360态势感知与安全运营平台产品技术白皮书_开源态势感知平台

态势感知

NGSOC

3星 · 超过75%的资源需积分: 42 97 浏览量更新于2023-03-16 评论 2 收藏 1.07MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

360 态势感知与安全运营平台

产品技术白皮书

█

文档编号

█

密级

█

版本编号

█

日期

360 企业安全集团 1 / 21 密级：XXXX

1 引言 ........................................................................................................................................... 2

2 产品设计目标 ............................................................................................................................. 4

2.1 产品价值 ................................................................................................................................. 5

3 产品关键技术 ............................................................................................................................. 6

3.1 万兆网络及 IPv4/IPv6 网络环境下数据还原技术 ............................................................... 6

3.2 数据处理与计算分析的自动化关联技术 ............................................................................. 8

3.3 规模化沙箱动态检测技术 ..................................................................................................... 9

3.4 基于大数据挖掘的恶意代码智能检测技术 ....................................................................... 10

3.5 基于搜索引擎技术的大流量行为检索与存储 ................................................................... 13

3.6 云端基于大数据的 APT 发现与跟踪技术 .......................................................................... 13

3.7 可视化技术 ........................................................................................................................... 16

4 产品组成与架构 ....................................................................................................................... 17

4.1 产品组成 ............................................................................................................................... 17

4.2 产品功能架构 ....................................................................................................................... 19

5 产品功能 .................................................................................................................................. 20

6 产品部署 .................................................................................................................................. 22

7 产品优势与特点 ....................................................................................................................... 23

360 企业安全集团 3 / 21 密级：XXXX

我们认为原因主要有以下几个方面：

1. 传统安全防御手段基于已知威胁，对未知威胁没有防御作用

传统安全防御体系的设备和产品遍布网络 2 ~ 7 层的数据分析。其中，与

APT 攻击相关的 7 层设备主要是 IDS、IPS、审计，而负责 7 层检测 IDS、IPS 采

用经典的 CIDF 检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配

完成对攻击行为的检测。反观 APT 攻击，其采用的攻击手法和技术都是未知漏

洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行

为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻击行为模式的情况下，理

论上就已无法检测 APT 攻击。

2. 攻击者与防御者在信息上不对称

攻击者在发起攻击前通常都会精心策划每一个攻击环节，包括：攻击工具的

开发、控制网络的构建、木马程序的投递、本地的突防利用、通信通道的构建

等等。这些精心策划的过程在正式攻击发起前就早已经开始了，例如：攻击者

在制造木马程序时会将木马在常见的防病毒软件中进行免杀测试，甚至会在互

联网上小范围内进行投放测试，以验证木马效果。而真正在受害者网络中进行

的攻击操作则非常精准、隐蔽，使得安全人员能从本地发现的攻击线索非常少，

即便发现了异常，也无法定位攻击的来源和过程。因此，对于当前的攻击检测

和防御，要求安全分析员不仅仅关注本地数据，还要了解互联网上的威胁情报

信息，结合来自互联网的威胁情报来对本地线索进行关联分析。

3. 缺少本地原始数据，难以溯源分析

攻击者通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流

量和系统的日志中。传统的安全事件分析思路是遍历各个安全设备的告警日志，

尝试找出其中的关联关系。但依靠这种分析方式，传统安全设备通常都无法对

高级攻击的各个阶段进行有效的检测，也就无法产生相应的告警，安全人员花

费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路，

一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，企业或

组织通常没有足够的资源来支撑长时间的存储；另一方面是全量数据来源于网

络流量、主机行为日志、网络设备日志、应用系统日志等多种结构化和非结构

化数据，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有

剩余25页未读，继续阅读

lieren1989

2020-09-22

感谢，有较好的参考意义

martin203

粉丝: 1
资源: 5

会员权益专享

360态势感知与安全运营平台产品技术白皮书

评论2

会员权益专享

最新资源

360态势感知与安全运营平台产品技术白皮书

评论2

NGSOC-360态势感知与安全运营平台产品技术白皮书

奇安信网神防火墙系统（NSG系列）用户手册【6.1.11.60837_01】.pdf

绿盟大数据安全分析平台产品白皮书.pdf

网络安全态势感知技术标准化白皮书 pdf

soc+安全运营体系白皮书 pdf

etl产品技术白皮书

soc+安全运营体系白皮书》

阿里云-飞天开放平台技术白皮书.pdf

阿里公共云 网络安全等级保护2.0合规能力技术白皮书word版

统一身份认证平台 技术白皮书 csdn

物联网技术白皮书pdf csdn

安全公司信息安全服务白皮书最全合集.zip

数据流通关键技术白皮书pdf

网闸技术白皮书.doc

ni汽车测试技术白皮书

h3c内部版技术白皮书》247项技术汇总

xg-pon 技术白皮书

minio技术白皮书pdf

自动驾驶安全白皮书 csdn

天阔1620-g20 技术白皮书 百度文库

会员权益专享

最新资源

阿里公共云网络安全等级保护2.0合规能力技术白皮书word版

统一身份认证平台技术白皮书 csdn

天阔1620-g20 技术白皮书百度文库