網絡安全威胁感知系统

1、産品概述

近年来,互联网在我国发展迅猛,已经成为我国政治、经济、文化、军事等诸多领域重要的信息基础设施。同时,網絡安全形势日益严峻,網絡安全威胁越来越多样化和高级化。2005~2007年網絡安全威胁主要为病毒和蠕虫,以破坏为主,更多的是黑客炫耀自身技术的个体攻击;2007~2009年新增的主要網絡安全威胁是间谍软件和僵尸,为有组织的黑客团体以窃密、拒绝服務攻击为主的网络犯罪,体现出趋利性。而2011年以来主要威胁是APT和零日漏洞攻击、隐形僵尸网络、特种变形木马等等,为国家之间的高级可持续性攻击(APT)和网络战争,更多体现出政治性,網絡安全已经上升为国家核心战略。

網絡安全关口监测系统部署在重要部门关口,是具备报文监测、流监测、网络异常通信行为分析、恶意代码监测等多种安全监测能力和多源异构数据关联分析能力的一体化網絡安全监测系统,可与CNCERT安全云之间协同工作,实现高、低位联动监控;通过对关口流量进行监测、分析、告警、日志留存、网络审计,可及时发现木马与僵尸网络恶意活动事件、恶意代码感染与传播事件、网络失泄密事件,并可以通过分析异常通信行为预警未知安全威胁,支持对历史事件和明细数据的快速查询,从而保障重要用户关口的安全。

2、産品特点

2.1 更全面的检测模型

CNCERT産品的检测模型是误用和异常检测相结合的混合模型,重点对木马、僵尸网络感染后的网络通信行为进行分析,采用的是通信行为特征签名和无签名技术;不仅提供实时检测技术手段,而且针对特种木马的间歇性心跳行为等还提供离线检测手段。可以发现未知威胁,漏报率低;且工作模式是协同检测模式,安全事件会上传到CNCERT安全云进行分析判定,误报率低。

2.2 具备全方位、多维度的检测能力

关口监测系统具备全方位、多维度的检测能力,主要体现为已知攻击的监测能力、未知威胁的预警能力和APT的取证分析能力,与现有安全监测産品仅能发现已知攻击相比,实现了检测能力的阶梯跨越式提升。

2.3 具备多元异构数据的融合分析能力

在全階段檢測的基礎上,依靠CNCERT安全雲的大數據存儲、挖掘與分析能力,對特征事件、惡意代碼、異常事件和URL記錄、域名記錄、NetFlow的元數據進行深度關聯分析和回溯分析,可以還原攻擊的全過程。

2.4 实时获取国家级的知识库

關口監測系統可實時從安全雲獲取最新、最權威的國家級知識庫,包括:攻擊特征規則庫、通信異常行爲特征庫、惡意代碼特征簽名庫、僵屍網絡CC庫、黑名單庫、漏洞庫、全局白名單庫等。

2.5 建立端云协同的闭环式安全监测响应体系

关口监测系统与国家安全云实现高低位协同联动,构建網絡安全监测、分析、溯源、响应、展示和处置一整套安全监测响应体系。

3、功能價值

網絡安全威胁感知系统功能价值.jpg

4、典型方案

关口典型案例.png

典型部署方式如上圖所示,關口監測系統部署在通過交換機鏡像(或者分光)的方式將內網核心交換機的流量和DMZ區的流量接入關口監測系統的捕包網卡。關口監測系統通訊網卡需要接到外網彙聚交換機上,並可以通過防火牆設置訪問外網的權限。




      

聯系電話:010-62199788
美人鱼捕鱼平台官网网址:http://www.newsmu.com
Copyright 2015-2020 美人鱼捕鱼平台版权所有 All Rights Reserved 京ICP备13045911号

掃碼關注