360失陷资产检测系统

需求分析
APT攻击频繁出现

从常见的木马感染到定向攻击的恶意软件、勒索软件,网络攻击已经证明在窃取敏感数据、造成金融损失和损害企业声誉等方面是有效的。网络犯罪分子正在进行数十亿美元的网络交易活动。一些国家正在利用恶意软件进行网络间谍活动,以刺探反对派活动分子,破坏对手的重要基础设施。由于高风险、零日漏洞的发展和其他犯罪活动被很好的资助,这个支持导致一个活跃的地下生态系统,交易和出售驻留在一些世界上最敏感网络的入口。黑客行动如火焰病毒、极光行动和NITRO攻击等使用定向的APT攻击手段、网络钓鱼以及高级恶意软件已经影响了

国家网络安全监管体系日趋完善

以公安部和网信办引领建立的全国网络安全监测预警体系现已覆盖全国各地区和各个行业,政企各单位的网络安全状况正在被实时监控,作为网络安全运营部门,存在上级部门常通报、内部追溯没工具、工作绩效难体现等痛点,部门亟需建立一套主动威胁发现系统,能够提前预知攻击事件、及时识别异常网络行为、动态进行防护策略调整,同时通过对全流量数据的采集存储,满足《网络安全法》和等保合规性要求。

网络威胁检测思路需要彻底转变

传统基于特征的快速检测模型已经失效,当今的攻击者可以通过对恶意软件进行轻微的修改或者购买新的域名来隐藏他们的威胁,使得他们永远站在攻防的制高点。我们与其使用数千个规则特征来匹配威胁的每个变体,不如彻底转变思路,去重点关注攻击者为了攻击成功必须执行的几十个关键行为。例如,当前几乎每次攻击都必须建立某种形式的隐藏通信,以协调和管理攻击。攻击者想要在内部移动, 就必须采取探测、非授权访问等行为。360失陷资产检测系统是在网络战争时代,专为安全分析人员打造的一款高级威胁分析工具产品,重点关注攻击行为和失陷主机,实现攻击过程可明见、攻击影响可预测、遗漏攻击可追溯。

产品概述

360失陷资产检测系统,是基于大数据分析技术的主动化高级威胁检测工具,全面抓取并分析网络安全设备及开放端口上挂载的服务,通过采集进出网络安全的流量,并且还原分析对应的协议流量,进行安全威胁活动的分析及预判。通过机器学习模式,结合长周期行为分析和高质量威胁情报,定位网络中的失陷主机,并可通过失陷扫描反查的方式,追溯网络中更多的同类型失陷主机,确定失陷根因。快速精确感知单一风险事件对全局资产的风险影响,快速感知全局资产的安全关键节点和薄弱环节。丰富的网络数据可视化从多个维度将总体安全态势直观展示给用户,管理者对组织内安全态势一览无遗,有效辅助决策。

功能特点
全流量采集和协议深度还原

360失陷资产检测系统采用高速的网络包采集技术。详细记录所有的审计数据包,可展现审计数据包的时间、客户端IP、服务端IP、应用层协议、报文、返回码、详细信息等;支持对海量结构化、非结构化数据的存储,支持对海量数据的检索达到秒级响应;支持针对网络流量协议的深层次解析功能,包括以下协议:包括HTTP,SMTP,IMAP,POP3,FTP,TFTP,TELNET,DNS等.

多引擎威胁检测

360失陷资产检测系统多引擎威胁检测模块由四部分组成,包括特征检测引擎、木马病毒检测引擎、威胁情报处理引擎和智能分析引擎。

特征检测引擎:检测与WEB相关的攻击(比如XSS,SQL注入,WEBSHELL后门等);

木马病毒检测引擎:检测上传/下载流量数据和附件文件,及时发现文件类木马、病毒、恶意软件;

威胁情报处理引擎:实时接收云端下发的网络威胁情报,快速转化生成检测策略,快速检测和定位高级攻击。

智能分析引擎:基于以上检测引擎的所有告警和其他的线索信息,作为机器学习引擎的输入,运用特征建模和经验建模相结合的方式,生成贝叶斯深度检测模型。以此来降低传统检测引擎误报率较高的问题,同时尽可能减少漏报。

失陷主机管理

360失陷资产检测系统通过协议会话特征分析和异常流量会话检测引擎相结合的方式进行动态检测,可对各类挖矿木马的异常行为进行识别,准确定位用户网内的挖矿主机,进一步降低安全风险。通过高质量威胁情报,快速筛选并匹配黑域名、黑IP、恶意软件、垃圾邮件、扫描器、代理、DGA域名等多类威胁情报,辅助模型进行失陷分析,极大提升了检测准确率。对主机失陷后的主动扫描探测、暴力破解、恶意文件投递、上传后门、隧道通信等异常行为进行识别和关注。对失陷资产行为进行坐标图展示,形象描述资产的各类失陷异常行为。

安全运维管理

360失陷资产检测系统提供对高层次领导、网络安全管理人员及网络安全分析人员的多视角安全运维界面。相关人员可从失陷资产、攻击链及安全事件的维度进行分析、评估、决策,大幅度提升网络安全事件的检测急处置周期。系统也可在不同维度为运维人员提供可视化界面,可针对进出网络所有的WEB、邮件、文件、DNS、TELNET、SSH会话进行实时监控。

安全态势可视化

针对国内网当前的安全态势、漏洞、攻击信息/新闻进行拉取并展示。本功能是安全态势的全局多维度呈现,包括网络威胁、系统安全、用户行为几个方面。支持图形化展示攻击总量、DDOS异常流量和业务异常流量、系统攻击、脆弱性、用户异常行为的统计趋势;图形化展示网络威胁的地域分布,针对系统攻击、脆弱性和异常行为的系统分布进行展示。

技术优势
智能、全面的失陷主机管理能力

多维度精准识别失陷主机。基于3000+定制规则、200+模型匹配和800万+条威胁情报的多因素关联模型,快速筛选黑域名、黑IP、恶意软件、垃圾邮件、扫描器节点、代理、DGA域名等,采用360独有的智能失陷评估算法,及时发现网络环境中的失陷主机,包括网络环境里所有的笔记本电脑、服务器、打印机、BYOD和物联网设备等。经有效测试,对网络挖矿木马的识别准确率达到99%。

失陷主机快速反查,评估单一风险事件对全局资产的风险影响。360认为主机失陷的根本原因是存在可利用漏洞,360近三年搜集了近1000个漏洞利用特征(支持按需扩充),系统支持全网失陷根因扫描,为客户提供精准防护策略。

持续进化的威胁分析能力

网络内部流量可视,关注内部主机异常行为。提供2-7层常见协议的详细还原,区别于传统的IDS外部攻击检测,重点对内部侦查、横向渗透、僵尸网络、外联通信及数据窃取等行为进行检测识别,可增强客户对内部网络的安全可视能力。

完整的攻击过程分析,展现攻击的前因后果。基于大数据技术的上下文长周期威胁行为跟踪,将分散的事件通过时间轴进行展现,可让安全人员更好的理解攻击活动和攻击影响范围。针对加密流量,采用机器学习技术,进行持续学习,识别异常攻击流量和未知攻击。

主、被动协同溯源,不遗漏任何一个重要攻击。针对已检测出的威胁,安全分析人员可以基于检测结果回溯原始告警、原始会话和二进制代码,分析攻击过程;针对最新曝出的攻击行为和攻击载荷,系统支持通过界面交互,提交关键检测字段,进行全流量回溯,挖掘定位历史攻击事件。

提供交互式分析窗口,实现动态威胁检测。安全分析人员可基于实际检测效果,直接调整攻击检测的各项参数,定制场景检测模型,持续提升事件的检测效率和准确度,有效应对攻防演练、护网行动和日常安全运营各种场景。

快速便捷的事件处置能力

系统自动对事件严重程度和发生时间进行综合排序,内置各种类型的扫描测试工具,帮助安全分析者确定事件根因,根据事件类型和事件影响程度,提供合理的处置建议。系统内置与多种类型安全设备的调用接口,可有效和防火墙、SIEM、EDR设备进行联动。

典型应用
关键节点部署

针对办公网、生产网、政务内外网和数据中心等,将360失陷资产检测系统以流量镜像或分光的方式旁路部署在需监测网络流量的出入口。在不影响用户原有的网络结构及业务性能的前提下进行数据的抓取分析工作,不会形成新的故障点。可对DMZ区各类web业务及内网各区域进行全面的安全威胁检测。

usage-scene
集群部署

在运营商城域网、互联网流量交换中心、教育网出口等,将360失陷资产检测系统以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口。可以配合和大数据智能分析系统进一步进行网络威胁态势感知、关联分析和溯源取证。

usage-scene
分布式部署

针对重要信息系统安全监测,将360失陷资产检测系统以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口。可以配合基于360安全大脑的大数据智能分析进一步进行网络威胁态势感知、关联分析和溯源取证。

usage-scene