及时预警,高效溯源国舜企业高级威胁检测防

#安全挑战#

01

高级持续性威胁愈演愈烈

企业和组织机构的内网安全，既关系到自身增值业务的高效运营，也关系到其基础网络和日常办公的正常开展。随着近几年国家对网络安全的重视程度在逐步提高，尤其是等级保护的强力推行，绝大多数的企业和组织机构都部署了防火墙、IPS和防病毒软件等常规的安全设备或软件系统。然而，信息技术的飞速发展也让黑客的攻击手段变得更加高明，针对计算机和网络系统的攻击行为也在持续进化，层出不穷的新型高级恶意威胁仍然能够轻易穿透这种基础的网络安全防护网，直达企业内部核心资产。此类攻击手段复杂、潜伏时间较长、检测难度很大，业界统称为APT（AdvancedPersistentThreat，高级持续性威胁）。一次成功的APT攻击，轻则造成公司核心商业机密泄漏，重则导致金融、能源、交通等涉及国计民生的行业陷入瘫痪，其效果不亚于一场局部战争。

02

缺乏专岗安全运营人员

随着网络信息化的持续完善，企业信息系统的规模逐渐变大，网络中每天都在发生的安全威胁事件也在持续增加，安全告警数据量每日成千上万已是常态。现实情况下只有较少的大型企业、政府机构或其他组织机构才会配备专业的网络安全部门或个人，很多体量较小的企事业机构可能都不会有专职的安全运营人员，而且人员的专业技能更新往往也跟不上安全技术的快速发展。这种情况已经严重影响了企业网络安全事件检测、分析与处置的效率，无法保证高效的安全运营体系建设和管理。

03

安全事件分析需要专业的技术手段

在日常安全监控、安全应急响应、HW支撑、两会重保、安全攻防演练等场景下，仅仅有人还不够，必须要有一套专业的安全事件分析工具或专业的网络安全产品来做支撑，提供基于流量的深度协议分析和基于文件的深度威胁检测功能，同时要具备较强的流量处理性能、较高的准确率和较低的误报率，能够提供自动或半自动的检测分析手段，允许用户在一定程度上自定义分析流程或自定义检测规则，能够展示详细的检测结果和证据，有一套内容丰富的可视化呈现界面，方便投到大屏显示设备等等。

#解决方案#

1

系统架构

国舜高级持续性威胁预警系统架构如图所示，自底向上分为数据采集、分析处理、威胁检测和人机界面四个层次。数据采集层负责通过流量监听口接收镜像/分光流量、通过web界面提交pcap文件或可疑文件样本；分析处理层负责对流量或文件进行初步分析或预处理，包括网络协议解析、流量筛选过滤、流量博文存储、流量载荷还原、文件格式识别、元数据提取等子系统；威胁检测层利用各类检测引擎对流量或文件进行深度威胁检测，包括文件特征检测、异常行为检测、机器学习检测、威胁情报检测、加密流量分析、关联分析等子系统；人机界面层负责将所有威胁检测的结果或流量预处理结果进行可视化呈现及交互式处理，包括态势感知大屏展示、威胁告警展示、风险主机分析、安全事件分析、威胁日报及事件分析报告展示等模块。

2

部署方案

国舜高级持续性威胁预警系统通过分光或镜像网络流量的方式，旁路部署在单位网络进出口处，对流经的网络流量进行全面监测，实时告警，发现潜在的高级威胁。

系统通过持续监测网络流量、分析安全威胁，能够帮助用户实时了解自身网络的安全运行态势，发现潜在的恶意行为，找出受攻击的办公电脑，发现已知威胁变种、未知威胁和恶意加密传输的流量，让网络安全隐患无处遁形。

#方案特点#

1.多元

国舜高级持续性威胁预警系统内置多种检测引擎，多元覆盖已知威胁检测和未知威胁检测、流量威胁检测和文件威胁检测、静态威胁检测和动态威胁检测，既可检测实时流量，也能回放历史报文，还可对接其他文件来源，多种检测技术能够完整覆盖APT攻击的整个攻击链，在不同的阶段可以使用不同的检测技术来有效应对。

2.专业

系统集成了多个AV检测引擎，能够保证高文件检出率；集成十几种人工智能检测技术，包括文件基因图谱检测、恶意加密流量检测、暗网（Tor）通信检测、ShadowSocks通信检测、隐蔽隧道检测（ICMP、HTTP、DNS）、DGA域名检测、web攻击检测等，有效克服传统安全检测技术难以企及的诸多领域难题。

3.灵活

系统提供了丰富的自定义功能，可在界面上灵活开启和关闭各种检测开关，可自定义系统模式，自定义沙箱运行种类、数量和检测参数；可自定义各类检测策略和引擎规则，比如文件类型、IP信誉、文件白名单、流量白名单等；针对加密

转载请注明：http://www.abuoumao.com/hykh/3049.html