压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

面對新的威脅，基于規(guī)則的傳統(tǒng)檢測手段已難滿足，需要結(jié)合 機(jī)器學(xué)習(xí) 和其他高級分析技術(shù)，通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象來找出惡意的行為跡象，尤其是失陷后的痕跡。

全流量分析技術(shù)及過程

在全流量威脅分析方案中，其威脅分析過程如下：首先利用探針設(shè)備對網(wǎng)絡(luò)原始流量進(jìn)行采集和解析，并將結(jié)果接入到威脅分析引擎中，基于規(guī)則引擎、威脅情報(bào)能力檢測已知威脅。同時(shí)，我們也將流量數(shù)據(jù)中的流特征信息、包頭信息等關(guān)鍵信息都提取出來，形成流量元數(shù)據(jù)信息，并連同原始流量數(shù)據(jù)進(jìn)行分類存儲。最后，通過攻擊鏈引擎對黑客的整個(gè)攻擊環(huán)節(jié)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對高級威脅事件的全方位分析。

在某些案例中，我們也可以通過全流量威脅分析可以應(yīng)對未知威脅檢測。將流量匯聚到大數(shù)據(jù)分析平臺后，基于沙箱檢測引擎、機(jī)器學(xué)習(xí)引擎可以對異常進(jìn)行分析，輔以威脅情報(bào)，為用戶提供抵御攻擊者的應(yīng)變手段。通過對流量原數(shù)據(jù)做回溯，可以看到以前發(fā)生過什么，以及做事件的深入調(diào)查。這對傳統(tǒng)上基于規(guī)則方式的安全防護(hù)是一個(gè)很好的補(bǔ)充。

綠盟科技結(jié)合以上技術(shù)，發(fā)布了綠盟全流量威脅分析解決方案（簡稱NSFOCUS TAM），其核心功能如下:

1. 鏡像流量采集 支持對鏡像流量的全流量采集及對網(wǎng)絡(luò)層、應(yīng)用層協(xié)議進(jìn)行解析，并可以將采集的到的鏡像流量原始數(shù)據(jù)包及解析后的協(xié)議日志進(jìn)行存儲。
2. 高級威脅分析 基于規(guī)則引擎， 威脅情報(bào) 能力，檢測已知威脅；基于沙箱檢測引擎、機(jī)器學(xué)習(xí)引擎檢測未知威脅；最后，再通過 攻擊鏈 引擎，對黑客的整個(gè)攻擊環(huán)節(jié)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對 高級威脅 事件的全方位分析。
3. 熱點(diǎn)事件溯源追蹤 基于場景分析引擎，能夠?qū)⒕G盟科技強(qiáng)大的 應(yīng)急響應(yīng) 通報(bào)能力進(jìn)行本地化，對如“挖礦事件、永恒之藍(lán)、Struts2”等應(yīng)急事件可以先于規(guī)則引擎前進(jìn)行檢測，并且能夠?qū)v史流量進(jìn)行回溯分析，發(fā)現(xiàn)歷史上是否有相應(yīng)事件發(fā)生。

攻擊鏈?zhǔn)鞘裁?/strong>

簡單來說， 攻擊鏈 就是攻擊者常見攻擊過程，包含信息收集、探測、滲透攻擊到實(shí)施惡意行為等步驟。通常，攻擊鏈可以以如下形式展示。不同攻擊方式的攻擊過程可能不同，半數(shù)攻擊者每一次都會(huì)改變具體攻擊方法。

攻擊鏈

基于攻擊鏈的安全分析

網(wǎng)絡(luò)攻擊是分階段發(fā)生，并可以通過在每個(gè)階段建立有效的防御機(jī)制中斷攻擊行為。

——洛克希德.馬丁

不管是偵查階段、工具準(zhǔn)備階段還是攻擊利用、安裝后門等等階段，我們看到的都是一個(gè)一個(gè)事件的點(diǎn)。而通過這種攻擊鏈分析的方法，通過如上七步，對大量事件進(jìn)行歸類，進(jìn)而形成一些特性，進(jìn)而為黑客攻擊行為的分析，提供了有效的理論支撐。

NSFOCUS TAM為客戶帶來的價(jià)值如下：

1. 對高危事件及失陷資產(chǎn)進(jìn)行重點(diǎn)通報(bào)，大幅降低需要關(guān)注的告警數(shù)量，降低運(yùn)維工作量。
2. 規(guī)則檢測、情報(bào)分析、沙箱檢測和機(jī)器學(xué)習(xí)等多引擎結(jié)合，發(fā)現(xiàn)高級威脅事件，提升安全檢測能力。
3. 通過對熱點(diǎn)事件的追蹤溯源，將原來需要人工進(jìn)行的應(yīng)急響應(yīng)進(jìn)行自動(dòng)化，提升應(yīng)急響應(yīng)效率。

這個(gè)方案在前期應(yīng)用過程中，客戶已經(jīng)利用TAM在其IDC中發(fā)現(xiàn)了一些僵尸網(wǎng)絡(luò)；也有客戶發(fā)現(xiàn)了一些挖礦主機(jī)，某客戶稱

我們搞orcale漏洞應(yīng)急響應(yīng)，用TAM基本上可以進(jìn)行自動(dòng)化，同時(shí)我們也回查了歷史信息，發(fā)現(xiàn)歷史流量中沒有這個(gè)漏洞利用的行為，可以放心了

?

近年來，綠盟科技緊跟網(wǎng)絡(luò)安全發(fā)展形勢，在 物聯(lián)網(wǎng)安全 、 工控安全 、 云計(jì)算安全 ， 云安全服務(wù) 等方面持續(xù)發(fā)力，相繼發(fā)布多款安全產(chǎn)品及解決方案，并向用戶提供持續(xù)不斷的安全服務(wù)能力。綠盟科技已成為全球少數(shù)同時(shí)具備安全產(chǎn)品線、安全能力、安全服務(wù)模式的安全廠商之一。