在刚刚圆满实现的北京冬奥和冬残奥会中，，AB钱包创制了奥运会网络安全“零变乱”的世界纪录，，获得了网络安全“中国规划”的成功。这份成功的背后离不开监管态势感知、、运营态势感知、、攻防态势感知“三合一”实战化态势感知在冬奥舞台上的“同框发力”。

    图AB钱包圆满实现北京冬奥、、冬残奥网络安全保险工作

    天眼作为其中的攻防态势感知，，承担着冬奥网络安全“眼睛”的职责，，触达冬奥在云上、、云下的每个角落，，蕴含2个网络中心、、2个数据中心、、12个较量场馆、、26个非较量场馆，，以及给冬奥提供网络及业务平台支持的多家运营商、、合作同伴、、外部单元等，，第一功夫“看到”任何的网络异常行为，，实现全天候、、全方位的网络威胁感知。

    天眼在第一功夫发现威胁后，，将所有的告警信息上传至运营态势NGSOC系统。接着，，安全运营人员将通过运营态势NGSOC系统网络来的天眼告警信息，，以及其他安全设备的告警日志、、操作系统和利用系统的日志，，进行分析研判。最终，，安全运营人员分析研判后的了局将报送至作为“大脑”的监管态势感知平台，，供TOC（技术运行中心）、、安全运营中心进行监管及查看指挥。

    1

    检测APT，，天眼永不缺席

    Bvp47事务威胁全球网络空间安全，，国度间政治矛盾演变的网络攻防战愈演愈烈，，黑客的攻击伎俩不休演进升级......作为全球瞩主张奥运会，，其有关的方方面面都可能受到各类网络攻击，，尤其是APT威胁。

    作为APT的有效克星，，天眼可能针对APT等高级网络攻击的全性命周期进行全面、、持续的检测。在本次冬奥网络安全保险中，，作为“眼睛”的天眼，，持续“静默”守“岗”，，实时动态监测威胁，，有效发现蕴含Web攻击、、邮件攻击、、恶意软件、、0Day攻击等各类安全威胁。

    据统计，，冬奥会期间，，天眼发现威胁告警5,008,746次、、缝隙告警9,135次，，威胁谍报射中28,790次，，发现恶意样本数54个。

    3月2日，，Spring官方颁布技术开发API网关SpringCloudGateway存在高风险的远程代码执行缝隙，，对于彼时如火如荼的冬奥来说，，该缝隙可能对冬奥有关的网络技术架构有肯定的安全威胁。

    而天眼在没有更新规定之前，，凭借Java通用代码执行缝隙的规定，，能够鉴别出攻击行为，，再由分析人员对攻击payload进一步分析，，就能定位到具体的缝隙。这与拿到缝隙细节才更新规定的检测有性质区别。也因而，，天眼能够越发实时地通知到冬奥网络安全分析人员关注此类告警，，预防0day缝隙造成更大影响。

    2

    自动化检测，，看“清”看“透”云上云下各类威胁

    冬奥分为“云上”和“云下”网络安全环境，，“云上”为2个数据中心，，重要信息系统均部署在云上数据中心；；；“云下”为12个较量场馆、、26个非较量场馆、、2个网络中心，，以及给冬奥提供网络及业务平台支持的多家运营商、、合作同伴、、外部单元等。

    为了满足冬奥云上、、云下复杂的业务及网络环境，，天眼选取“云地结合”级联规划，，实现全量采集冬奥云上器材南北全向流量以及地下各场馆流量。

    部署到冬奥云上、、云下的天眼探针，，将采集到的网络流量通过自主研发的QNA大数据人为智能威胁检测引擎解析成各类和谈字段，，通过数万条文则和百万级的威胁谍报判断解析后的流量中是否有攻击行为。

    QNA引擎还会将网络中传输的各类文件进行还原，，投送到天眼沙箱中，，判断是否为恶意文件。最终，，天眼分析平台综合各类告警信息进行关联分析，，还原出攻击链，，能够用于监测齐全攻击事务，，尤其是针对APT攻击事务有较好的检测能力，，还能够从攻击链中发现未知威胁和0day攻击。

    以上由天眼第一功夫检测到的异常行为会形成告警，，并自动同步上报到运营态势感知NGSOC系统进前进一步的人为分析和研判；；；流量日志仍存储在天眼中，，供分析研判人员深度溯源分析时提取。

    整个冬奥会期间，，天眼总计产生告警日志53万条，，流量日志总计1074亿条。

    当分析人员必要对告警进行具体分析时，，通过天眼分析中心“按需提取”云上、、云下分析平台全量的网络和主机行为日志、、以及沙箱中的恶意样本文件，，结合威胁谍报进行深刻的调查，，并且利用搜索、、统计、、可视化关联等步骤和技术，，援手其进行溯源分析，，出现出齐全的攻击过程。

    能够看出，，攻防态势感知对人依赖度很低，，自动化更强。在威胁检测时，，攻防态势感知天眼能够自动检测发现威胁、、自动上报；；；当必要分析研判时，，它会给分析人员提供数据支持。

    3

    守好检测关口，，天眼以“奥运品质”交作业

    冬奥一旦产生潜在：ν绾托畔⑾低车陌踩挛袷，，若是不成能实时发现、、预警和响应措置，，对奥运赛事的保险工作会造成出格重大的影响和侵害，，甚至可能影响角逐的顺利进行和角逐期间的社会秩序。

    AB钱包作为北京冬奥官方网络安全服务和杀毒软件赞助商，，必须确保“零变乱”。作为切近威胁一线的“眼睛”，，天眼也必必要做到冬奥全网的网络威胁告警“纤毫毕现”，，检测速度“疾如雷电”。只有守好检测这道关口，，能力协同联动运营态势感知、、监管态势感知阐扬更大的作用。

    在守好检测这道关口上，，天眼为冬奥贡献了一点菲薄之力，，也收成了一些成就：

    1弘扬奥运品质，，追求更短的威胁检测和响应功夫

    整个冬奥期间，，天眼以“奥运尺度”要求自己，，极大提升在冬奥中对未知威胁和攻击的检出效能，，达到更高的正确率和更低的误报率。用全量数据支持冬奥安全监控中心溯源分析，，让攻击过程真相毕露。最终，，不休缩短冬奥期间网络威胁发现的均匀检测功夫（MTTD）和均匀响应功夫（MTTR）。

    “冬奥‘零变乱’，，不是没有安全风险，，而是实时将风险扼杀在摇篮里，，预防了进一步的事态舒展，，这也是奥运品质网络安全的价值体现。天眼在其中阐扬着很大作用，，通过流量检测全覆盖，，明察秋毫，，不放过任何蛛丝马迹；；；威胁发现实时，，缩短威胁响应功夫；；；响应功夫缩短，，威胁产生的影响天然就微乎其微。”AB钱包冬奥保险总架构师尹智清暗示。

    图天眼网络安全态势大屏

    2“云地结合”火速级联规划，，降本增效，，加强云上威胁发现能力

    为了满足冬奥云上、、云下复杂的业务及网络环境，，天眼选取“云地结合”级联规划，，云上、、云下异地散布存储，，在不影响威胁治理及响应的前提下，，实现天眼分析中心按需、、实时提取云上及云下的安全数据。整个全流量采集规划，，在极大降低安全成本的同时，，也大大提升冬奥云上安全感知能力，，促成百年奥运史上第一个“云上奥运”的安全诞生。

    “只管冬奥在云上的网络流量首先会经过云厂商WAF设备，，一部门Web类攻击会在这里被监测和阻断。但我以为并不及够，，云天眼会作为第二道关卡的守门员，，对APT攻击和恶意文件威胁进前进一步分析和鉴别，，做到稳操胜券。”冬奥网络安全专家李洪亮提到。

    3关键技术实现精准自动化检测，，狙击0Day、、APT

    天眼深度融合AB钱包自身壮大的威胁谍报，，并通过大数据、、人为智能等技术自动化检测威胁，，实现对新场景下APT攻击、、0Day攻击的实时发现。

    “这只眼睛很精准。天眼从流量上援手我们精准发现各类威胁，，无论是针对DGA域名、、DNS隧道攻击，，还是APT攻击”，，冬奥网络安全监控值班经理初雪峰这样评价天眼。

    4

    结语

    当然，，也许和大脑比起来，，眼睛的确不是最主题的器官。但是在整个冬奥中，，天眼作为“眼睛”，，一向在以自动化网络攻击检测默默贡献自己的菲薄之力，，与前列安服和应急团队环环相扣、、无缝合作，，将威胁发现、、研判分析、、溯源措置等功夫压缩再压缩，，与公司一路创制奥运“零变乱”，，也许是天眼最大的收成和价值。

    ?零变乱的背后：一道关乎北京冬奥的网络纵深防线

    ?冬奥网络安全“零变乱”，，离不开这份“中国规划”

    ?3.8亿次网络攻击与冬奥“零变乱”承诺背后的攻防博弈

    ?奥运“零变乱”世界纪录背后：实战化态势感知若何“三位一体”