揭秘：ISC 大会亿级流量背后的安全运营保障实践

2022 全球数字经济大会数字安全峰会暨第十届互联网安全大会（简称 ISC 2022）于 7 月 30 日在北京国家会议中心正式开展。大会首创线下大会与线上元宇宙沉浸平台同频联动的数字融合新模式，创造了 1 亿+平台总点击量、900w+平台访问人数以及 1400w+N 世界 ISC 数字安全展浏览量。

这场数字安全元宇宙盛宴为线上办会打开了一扇新门，N 世界全量业务数据上云也让运营保障工作难度徒增。360 数字安全运营中心（简称 360 SOC）由 360 数字安全大脑赋能，构建动态的安全防御体系，在大会期间高效运营保障线下展会与 N 世界的安全。

以云上多元态势感知「看见」威胁

本次 ISC2022 大会服务规模庞大，包含 100 万长连接服务器、2TB 直播带宽流量、5 亿 PV API 服务器。N 世界-ISC 大陆利用数字孪生技术复刻了线下场景和功能，实现线上线下协同共振、虚实场景深度融合的模式，实时同步所有活动。

N 世界全量业务数据上云，构建在 360 技术中台混合云架构和容器云平台上，复杂的云地协同环境、多样的数据格式和应用场景，以及云原生技术引入新的防护目标和风险，使得运营保障工作难度升级，其中首要目标就是在云原生环境下「看见」威胁。

360 数字安全大脑汇集了 300 亿+恶意样本、22 万亿安全日志，全球 90 亿域名信息、2EB 以上大数据，通过情报云、知识云、漏洞云、测绘云、专家云、沙箱云、查杀云等开放安全云服务将安全可见能力赋能本地安全大脑，结合 XDR 完善的原生神经元体系，在 N 世界的云原生环境中构建安全数据采集能力进行监测和响应，发现了很多传统检测手段难以看见的威胁，对 N 世界进行全方位的威胁感知。

360 本地安全大脑 XDR 与多个安全平台（包含全面部署的 CWPP、NDR、EDR、WAF 等多种安全产品）进行跨数据中心的全局关联分析，通过聚合关联多维数据结合专家规则和 AI 模型，充分发挥其多维检测、分析引擎的能力，对 N 世界云上业务搜集到的样本、情报、主机和终端异常行为等进行检测，多维度关联分析及自动化进行溯源，能精准判定线下展会及线上 N 世界所受到的各类威胁场景和网络攻击，并高效进行应急处置。

实战化建设云上安全防护体系

在 ISC 大会期间，360 数字安全运营中心通过镜像会场工作区流量和接入 WiFi 流量，以 NDR 实时感知网络侧安全威胁。会场所有办公电脑部署 360 终端安全管理系统，通过虎安主机代理采集云上流量和主机 EDR 数据，结合本地安全大脑的 EDR 模块实时感知终端侧和主机侧的安全威胁。

同时，为进一步保障本地安全大脑防护能力，新增网络侧及终端侧检测规则 80+条、新增安全场景模型 10 余个，并通过入侵者模拟攻击及会前攻防演练，主动发现漏洞风险，针对告警数据进行持续清洗和降噪，提升精准度。为更贴合云上攻防场景，在 SOAR 中针对云原生服务的挖矿木马、勒索攻击、蠕虫传播、APT 攻击等常见威胁场景优化云上的应急处置预案，其次业务资产的威胁告警及安全漏洞进行自动化响应编排，从海量告警威胁中筛选出高风险事件形成响应工单，并通过安全专家去除误报进入标准的 SOP 流程，全面提升安全运营效率。再者借助虎安的云原生安全检测能力，对容器镜像构建、系统运行、集群安全进行全方位的监控和检测，自动获取节点和仓库中的镜像，并从漏洞库、可疑历史操作、敏感信息泄露、可疑进程信息、可疑文件操作等多个维度对容器进行安全监控。

此外，为确保 N 世界稳定运行，360 依托于自身的混合云建设架构规划了 DDOS 防御方案，在保证防御效果有效性的同时最大程度降低了业务干扰和实施成本。当攻击流量低于 20G 时，业务通过 360 自研的分布式云 WAF 磐云对各类基于 TCP 协议的 DDOS 攻击进行识别和清洗；当攻击流量高于 20G 时，业务域名解析到到公有云高防 IP，经过清洗的业务流量经混合云专线接入 360IDC 机房，实现大流量清洗。

打造「六位一体」监测响应体系

360SOC 通过「资源可利用、能力可扩展、效果可衡量」的标准模块化迭代安全运营体系，依附本地安全大脑结合磐云、EDR、NDR、虎安打造集态势感知、安全防护、威胁预警、通报预警、信息共享、应急响应「六位一体」的运营体系保障 N 世界。

为进一步强化实战能力及运营效率，360 SOC 安全专家团队分为监控组、研判组、应急处置组、安全分析组。监控组对各个入侵路径进行「多锚点」的安全监控；研判组针对发出的告警进一步研判其是否为真实威胁；应急处置组在大会前开展前期制定应急处理方案，将有效告警第一时间进行处置工作，同时将提取出的恶意样本交给分析组；分析组借助 360 数字安全大脑的能力，将提取出的样本特征反馈给应急处置组做封禁阻断等应急处置，形成完整闭环。专家团队通过全方位「看见」能力以及体系化运营和自动化管理，7x24 小时保障大会安全运行。

在上述运营服务下，360SOC 线上线下部署服务器共 3290 台，感知会场威胁告警数量 5062 条，云端拦截 WEB 网络攻击 12942 次，安全运营预警数量 39 条，告警平均响应时间 1 分钟，DDOS 共 1 次，攻击流量约为 30 Gbps，攻击流量 18671 次，攻击成功安全事件告警数量 0 次。其中被攻击子域名占比 46.67%，Web 攻击 IP 数 183 个，受到攻击防护 6835 次，CC 攻击 IP31 个，受到攻击防护 507 次，爬虫 IP104 个，受到攻击防护 746 次。

数据可见，360SOC 安全专家团队在此次大会期间通过持续不断的分析跨组织网络、终端、服务器数据活动，在 7x24 模式下对信息安全事件进行全天候响应，实现零重大安全事件，全面保障会场网络、云端服务安全稳定运行。

ISC现场图文快

会场在测试机的模拟环境下随机抽取了安全事件进行模拟攻击演示，为参展人员展示了直观的安全运营流程，对现场发现的威胁进行自动化的响应和处置。

360SOC 是由 360 全球数字安全大脑赋能的「安全基础设施」，协同 360 顶尖安全专家服务体系，进行安全风险核查、XDR 威胁感知能力、安全编排与自动化响应以及安全可视化工作。从首次 ISC 大会开始，高效保障展会相关基础设施稳定运行，迄今已有 8 年经验，从未出现过重大风险。

ISC 2022 完美落幕，

360SOC 也圆满完成大会安全保障任务。

明年我们再会，共创数字安全未来！

360SOC安全守护体验

360安全大脑分析平台：

https://sc.360.net/

360数字本地安全大脑：

https://360.net/product-center/security-intelligence-brain/index

360终端安全管理系统（EDR）：

https://360.net/product-center/Endpoint-Security/management-system

360高级持续性威胁预警系统（NDR）：

https://www.360.net/product-center/360-industrial-security/advanced-threat-warning

SaaS化主机安全运营防护平台虎安:

https://hooan.360.cn