隨著網絡安全形勢日益嚴峻，作為基礎電信業務經營單位的運營商面臨著越來越大的壓力。運營商行業亟需通過提升網絡安全感知、網絡安全應急處理、網絡安全防護等各項能力，保障運營商信息化安全。對此，運營商行業用戶通過部署傳統的訪問控制、接入控制及監控處置類安全設備構建了網絡安全基礎防護體系，但面對日益復雜的網絡安全挑戰卻總會存在“手忙腳亂”的情況。

01 運營商行業網絡安全威脅檢測建設的不足

隨著信息與網絡安全技術的進步與用戶安全意識的提升，運營商行業用戶普遍已經通過加強技術和管理的手段實現了對傳統網絡安全威脅的有效對抗，但針對繞過邊界防御潛入內網的威脅（如APT攻擊）卻缺乏有效檢測手段，以下為運營商行業網絡安全威脅檢測建設的常見不足：

1.脆弱性發現和威脅感知能力薄弱

用戶可通過已構建的SOC安全運營中心，采集全網的IDS/防火墻等安全設備日志進行分析，但由于這些設備只能檢測傳統網絡安全威脅，無法有效檢測APT、0Day等高級威脅與未知威脅，針對威脅的分析、研判和處置全過程自動化能力不足。

2.威脅監測范圍不足

IT云、業務云、IDC、DCN網內、DCN網互聯網出口等缺少基于全流量監測的威脅處置手段，無法全面感知網絡安全風險。

3.缺乏大數據、AI分析能力

不具備AI學習分析、大數據關聯分析能力，無法發現變種行為及“內鬼”行為，基于資產信息、威脅信息、脆弱性的安全感知能力欠缺。

4.無法確定攻擊影響面

缺乏風險預判與溯源能力，無法定位攻擊階段、路徑及影響面，難以評估受損情況。

02 深信服全流量監測分析解決方案

深信服全流量監測分析解決方案以全流量分析為核心，利用威脅情報、UEBA、機器學習、大數據關聯分析等技術，可以對DCN網內、公網出口、業務云、IT云、IDC等關鍵節點處的真實流量進行實時監測與分析，及時發現潛伏威脅和失陷主機，并通過全流量監測分析平臺將分析結果對接至SOC安全運營中心，進行進一步綜合分析，同時可聯動安全組件或處置平臺進行快速響應，有效抵御各類已知威脅和APT攻擊等高級威脅。

1.多維智能分析，有效發現高級威脅

能夠對高級威脅常用攻擊行為、病毒行為、異常外聯行為等行為特征進行分析，同時結合大數據關聯分析引擎提供的聯動分析以及DGA域名判別，構建融合檢測模型，從而及時發現失陷主機與高級威脅。針對APT攻擊的特點，為用戶提供多視角的檢測發現能力，及時發現針對用戶重要資產實施的多種形式的定向高級攻擊。

內置深信服自研的SAVE安全智能檢測引擎，該引擎利用深度學習技術對數億維的原始特征進行分析，結合安全專家的領域知識，利用多種機器學習算法組合，實現對新型惡意樣本快速有效的檢測。

利用UEBA技術進行內部用戶和資產的行為分析，對這些對象進行持續的學習和行為畫像構建，以基線畫像的形式檢測異于基線的異常行為并將其作為入口點，結合計算處理模型發現異常用戶、資產行為，識別“內鬼”行為和已入侵的潛伏威脅，提前預警。

2.綜合安全風險可視，深度洞察高級威脅

以用戶關注的視角，將安全風險以業務、終端、安全域等維度進行關聯展示，對安全事件進行詳細地舉證，讓用戶真正看懂安全風險。

提供了基于影響面分析的可視化工具，用于分析風險主機的影響面，了解風險主機對內、對外已經影響了哪些資產，需要在下一步對哪些資產進行處置，消除已產生的受損情況，并評估整體危害程度。
基于時間線的攻擊溯源，以回溯方式發現具體遭受的攻擊、疑似入口點情況、失陷時間點，最終推導最可能的攻擊者情況，為用戶提供快速分析、追溯能力。

3.高效協同聯動，閉環處置安全風險

基于大數據關聯分析與深度挖掘技術快速定位出內網失陷主機和高級威脅，對于來自于互聯網或邊界的攻擊行為，通過聯動邊界防火墻或一鍵封停平臺下發安全策略，及時阻斷相應的攻擊行為。

對于服務器與終端的失陷主機，通過聯動終端檢測與響應平臺下發一鍵掃描策略，快速查殺惡意程序，封堵主機的攻擊威脅，防止威脅風險進一步擴大。

配套專家服務，提供專業的威脅分析、威脅處置、溯源分析、安全加固等能力，配合用戶閉環處置安全風險，提升安全運營能力。

4.匹配重保需求，支撐全流程安全閉環

具備專門的重保大屏，可實現外網暴露面、核心服務器梳理，并可進行實時攻擊分析與攻擊者分析。

支持手工與自動封鎖外部攻擊者，同時可支持云端與本地的威脅情報共享。

支持溯源及快速搜索，可通過IP檢索失陷主機溯源結果和攻擊者畫像信息。

03 深信服全流量監測分析解決方案價值

深信服全流量監測分析解決方案可以滿足運營商在APT高級可持續攻擊檢測、全網安全威脅監測、重保等各個場景的威脅檢測與處置需求。

通過在互聯網出口部署探針，可以實現對外部攻擊的精準檢測。

在DCN網內部署探針，實現對內網的威脅監測與感知，同時可有效發現來自省DCN網側的攻擊。

在私網重要網元節點部署探針，可實現對核心系統進行網絡安全重點監測。

在業務云、IT云部署探針，對云內流量的全面監測，可實現租戶級的威脅感知。

整體方案基于全流量監測，可實現對復雜的網絡安全攻擊、攻擊事件之間的關聯分析，通過精準檢測、全面可視、及時響應彌補運營商網絡安全建設的短板。

04 優選實踐案例

某省聯通：在省網管網、增值業務網、各資源池出口以及在各個地市IDC機房出口等關鍵節點部署探針，實現全網的威脅監測與分析；同時，在網絡邊界部署下一代防火墻，與全流量監測分析平臺聯動，實現對全網威脅的全面發現、立體處置、一鍵溯源。

某省電信：通過在省份DCN網互聯網出口、網管網、IT云、DMZ等接入核心節點部署探針，實現全流量采集，通過AI、大數據分析、行為分析建模等算法引擎，實現對全網流量的深度分析，可探測出全網東西、南北向整體安全狀況，并配合一鍵封停平臺進行威脅處置。

某省移動：通過在BOM三域部署全流量監測分析平臺，監控和發現來自外部的APT攻擊行為，再通過態勢感知系統及其他安全管控系統，對異常和攻擊行為進行防護處理，通過對支撐域安全防護體系改造升級，重點補足了用戶當前網絡對APT攻擊檢測分析的能力。

隨著運營商業務支撐系統云化與中臺改造的加速，運營商的安全建設正在從傳統的邊界防御向云端安全與終端安全延伸，從網絡安全向數據安全、應用安全延伸，為此深信服致力于為運營商用戶構建“可信接入、立體防護、全網感知、集中管控”的新一代安全架構，助力運營商行業信息化發展。