360 DNS威胁分析平台

需求分析
产品概述

360 DNS威胁分析平台是基于360积累的高质量威胁情报及强大的威胁情报生产能力,利用关联分析、机器学习、行为分析等技术研发的创新型威胁分析产品,通过分析DNS流量,帮助用户发现内网潜伏的已知威胁、未知威胁和网络异常,精准定位失陷资产,并提供丰富的威胁线索和分析工具,高效的开展威胁分析。

功能介绍
威胁检测

已知威胁检测:定位已经失陷的资产主机,并提供详细举证和分析知识,包括攻击组织、攻击手法、分析报告、域名关联信息、恶意样本、资产访问特征等上下文信息。

未知威胁检测:通过多个创新检测模型,对攻击异常行为检测。

网络异常检测:建立DNS流量基线,检测DNS流量异常行为。

威胁分析

安全专家系统:安全专家根据威胁分析方法进行告警分析页面的设计,以攻击者“基础设施”作为分析起点,确定告警的真实性和威胁本身的知识完备性,从一条线索出发,关联更多的线索,从而逐步提升事件的完整性。

威胁情报图:本地数据与云端情报深度融合,通过对多维度安全数据的整理、分析、关联关系的定义及建设,实现对威胁情报多维度串联分析能力。

高交互日志分析:360 DNS威胁分析平台提供一个高交互的日志分析功能,将所有采集的DNS数据经过过滤、聚合、标注等处理后,进行集中存储,对于安全分析专家,可利用在线威胁分析系统提供的自定义查询语言,以及系统自动标注的数据和提供的各种线索,主动分析APT等高级威胁。

可视化

数字资产可视化:根据流量特征,360 DNS威胁分析平台自动实现资产识别、标注和分类,生成网络拓扑,并根据网络拓扑统计不同区域下的流量特征、威胁告警、资产分类等。

DNS流量可视化:客户流量接入360 DNS威胁分析平台后,系统自动对流量进行建模,通过可视化方式,为企业的网络建立全局视野。

技术优势
产品价值
识别失陷资产,提升纵深防御水平
基于高质量威胁情报、智能分析算法识别已知威胁、未知威胁和网络异常,定位失陷资产,提升“事后”威胁检测能力,进而深化纵深防御能力。
高效威胁分析,全面威胁可视
从攻防视角,提供多维度威胁分析知识和分析工具,提高威胁分析效率,实现威胁的全面可视,进而提升整体威胁响应水平。
应用场景
部署方案
360 DNS威胁分析平台采用本地化部署模式,通过端口镜像、Syslog日志转发等方式采集数据。