慧眼云–下一代网络威胁感知系统
作者: 日期:2015年08月14日 阅:5,135

网康科技将在8月18日上线发布下一代网络威胁感知系统——慧眼云。通过查找网络中的“失陷主机”,并进行攻击溯源,寻找网络中的安全风险和隐患。

banner-425-160

慧眼云是什么

网康慧眼云下一代网络威胁感知系统,是网康针对已知威胁和未知威胁推出的全面检测性产品,是国内首个失陷主机检测系统。主要通过异常行为识别技术和威胁情报技术进行失陷主机的分析、发现、溯源,还原整个攻击过程,找到安全薄弱点,最终部署对抗措施,提升安全主动防御能力。

同时,慧眼云还可以与网康的安全网关设备(下一代防火墙NGFW、上网行为管理ICG等)进行联动,实时将分析检测后的结果下发到网关设备,从而构建从发现到阻断的整体防御体系,进行多级的协同防御,彻底提升网络安全防护能力。

传统安全产产品的局限

传统安全产品,如终端杀毒、防火墙、IPS、Web安全,都是基于已知特征和预设规则展开工作的,其理论依据是边界安全与P2DR防护模型。当未知威胁来临、内部威胁增多,网络边界逐渐模糊化甚至消失后,传统安全静态、被动、防御思维的安全模型已经不能够应对当今多样化的攻击。网络安全事件逐年增多也就不足以为奇了。

通过大量攻击案例的分析,我们可以将攻击可分为4个阶段:入侵、远程控制、内部渗透、信息窃取。由于0day等未知威胁的利用,入侵成功的概率越来越高,一旦入侵成功后,入侵者将找到一个支撑点,通过这个支撑点再逐渐内部渗透,在此过程中,将产生大量的行为记录。

因此,慧眼云主打“失陷主机”的检测,也就是上述提到的支撑点的检测。依靠网康独有的异常行为识别技术和威胁情报技术,通过快速、持续的发现这些支撑点(失陷主机),在危害发生之前,采取对应的安全措施,从而帮助客户彻底提高安全防护能力。

失陷主机

失陷主机通过一张二维图形进行全局的分布展示。横轴为“确定性”指数,表示主机失陷的可疑程度,数字越大,说明可疑性越高。纵轴为“威胁性指数”,表示主机失陷后产生的危害性大小,数字越大,说明危害性越大。基于这两个维度,将失陷主机分为三个区域,分别为低度风险区域、中度风险区域、高度风险区域。如果一旦主机处于高度风险区域,说明需要立刻采取措施,否则有可能产生不可估量的损失。

1

同时,慧眼云可以钻取每一台主机的失陷分析过程,通过威胁活动的几个阶段(遭受入侵、受到控制、发起内部攻击、发起恶意行为),分析出当前主机的确定性指数和威胁性指数,并可以看到指定时间内的走势图,从而判断失陷主机的活跃程度和风险级别。同时,还可以查看整个主机失陷的过程,从而找到失陷的源头,分析出已经产生的危害,为安全评估提供可视化的支撑。

2

威胁情报

威胁情报,主要通过对攻击者的攻击手段、攻击手法进行刻画,描述攻击者的画像,进行匹配分析,同时可以针对当前热点的攻击特点进行实时预警,从而提升安全防护能力。

网康的威胁情报来源主要分为两部分:一是网康遍布全国的安全探针,一是与第三方的情报共享合作。通过威胁情报,可以实时的查看到传统网络安全检测不到的网络威胁。

威胁情报地图展示最新的全局威胁攻击情况,包括攻击时间、攻击源国家,被攻击国家和攻击类型等等,帮助客户实时感知威胁态势。

3

情境分析

情境分析,就是依据客户的业务场景和可能产生的网络行为,进行大数据分析,从而发现网络中存在的异常。

慧眼云情境分析分为“统计总览”和“关联分析”两大部分。

“统计总览”以柱状图、饼状图的形式呈现一段时间内网络攻击信息的统计结果,包括被渗透攻击的IP排行、被渗透攻击的事件排行、间谍软件行为的IP排行、间谍软件行为的事件排行、访问恶意URL的IP排行、访问URL的事件排行、下载病毒木马的IP排行、下载病毒木马的事件排行等。

4

“关联分析”可以基于主机类型、连接方向、源地址,目的地址等属性作情境关联分析。

例如,某遭到渗透攻击IP的攻击源(IP地址、所属地域)、攻击方式、应用载体;又如,下载某病毒的源IP地址、目的IP地址、应用载体等。

5

日志搜索

日志搜索是慧眼云提供的一套大数据搜索工具,帮助安全人员进行快速的事件定位和回溯。

主要特点如下:

  1. 基于安全事件进行快速追溯,几秒内可以完成几十T的数据搜索
  2. 支持文本和规则运算及递进搜索,更深度的精准搜索
  3. 对日志搜索结果可进行结构化和图形化显示,便于分析定位问题

6

安全报告

安全报告,主要基于资产安全、威胁分析、应用分析、病毒与恶意URL分析等维度,定时定期的将分析好的报告发送到安全分析员手中,帮助安全分析员实时了解网络中存在的安全问题,及时采取措施。

同时,基于日、周、月、年的报告可以看到整个网络安全趋势,帮助管理者对未来的安全走势进行把握,提前进行安全布局。

7

慧眼云的“优势”所在

1. 国内首个失陷主机检测系统

基于云和大数据技术,对网络异常行为进行实时、持续的检测,结合威胁情报系统,发现网络中存在的失陷主机,并采取对应措施,防患于未然。

2. 异常行为的深度识别能力

采用大数据技术,对各种日志基于时间维度和空间维度的关联分析,从蛛丝马迹中发现用户的异常行为线索,从而发现潜在风险,提前安全防御能力。

3. 失陷过程支持完整还原回溯

通过对历史数据的分析和钻取,对已经失陷的主机进行完整的还原和过程回溯,为掌握攻击过程、评估攻击危害提供数据支撑,找到根本性对抗措施。

4. 协同防御能力

慧眼云可以实时的将异常检测结果与网康安全设备进行联动,提高安全设备的精准阻断能力,从而构成网络的多层次主动防御体系,提升网络防护效果。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章