没有合适的资源?快使用搜索试试~ 我知道了~
首页360态势感知与安全运营平台产品技术白皮书
资源详情
资源评论
资源推荐
360 态势感知与安全运营平台
产品技术白皮书
█
文档编号
█
密级
█
版本编号
█
日期
360 企业安全集团 1 / 21 密级:XXXX
1 引言 ........................................................................................................................................... 2
2 产品设计目标 ............................................................................................................................. 4
2.1 产品价值 ................................................................................................................................. 5
3 产品关键技术 ............................................................................................................................. 6
3.1 万兆网络及 IPv4/IPv6 网络环境下数据还原技术 ............................................................... 6
3.2 数据处理与计算分析的自动化关联技术 ............................................................................. 8
3.3 规模化沙箱动态检测技术 ..................................................................................................... 9
3.4 基于大数据挖掘的恶意代码智能检测技术 ....................................................................... 10
3.5 基于搜索引擎技术的大流量行为检索与存储 ................................................................... 13
3.6 云端基于大数据的 APT 发现与跟踪技术 .......................................................................... 13
3.7 可视化技术 ........................................................................................................................... 16
4 产品组成与架构 ....................................................................................................................... 17
4.1 产品组成 ............................................................................................................................... 17
4.2 产品功能架构 ....................................................................................................................... 19
5 产品功能 .................................................................................................................................. 20
6 产品部署 .................................................................................................................................. 22
7 产品优势与特点 ....................................................................................................................... 23
360 企业安全集团 2 / 21 密级:XXXX
1 引言
近年来,关于 APT(Advanced Persistent Threats,高级持续性威胁)攻
击的报道日益增多,例如:2010 年攻击伊朗核电站的“震网病毒”、针对 Google
邮件服务器的“极光攻击”、2013 年韩国金融和电视媒体网络被大面积入侵而
瘫痪、卡巴斯基在 2014 年揭露的 Darkhotel 组织和 2015 曝光的方程式组织
(Equation Group)等等。
2016 年初,360 天眼实验室发布了《2015 年中国 APT 研究报告》。 报告中指
出,截至 2015 年 11 月底,360 威胁情报中心监测到的针对中国境内科研教育、
政府机构等组织单位发动 APT 攻击的境内外黑客组织累计 29 个,其中 15 个 APT
组织曾经被国外安全厂商披露过,另外 14 个为 360 威胁情报中心首先发现并监
测到的 APT 组织。
中国是 APT 攻击的受害国,国内多个省、市受到不同程度的影响,其中北
京、广东是重灾区,行业上教育科研、政府机构是 APT 攻击的重点关注领域。
图 1 APT 组织主要攻击行业分布
根据调研,我们发现这些 APT 攻击的受害者中几乎都是具备一定规模的企事
业单位,而且都已经部署了大量的安全设备或系统,也有明确的安全管理规范
和制度。既然已经有了防御措施,为什么仍然会有部分威胁能绕过所有防护直
达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失?
360 企业安全集团 3 / 21 密级:XXXX
我们认为原因主要有以下几个方面:
1. 传统安全防御手段基于已知威胁,对未知威胁没有防御作用
传统安全防御体系的设备和产品遍布网络 2 ~ 7 层的数据分析。其中,与
APT 攻击相关的 7 层设备主要是 IDS、IPS、审计,而负责 7 层检测 IDS、IPS 采
用经典的 CIDF 检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配
完成对攻击行为的检测。反观 APT 攻击,其采用的攻击手法和技术都是未知漏
洞(0day)、 未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行
为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻击行为模式的情况下,理
论上就已无法检测 APT 攻击。
2. 攻击者与防御者在信息上不对称
攻击者在发起攻击前通常都会精心策划每一个攻击环节,包括:攻击工具的
开发、控制网络的构建、木马程序的投递、本地的突防利用、通信通道的构建
等等。这些精心策划的过程在正式攻击发起前就早已经开始了,例如:攻击者
在制造木马程序时会将木马在常见的防病毒软件中进行免杀测试,甚至会在互
联网上小范围内进行投放测试,以验证木马效果。而真正在受害者网络中进行
的攻击操作则非常精准、隐蔽,使得安全人员能从本地发现的攻击线索非常少,
即便发现了异常,也无法定位攻击的来源和过程。因此,对于当前的攻击检测
和防御,要求安全分析员不仅仅关注本地数据,还要了解互联网上的威胁情报
信息,结合来自互联网的威胁情报来对本地线索进行关联分析。
3. 缺少本地原始数据,难以溯源分析
攻击者通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流
量和系统的日志中。传统的安全事件分析思路是遍历各个安全设备的告警日志,
尝试找出其中的关联关系。但依靠这种分析方式,传统安全设备通常都无法对
高级攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花
费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路,
一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,企业或
组织通常没有足够的资源来支撑长时间的存储;另一方面是全量数据来源于网
络流量、主机行为日志、网络设备日志、应用系统日志等多种结构化和非结构
化数据,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有
360 企业安全集团 4 / 21 密级:XXXX
价值的信息。
4. 缺少能在海量数据中快速分析的工具
对高级攻击进行检测需要从内网全量数据中进行快速分析,这要求本地具备
海量的数据存储能力、检索能力和多维度关联能力,而传统的数据存储和检索
技术很难达到这样的要求。例如:在一个中型规模的企业中记录全年的网络出
口流量,大约有 2000 亿条日志,需要约 300 多 TB 的存储空间,如果使用传统
的检索技术进行一次条件检索,大概需要几个小时的时间。这种效率明显不能
满足攻击行为分析的需求。
2 产品设计目标
360 态势感知与安全运营平台是基于 360 威胁情报和本地大数据技术的对用
户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,
同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户
的系统。360 态势感知与安全运营平台一方面可基于 360 自有的多维度海量互联
网安全数据,进行情报挖掘与云端关联分析,提前洞悉各种安全威胁,并将威
胁情报以可机读格式推送到本地系统,供本地威胁检测和分析时使用,另一方
面,360 态势感知与安全运营平台可对本地全量数据进行采集和存储,利用大数
据技术在本地进行安全数据分析和威胁溯源。整个设计将遵循发现、阻断、取
证、溯源、研判、拓展的安全业务闭环设计,使得用户能通过产品各个功能模
块完成威胁处置的全过程。
剩余25页未读,继续阅读
martin203
- 粉丝: 1
- 资源: 5
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论2