首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

新品發(fā)布 | 安恒信息威脅情報(bào)檢測平臺全方位發(fā)現(xiàn)失陷主機(jī)

閱讀量：次

傳統(tǒng)的防御機(jī)制往往是根據(jù)以往的“經(jīng)驗(yàn)”來構(gòu)建安全防御策略，即使是基于機(jī)器學(xué)習(xí)的檢測算法也是如此，都難以應(yīng)付未知攻擊。在網(wǎng)絡(luò)攻擊呈現(xiàn)多樣化、復(fù)雜化、專業(yè)化的趨勢下，我們需要一種能夠根據(jù)過去和當(dāng)前網(wǎng)絡(luò)安全狀況動態(tài)調(diào)整防御策略的手段，威脅情報(bào)應(yīng)運(yùn)而生。

在對威脅情報(bào)進(jìn)行收集及處理后，可以直接將相應(yīng)的結(jié)果以機(jī)讀的形式分發(fā)給安全設(shè)備，實(shí)現(xiàn)精準(zhǔn)的動態(tài)防御，達(dá)到“未攻先防”的效果，實(shí)現(xiàn)從傳統(tǒng)“靜態(tài)被動防御”到“動態(tài)積極防御”的轉(zhuǎn)變升級。

什么是威脅情報(bào)？

根據(jù)Gartner對威脅情報(bào)的定義：威脅情報(bào)是一種基于證據(jù)的知識，包括了情境、機(jī)制、指標(biāo)、影響和操作建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)?；蛘咭部梢院唵蝸砝斫猓瑢ζ髽I(yè)產(chǎn)生危害或者利益損失的信息，就可以稱之為威脅情報(bào)。

威脅情報(bào)的核心價(jià)值在于：加快檢測和響應(yīng)、掌握威脅根源、輔助安全決策、讓威脅治理更高效。

安恒威脅情報(bào)檢測平臺：動態(tài)防御

如何利用威脅情報(bào)，實(shí)現(xiàn)精準(zhǔn)動態(tài)防御，達(dá)到網(wǎng)絡(luò)安全“未攻先防”的效果？

安恒發(fā)布

安恒威脅情報(bào)檢測平臺—TIDP? ? ?

Threat Intelligence Detection Platform

TIDP是一款由威脅情報(bào)數(shù)據(jù)驅(qū)動，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析和檢測，對可疑網(wǎng)絡(luò)行為進(jìn)行告警，旨在全方位發(fā)現(xiàn)失陷主機(jī)、從海量攻擊事件中識別針對性攻擊的網(wǎng)絡(luò)流量檢測產(chǎn)品。

（圖：產(chǎn)品能力與價(jià)值）

TIDP的特色與亮點(diǎn)：

1??豐富威脅情報(bào)數(shù)據(jù)支撐，日更新高活躍80萬條

安恒安全數(shù)據(jù)大腦豐富的威脅情報(bào)數(shù)據(jù)，是TIDP網(wǎng)絡(luò)流量分析檢測的重要基礎(chǔ)。安恒安全數(shù)據(jù)大腦依托玄武盾SaaS云防護(hù)、蜜罐網(wǎng)絡(luò)、全球資產(chǎn)探測等能力，國內(nèi)外數(shù)百家情報(bào)源集成，通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)與文件自動化分析等技術(shù)，提煉形成涵蓋C&C、僵尸網(wǎng)絡(luò)、惡意代理等60余類的情報(bào)數(shù)據(jù)，以及全球的網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)數(shù)據(jù)，日更新高活躍情報(bào)數(shù)據(jù)80萬條。

（圖：威脅情報(bào)驅(qū)動）

2??多維度、全方位發(fā)現(xiàn)失陷主機(jī)

TIDP中不僅內(nèi)嵌了多種遠(yuǎn)控類型的情報(bào)指標(biāo)，而且也結(jié)合了安恒信息在網(wǎng)絡(luò)流量分析領(lǐng)域的長期積累，引入了包括利用機(jī)器學(xué)習(xí)檢測DGA域名請求、遠(yuǎn)控工具指紋庫、漏洞利用庫，以及多個(gè)隱蔽信道通信檢測模型，可以全方位發(fā)現(xiàn)失陷主機(jī)。并通過可視化的方式，從失陷主機(jī)、威脅類型、黑客組織等多個(gè)角度進(jìn)行關(guān)聯(lián)展示，呈現(xiàn)當(dāng)前網(wǎng)絡(luò)環(huán)境中所有的失陷和受控情況。

（圖：發(fā)現(xiàn)失陷主機(jī)和黑客團(tuán)伙）

3??從海量隨機(jī)性掃描中識別針對性攻擊

網(wǎng)絡(luò)環(huán)境中時(shí)刻在發(fā)生大量自動化隨機(jī)掃描事件，這些隨機(jī)掃描事件在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備上，將同步產(chǎn)生大量告警。TIDP通過對網(wǎng)絡(luò)雙向流量進(jìn)行實(shí)時(shí)分析，準(zhǔn)確識別針對服務(wù)器的針對性攻擊事件，使安全分析人員能從大量隨機(jī)性掃描攻擊事件中解脫出來，第一時(shí)間對針對性攻擊事件進(jìn)行響應(yīng)，極大提升安全團(tuán)隊(duì)對網(wǎng)絡(luò)攻擊事件的響應(yīng)效率。

4??對攻擊事件雙向視角展現(xiàn)和回溯能力

TIDP不僅以受攻擊主機(jī)（包含失陷主機(jī)）為視角，同時(shí)也以攻擊源為視角，全局展現(xiàn)攻擊事件動態(tài)過程，無論是攻擊源還是受攻擊者，都可以多次鉆取更為詳細(xì)的攻擊事件信息，并可進(jìn)一步從安恒數(shù)據(jù)大腦在線關(guān)聯(lián)獲取IP、域名和黑客組織等詳細(xì)信息，以供進(jìn)一步取證回溯分析。

（圖：威脅事件關(guān)聯(lián)分析）

5??“以一敵百”超大流量檢測能力，可達(dá)Tbps級

TIDP能在僅鏡像DNS流量時(shí)發(fā)揮強(qiáng)大檢測能力，因DNS流量在整體流量中占比極低，如某城域網(wǎng)項(xiàng)目中的DNS流量占整體流量僅為五萬分之一，這使TIDP單設(shè)備所對應(yīng)檢測的整體吞吐量達(dá)到數(shù)百Gbps、甚至Tbps級別，可匹配其他數(shù)十甚至數(shù)百臺全流量檢測產(chǎn)品類設(shè)備，適用于企事業(yè)單位出口、尤其適用于城域網(wǎng)威脅監(jiān)測。

（圖：支持超大流量檢測）

關(guān)閉

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護(hù)檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點(diǎn)安全>

>

商用密碼>