XXX新一代大数据态势感知系统课件

1、XXX新一代大数据态势感知系统第1页，共58页。高级威胁检测面临的挑战态势感知产品特性功能和价值态势感知产品形态和部署方案态势感知成功案例内容提纲第2页，共58页。高级威胁的定义APT攻击邮件钓鱼0-day漏洞隐匿僵尸网络木马高级逃逸“APT(Advanced Persistent Threat)-高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。“第3页，共58页。 2017，APT攻击目标的全球研究被攻击目标国家所属地区相关报告数量攻击组织数量主要被攻击领域美国北美147政府、能源、IT/互联网、媒体、航天、金融、酒店、军队、大型

2、企业、关键基础设施中国亚洲127政府、互联网、军队、电信、媒体、航天、金融、科研、关键基础设施沙特阿拉伯亚洲84政府、能源、IT/互联网、军队、航天、化工、大型企业韩国亚洲65互联网、金融、能源、交通以色列亚洲55政府、IT/互联网、媒体、航天、媒体、军队、电信、金融、大型企业土耳其亚洲42政府、能源、工业、大型企业、军队、IT、电信、媒体、航天、金融日本亚洲33政府法国欧洲32政府俄罗斯欧洲32政府、金融德国欧洲33政府、军队、大型企业、IT西班牙欧洲22金融巴基斯坦亚洲22互联网、媒体、关键基础设施英国欧洲22政府、电信、媒体、航天、金融、教育中、美已经成为APT攻击的主要受害国，政府等行

3、业和机构是重点攻击目标。第4页，共58页。 2017年中国APT攻击受害分布根据XXX威胁情报中心的统计显示（不含港澳台地区）：2017年，国内受APT攻击最多的地区是辽宁和北京，其次是山东、江苏、上海、浙江和广东。第5页，共58页。 部分2017年活跃的APT攻击组织截至2017年12月底，XXX威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织38个。其中，2017年内仍处于高度活跃状态的至少有6个。统计显示，2017年全年，这些APT组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区。下表给出了部分针对中国境内目标发动攻击的APT组织活

4、动情况组织主要攻击手法最早披露厂商已知最早活动时间最近活动时间海莲花APT-C-00鱼叉邮件水坑攻击XXX2012年2018年2月DarkhotelAPT-C-06鱼叉邮件卡巴斯基2014年2017年9月摩诃草APT-C-09鱼叉邮件水坑攻击norman2009年2018年2月APT-C-12鱼叉邮件XXX2014年2017年10月APT-C-56鱼叉邮件XXX2014年2018年2月APT-C-58鱼叉邮件渗透XXX2011年2017年12月第6页，共58页。传统检测手段与高级威胁的矛盾单点检测无关联实时检测无延续InternetFWIPSSWGAV0day、APT、定制攻击工具单点无害，组

5、合计划显威力长期潜伏，逐步渗透高级威胁特点高级威胁：攻击范围、时间、技术方式均不可预测性防护重点过渡到加强检测和响应 (Detection & Response)，核心技术从依赖签名发现单一攻击，演进到用数据分析技术对攻击的检测、分析、溯源、处置传统检测模式特征检测、功能通用“第7页，共58页。高级威胁检测之外，我们还面临很多的挑战？第8页，共58页。新的挑战出现大量高危告警，如何快速判断是否误报，攻击的成功与否？挑战1当出现高级威胁时，如何看到攻击的来龙去脉，攻击的最新状态是什么，内网是否还有其他的中招机器？挑战2挑战3内网中是否还有新的异常行为和攻击线索有待发掘？第9页，共58页。高级威胁

6、检测的核心诉求谁在什么时候通过什么方式攻击了我的谁造成了什么影响我该怎办攻击者IP攻击者背景攻击动机恶意软件APT远控影响范围攻击阶段下一步攻击动作调查分析给出响应动作第10页，共58页。高级威胁检测面临的挑战态势感知产品特性功能和价值态势感知产品形态和部署方案态势感知成功案例内容提纲第11页，共58页。 态势感知新一代威胁感知系统定位：集成XXX安全能力的高级威胁检测、溯源、响应的完整解决方案。高级威胁0day逃逸特种木马已知威胁威胁金字塔检测精准事件溯源调查分析响应 处置动作第12页，共58页。态势感知体系组件云端威胁情报天擎（可选）动态检测静态检测分析平台威胁感知调查分析场景化分析EDR

7、联动终端响应文件威胁鉴定器 流量传感器文件还原威胁情报匹配入侵攻击检测数据采集第13页，共58页。态势感知的检测思路数据源网络探针全流量数据 全流量日志还原文件原始PCAP终端数据天擎日志威胁情报XXX独有 规则检测基于成功攻击的调查分析攻击链展示攻击序列自动报表沙箱XXX云查完整的威胁追踪溯源精准事件 Web攻击 APT攻击 邮件攻击 恶意软件 新的事件线索异常行为未知威胁事件分析检测场景化20多种机器学习行为分析模型第14页，共58页。领先的大数据能力1- 国内首屈一指的高质量威胁情报第15页，共58页。首屈一指的XXX威胁情报每天从900万个新增样本、300万新增域名、上亿恶意URL，以

8、及结合多方社区、组织、第三方报告等资源，进行情报搜集和挖掘，每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到客户侧的产品、服务、平台，以及与第三方安全组织进行情报交换共享。“利用可机读IOC与本地流量日志及终端日志进行关联匹配威胁情报APT失陷主机检测、攻击研判第16页，共58页。态势感知本地大数据能力互联网大数据技术路线利用最廉价PC服务器+开源/自主开发软件构建而成数据的可靠性，扩展性全部自主可控，成本不到IOE方案的1/100存储计算能力的关键在于规模大数据服务器规模超过60000台总存储数据量接近1.3EB，每天新增超过1.5PB每天各种数据计算任务10万个，每天处理数据量1

9、0PB具备一分钟内调动几十万颗CPU核参与计算能力具备一秒钟处理1TB数据的能力搜索正在进行，请等待3分钟存储已经100%300TB日志数据秒级搜索传统关系型数据库的噩梦：第17页，共58页。精准全面的威胁检测能力2- 覆盖威胁的整个生命周期第18页，共58页。覆盖威胁的全生命周期的本地检测能力入侵命令控制横向渗透数据外泄痕迹清理传感器捕获行为威胁生命周期态势感知数据采集侦察文件威胁鉴定器捕获行为天擎捕获行为态势感知威胁检测传感器规则引擎、沙箱静态引擎和动态行为检测、威胁情报检测、场景化分析第19页，共58页。高级威胁的精准事件检测XXX威胁情报与本地流量日志及终端日志进行双向关联匹配，准确发

10、现失陷主机，并标记主机失陷状态；情报失陷匹配采用虚拟环境模拟方法，全面分析恶意代码恶意行为，细粒度检测漏洞利用和恶意行为；文件检测基于双向会话WebIDS检测引擎，标记攻击成功的告警事件，产生精准告警事件；入侵检测双向匹配第20页，共58页。攻击事件全方位调查分析3- 提供完整的分析溯源过程，展现攻击的前因后果第21页，共58页。多视角的威胁分析从攻击种类的角度从攻击链的角度，让用户对攻击的意图一目了然从告警来源的角度，方便用户专注某一类告警攻击链中细分项多达29种第22页，共58页。 围绕攻击事件的调查分析终端恶意行为流量中恶意行为流量中的异常行为文件的异常行为关联分析天擎检测引擎传感器检测

11、引擎威胁情报场景化分析威胁鉴定器检测引擎侦察入侵命令控制横向渗透数据外泄痕迹清理第23页，共58页。完整的攻击链以攻击链的视角自动重现整个攻击过程，让用户知道是谁攻击了我的什么，使用了什么手法，窃取了什么信息。第24页，共58页。自动化的调查报告摘要设备运行情况调查告警列表告警调查分析调查结论和建议重点问题处置建议流量采集情况设备运行状态告警列表详细的调查任务确认的攻击事件重大事件受害主机统计建议自动第25页，共58页。国内首创异常行为场景化分析4- 基于机器学习的行为分析发现新威胁线索第26页，共58页。内网安全-非法外连白名单策略深挖流量中的资产外连行为，自动发现外连的IP和流量信息，帮助

12、用户定位威胁源头。第27页，共58页。内网安全-异常代理结合流量特征发现其中的代理行为，让用户发现攻击的通信方式变得更加简单第28页，共58页。内网安全-隐蔽隧道为了应对当前流行的DNS隧道通信，我们提供了2种关键的隧道通信检测模型（DNS Tunnel和reGeorg Tunnel），让黑客无处遁形。第29页，共58页。内网安全-DGA域名DGA域名是一种域名的随机算法，用于逃避传统的检测手段，这种威胁让人防不胜防。为此我们采用先进的机器学习技术对其建模，自动发现恶意域名。第30页，共58页。账号安全-异地账号登录面对关键账号被直接登录这种高危风险，我们提供行为模型，帮助用户快速发现登录行为

13、，暴露其攻击轨迹。支持的协议包括：SMTP、POP3、SSH、RDP、FTP、MSSQL、MYSQL、REDIS、ES、ORACLE第31页，共58页。账号安全-暴力破解对于网络中粗暴的破解行为，我们将其剥离出来， 将其各种行为直接呈现给用户。支持的协议包括：SMTP、POP3、SSH、RDP、FTP、MSSQL、MYSQL、REDIS、ES、ORACLE第32页，共58页。账号安全-密码/弱口令检测当前僵尸网络攻击中通常使用一些弱口令的设备作为肉鸡，为此我们提供明文密码/弱口令检测模型，提前将风险暴露在用户面前。协议：SMTP、POP3第33页，共58页。邮件安全-敏感关键词邮件钓鱼邮件横行

14、，提供自定义敏感关键词邮件，帮用户将未知威胁提前拦截在门外自定义关键词邮件白名单第34页，共58页。邮件安全-敏感后缀邮件列表恶意附件是定向攻击的温床，为此我们提供独有的特征库将这种威胁扼杀在摇篮中。白名单第35页，共58页。专家级的安全分析服务5第36页，共58页。订阅分析服务内容23451APT高级告警分析普通IOC告警分析传感器漏洞分析爆破行为分析网站后门分析8插件化7邮件安全分析6数据库安安全分析订阅分析人工确认apt告警，对流量行为、资产特性、时间节点、客户性质和apt组织进行关联分析，排查告警产生原因、攻击路径和影响范围。人工确认告警，对受害IP与远控端的流量进行分析，并给出处置建

15、议。分析传感器的webshell上传告警、网页漏洞告警和网络攻击告警，确认入侵成功事件、排查影响访问并给出处置建议；聚合传感器的攻击数据，梳理出高威胁IP。分析ftp、smb、oracle、mysql、mssql、ssh、postgresql、pop3、smtp等协议的登录失败行为进行分析，提取发起爆破行为的IP，判定是否爆破成功。深入分析网络流量，发现网络中存在的网站后门，溯源分析、行为分析、影响分析并给出处置建议。深入分析数据系统登录行为、高风险数据操作语句，发现数据库系统异常登录、sql注入漏洞和系统命令执行等。通过一体机的插件化设计，后续将失陷检测、应急响应等功能插件化提供。深入分析邮

16、件系统的登录行为，恶意邮件投递行为。APTIOC传感器爆破后门数据库邮件插件化服务深度威胁分析深度告警分析插件化服务第37页，共58页。分析思路态势感知一体化设备安服核心分析能力云端运营能力产品形态升级；检测能力升级；告警准确性提升溯源能力提升；调查分析能力提升。攻防能力；APT检测分析；Web攻击检测分析；样本分析能力；安全事件处置能力。云端分析团队建设；运营中心合理布局；一二线联动机制。高危告警人工分析，精准通报；深度威胁分析，提供场景化检测能力全面发现潜在威胁；提供完整攻击链分析；云端分析处置提升运营效率第38页，共58页。一体化设备+订阅服务技术方案态势感知高密版客户运维人员分析人员报

17、告解读人员1. 实时告警查询2. 威胁检索3. 威胁趋势展示4. 日报统计设备级能力订阅分析服务（远程）1. 告警分析2. 深度威胁分析3. 报告编写12次每年1. 报告解读2. 订阅服务400 （线路故障，报告未送达等问题解答）5*89:00-18:00订阅分析服务（现场）1. 告警分析2. 深度威胁分析3. 漏洞验证4. 报告编写分析人员注：订阅分析服务现场或远程方式2选一。12次每年客户生产网络XXX云端运营中心第39页，共58页。态势感知新一代威胁感知系统功能总结威胁情报文件威胁鉴定IDS检测WebIDS检测WebShell检测终端行为检测仪表板威胁多维度分析展现受害主机分析展现日志存

18、储及检索调查分析基于调查分析的研判攻击事件调查分析报告溯源分析和响应检测威胁展现异常行为发现内网安全检测账号安全检测邮件安全检测第40页，共58页。产品的总体价值快速发现威胁特征库模式匹配威胁情报机器学习技术场景化分析威胁分析异常行为发现调查分析自动调查分析攻击链展现攻击可视化攻击事件定性分析报告调查分析报告告警报告受害主机报告攻击事件事件成功与否攻击事件的判断第41页，共58页。威胁情报威胁情报（Threat Intelligence）是一种基于证据的描述威胁的一组关联的信息，包括威胁相关的环境信息、采用的手法机制、指标、影响，以及行动建议等。与传统的单点的病毒或信誉等信息不同，这一系列对于

19、攻击威胁的信息，可以让我们了解高级威胁的全貌，并可以被抽象成可机读威胁情报（MRTI），用来进行应对决策，并对威胁进行响应。威胁情报云端大数据攻击特点攻击背景攻击组织者攻击目的行业覆盖度活跃程度外链URL恶意IP恶意域名样本MD5态势感知分析平台发现高级网络攻击：海莲花摩诃草事件蔓灵花行动WannaCry勒索 “第42页，共58页。 态势感知流量传感器流量采集DNSFTPHTTPSSLSMB基于双向会话分析的Web入侵检测基于沙箱的webshell上传检测基于规则的网络入侵检测基于人工智能机器自学习的入侵检测nbt引擎产生准确的入侵告警告警信息存入分析平台，作为攻击取证及快速溯源的数据支撑协议

20、分析检测引擎流量采集检测结果威胁情报检测第43页，共58页。态势感知文件威胁鉴定器文件威胁鉴定器状态监控系统状态检测结果处置状态数据通道FTP&SMB流量还原手动上传URL提交静态扫描8+静态引擎动态扫描威胁情报匹配YARA规则支持内置规则检测策略引擎设置虚拟环境配置系统配置常规配置网络管理用户管理升级证书管理系统维护第44页，共58页。态势感知分析平台接入层数据解析、索引、入库流量数据（传感器）威胁情报数据（威胁情报中心）沙箱数据（沙箱）传感器数据接收终端数据（天擎）数据源沙箱数据接收天擎数据接收数据层ElasticSearch 大数据集群Postgresql 数据库Redis 缓存中间件处

21、理层应用层情报更新调查分析情报匹配日志检索仪表板报表EDR/NDR联动受害主机视图告警视图传感器告警加工沙箱告警加工天擎告警加工系统管理/系统监控syslog/snmp第三方接口场景化分析威胁视图第45页，共58页。高级威胁检测面临的挑战态势感知产品特性功能和价值态势感知产品形态和部署方案态势感知成功案例内容提纲第46页，共58页。态势感知产品组件TSGZ10000-S53TSGZ10000-S56TSGZ10000-D57TSGZ10000-A58/A58ETSGZ10000-M10TSGZ10000-M3硬件32G内存、4TB存储64G内存、4TB存储128G内存、4TB存储256G内存、

22、4TB12存储64G内存、12TB存储32G内存、5TB存储接口管理口：2电，监听口：2电+2光管理口：2电，监听口：2电+2光4电口4电口2电口2电口性能4G （实验室性能，受网络流量构成影响）8G（实验室性能，受网络流量构成影响）动态检测：2w 文件/天静态检测：100w 文件/小时单台 2w eps写入性能。1G流量单台可存日志3个月单台处理流量=1000M单台处理流量=300M网络传感器文件威胁鉴定器分析平台接收网络镜像流量，还原网络流量日志、文件，并形成标准化日志推送到分析平台接收文件，进行高级威胁检测未知威胁检测方案的大脑，集合所有日志，接收威胁情报进行关联检测态势感知（临检版）未

23、知威胁检测方案的大脑，集合所有日志，接收威胁情报进行关联检测态势感知（服务器版）第47页，共58页。态势感知产品组件 一体化版本TSGZ10000-GM（S51）TSGZ10000-GM（S51+A56）TSGZ10000-GM（S51+A56+D57）TSGZ10000-GM-S51、A56、D57模块全流量威胁发现模块全流量威胁发现模块 +威胁分析模块全流量威胁发现模块 +威胁分析模块+高级文件样本检测模块TSGZ10000-S51：全流量威胁发现模块 128G内存、20T存储、2管理电口、4监听口（双光双电）TSGZ10000-A56：威胁分析模块192G内存、16T存储、4管理电口TS

24、GZ10000-D57：高级文件样本检测模块128G内存、16T存储、4管理电口性能流量采集：1G流量采集：1G数据处理：单台 9w eps写入性能，1G流量单台可存日志2.5个月流量采集：1G数据处理：单台 9w eps写入性能，1G流量单台可存日志2.5个月文件检测：动态检测2万/天；静态检测100万/小时描述支持硬件板卡“积木式”平滑扩展升级；含态势感知订阅服务（含情报升级，远程服务）；提供态势感知管家服务支持硬件板卡“积木式”平滑扩展升级；含态势感知订阅服务（含情报升级，远程服务）；提供态势感知管家服务支持硬件板卡“积木式”平滑扩展升级；含态势感知高级订阅服务（含情报升级，现场服务）；

25、含应急响应服务。含远程web失陷检测服务（针对1个web应用系统，检测日志容量不超过5G）提供金牌态势感知管家服务态势感知TSGZ10000-GM全流量威胁发现系统（1系）态势感知TSGZ10000-GM威胁感知系统（3系）接收网络镜像流量，全流量、全面威胁检测未知威胁检测方案的大脑，集合所有日志，接收威胁情报进行关联检测未知威胁检测方案的大脑，集合所有日志、增加文件威胁检测、接收威胁情报进行关联检测态势感知TSGZ10000-GM威胁全景感知系统（5系）态势感知TSGZ10000-GM-S51态势感知TSGZ10000-GM-D57态势感知TSGZ10000-GM-A56（三款扩展模块）“积

26、木式”平滑扩展，灵活提升威胁检测能力第48页，共58页。态势感知产品组件 一体化版本 硬件形态1.一体化态势感知采用2U4节点高密度服务器；2. 单节点硬件性能与相应配置的服务器无差别；3. 灵活扩展、高密度、热插拔、高效节能。全流量威胁发现模块1全流量威胁发现模块2威胁分析模块高级文件样本检测模块第49页，共58页。态势感知典型部署-标准版XXX云端大数据平台威胁情报中心威胁情报终端日志态势感知分析平台态势感知文件威胁鉴定态势感知传感器流量日志样本日志全面的采集网络及主机日志完整还原文件并进行深度分析引入XXX强大的威胁情报通过轻量化的大数据平台分析威胁准确的威胁检测告警第50页，共58页。

27、态势感知典型部署-一体化版灵活的“积木式扩展”专属的态势感知订阅服务贴心的蓝信设备管家服务独有的高密度一体机交付第51页，共58页。高级威胁检测面临的挑战态势感知产品特性功能和价值态势感知产品形态和部署方案态势感知成功案例内容提纲第52页，共58页。 态势感知行业成功案例之能源/央企篇国内某能源行业的巨头企业，通过部署XXX态势感知新一代威胁感知系统采集全流量数据以及威胁情报，并结合XXX安全服务人员基于攻防思路构建的分析模型，为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务，提升了发现和防御未知威胁的能力。需求高级威胁自动化检测需求安全问题追踪溯源需求重大安全事件的响应和处置需求解决方案价值解决APT检测难的问题提升对于攻击者分