了运维人员工作量，事件处置效率提升约80%。

借助未知威胁感知平台，提升了西安银行安全防护的整体水平，对已知威胁及未知威胁能够“看的见”“抓的住”“防得住”，进一步提升智能化风控能力，推动IT治理架构升级，全面支撑西安银行数字化转型。

（作者：韩强 王小林）