您的浏览器版本过低,为保证更佳的浏览体验,请点击更新高版本浏览器

以后再说X

解决方案

解决方案

智能安全分析决策管理平台产品简介

一、智能安全分析决策管理

p1.png “数据驱动安全”是更符合当今时代的安全理念——“数据”是基础,安全威胁往往隐藏在海量数据之中,拥有海量、多维及持续的数据是后续进行安全分析和挖掘的基础;“驱动”是手段,现今基于海量多维数据的存储、计算、分析、挖掘及可视化能力,是对基于特征码等过时安全技术的颠覆;“安全”是目标,只有将大数据及处理技术应用于安全攻防领域,结合安全专家的知识与经验,才能真正帮助业内从传统安全防护思路的困境中顺利走出。

“智能安全分析决策管理”能贯穿安全风险监控、分析、响应和预测的全过程,以威胁、风险、资产、业务、用户等为对象,基于安全日志、网络流量、用户行为、终端日志、业务数据、资产状态等多源数据,结合外部情报,通对全局状态评价、外部攻击评级、系统合规自检等手段,实现“事态可评估”;通过对攻击趋势分析、异常流量判断和终端行为检测,实现“趋势可预测”;通过对未知威胁的智能检测识别、流量/行为/资产的状态监控和多维度风险分析,实现“风险可感应”;通过对攻击溯源取证、工单流程闭环处理和设备策略自适应调整,实现“知行可管控”。

p2.png



p2-2.png“安全管理管得好,安全事件应急处置急得起”,平台是一款真正基于大数据、机器学习、模式识别等技术的安全威胁感知、主动安全防御的智能统一平台。建设网络安全威胁感知联协调指挥平台,实现对重点信息系统的网络安全的威胁觉察、跟踪溯源和关分析,全面掌握网络安全态势、威胁、风险和隐患,实时监测漏洞、病毒木马、网络攻击情况,形成网信部门和其他职能部门协调联动的网络安全监测预警处置工作机制,及时向各单元组织和监管部门通报重大网络安全威胁。

p3.jpg


1)  攻击行为分析

通过对各探针采集的实时数据流进行关联分析,包括网络流量安全事件、日志安全事件、资产、安全信息配置、内网IP地址段等信息之间采用基于规则、基于统计、基于资产的关联方法,综合分析安全告警,深度挖掘安全隐患、判断安全事件的严重程度。

2)  失陷主机分析

异常主机是指该主机已经被恶意程序所控制,成为僵尸主机、进行恶意挖矿行为或者进行DNS隐蔽通讯。

3)  历史数据分析

通过对各时间段的历史的被攻击情况、违规情况和失陷事件等数据进行关联,并进行威胁趋势的统计,综合评定主机的整体风险情况。

4)  安全态势分析

从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。借助大数据技术特有的海量存储、并行计算、高效查询、数据分析等特征手段,对全网的资产进行运行数据与日志数据等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势,并利用大屏幕展示感知信息。大屏展示需要如下:安全总览大屏、网络实时状况大屏、安全实时状况大屏、业务实时状况大屏、资源状况大屏。

5)  可视化分析

支持丰富的交互式可视化分析手段,通过直观且可交互下钻的图表,帮助安全分析人员简便快捷发现难于发现的威胁和风险。支持包括:关联关系可视化分析、网络行为透视可视化分析、事件可视化分析、行为可视化分析、攻击链可视化分析等几十种多种可视化分析方法。

p4.png

可信交换防御

1)  自主流量建模

自动获取网络中的流量信息,判断各类网络资产之间的业务数据流量关系。通过一个阶段的东西向流量的自学习,并将这些信息汇总后,由策略计算绘制出一个完整的业务流模型图,辅助管理者对整个内网进行管理。

技术细节:

1.  在自学习过程中,会根据识别策略列出相应的访问源/目的IP、端口号、数据流向;

2.  流可视化:管理者通过该模型便可快速掌握网络中整个信息资产的逻辑应用关系图,该模型会将可信访问的主客体全部展现在管理者面前。

2)  全息诱捕

采用独有的专利技术——全息诱捕技术,可以在四层网络中虚拟出大量的虚拟IP和端口,从而形成海量高密度的陷阱主机,当攻击者访问陷阱主机超过设定的次数时,将该IP认为非可信客体。

技术细节:

1.  自动批量生成虚拟IP,并在IP上开启常用端口:138、139、445、1431、1521、3389。生成的IP范围、数量可自定义;

2.  自动生成的IP及端口号可访问,形成诱捕陷阱主机群,与真实主机混杂;

3.  当诱捕陷阱主机群被访问超过一定阀值后,判定改源IP为非可信IP。 阀值默认为4次,可自定义;

4.  可以通过旁路模式部署进行诱捕检测模式。在此模式下,微隔离功能失效。

3)  南北、东西向微隔离

通过自主流量建模后,会根据可信访问列表建立基于白名单的访问控制策略。把普通区域、重点区域等各种逻辑网络进行隔离,避免了不安全因素的扩散,只有合理的划分了网络区域,安全策略也可以更有效的实施。

技术细节:

1.      访问控制策略基于五元组的白名单模式,只允许某IP访问某IP的某个端口,其他皆不允许;

2.      管理员可对策略进行自定义调整:添加、开启、关闭、对五元组进行调整、重构。

4)  异常访问拦截

通过全息诱捕技术将非可信IP捕获后,会立即对其进行拦截动作。

技术细节:

1.  会立即拦截全息捕获的非可信IP,阻止其访问真实主机;

2.  不会拦截非可信IP继续访问陷阱主机,继续让非可信IP对陷阱进行各种操作,不让非可信IP有所察觉,留存更多痕迹以便进一步观察和判断;

3.  通过旁路方式部署时,可以与第三方主流交换机进行联动,当诱捕到非可信IP后,主动推送ALC到第三方交换机进行拦截、阻断。

5)  攻击防御

内置了完善的2—7层攻击防御模块,基于攻击特征的检测技术对经过系统的流量进行过滤,实时发现并拦截各种已知的攻击:系统漏洞利用、Web应用攻击、蠕虫木马等等。

为客户定位各种网络威胁,以及违反安全策略的流量,并提供详实、有效的指导措施,进而实现防护—检测—响应一体化的解决方案。

6)  引流功能

可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备,以便进一步分析可疑流量。通过此种方法,无需用户在网络中部署大量的交互式蜜罐,可以大大降低部署交互式蜜罐的人力、物力和财力成本。

p6.png

7)  基础网络功能

VLAN功能:支持4K个VLAN;支持基于端口的VLAN。

IP路由:支持静态路由。

端口汇聚:支持多协议的端口捆绑策略。

旁路部署:支持旁路流量镜像监听。

支持SNAT和DNAT的地址转换。

支持全局访问控制。

主机网络安全行为感知

综合安全攻击识别引擎传输病毒识别部分、内网可疑主机识别引擎及网络异常行为识引擎三大技术为一体,以等保要求及内网安全管理最佳实践为方法论,对内网安全提供传输,潜伏及事中的安全风险的识别,是内网安全管理有效辅助平台。


7.png

安全基线

随着企业应用的快速变化与迭代,由此带的运维过程中服务器的不断变化,给安全管理带来的困扰。随时确认系统的配置状态是否附合企业安全方针与策略,是确认服务器安全的关键所在。基线审查模块基于等保主机的核查规则,但不限于等保,企业可基于自身的安全策略,定义基线审查规则,agent自动化核查主机配置情况,并可以与人员进行KPI绑定,形成报告,确保安全策略落地。

漏洞监控与管理

防范于未然,先于黑客发现问题,解决问题,是安全管理中非常重要的举措,可以有效的防止黑客的入侵行为。漏洞管理模块通过扫描引擎,可以对数据库、操作系统、WEB应用及弱密等进行扫描,快速撑握主机中存在脆弱点,能够降低与缓解主机中的漏洞造成的威胁和损失。

安全运营报告

p8.jpg

安全关键功能清单

平台基础模块

平台基础模块

统一门户

帐权管理

安全威胁防御及安全数据采集模块

安全威胁防御及安全数据采集模块

Web探针,检测Web攻击、Webshell:对各类Web应用类攻击如SQL注入、XSS跨站、远程命令执行……等进行实时防御和数据采集

入侵检测探针,侦测漏洞利用及僵木蠕检测,并进行实时防御和数据采集

全息诱捕探针,通过诱捕,检测沦陷及僵尸主机,并进行数据采集

数据处理

对安全数据、日志进行收集、存储、查询。。

数据检索

1.  支持全文检索功能。

2.  支持实时的搜索效果。

3.  支持检索条件的载入、保存,灵活、复杂的条件过滤。

4.  支持基于时间点、时间段检索。

5.  支持数据字段、事件字段的列表展示,支持字段别名功能。

6.  支持定时页面刷新结果,时间序列结果展示。

高级关联分析模块

网络行为安全分析

网络行为安全分析:对各探针采集的实时数据流进行关联分析,含括网络流量安全事件、日志安全事件、资产、安全信息配置、内网IP地址段等信息,采用关联性分析,深度挖掘安全隐患

主动式探测安全分析

对资产采取主动式探测,让安全隐患提前暴露

Web威胁感知分析

1.  支持攻击趋势分析展示功能,取值精确到分钟,并能完成任意时间段的趋势展示。

2.  支持任意时间段的攻击总数汇总,并支持根据攻击来源进行地理位置的汇总展示。

3.  支持实时的动态攻击展示,并支持可根据攻击威胁级别在动态图中进行区分。

4.  支持攻击类型分布、威胁等级分布、攻击来源地理位置、被攻击资产排行等进行展示

5.  支持针对性攻击发现,支持对针对性攻击的攻击者IP、地理位置、攻击波次、攻击总数、攻击发起时间、最后一次攻击时间等进行展示

6.  支持人为攻击发现,支持对针对性攻击的攻击者IP、地理位置、攻击波次、攻击总数、攻击发起时间、最后一次攻击时间等进行展示

7.  支持根据时间、规则类别、威胁等级、来源IP、来源端口、目的IP、目的端口、URL包含、HTTP/HTTPS请求及数据类型等进行详细日志的查询

决策管理模块

事件展示

支持不同维度的事件展示以及多条件检索

事件还原

支持对事件以时间轴的形式进行还原

历史数据关联

支持将主机历史事件数据进行关联,综合评定主机的整体风险情况

历史决策

支持查看历史的决策情况,各种策略操作的历史纪录

决策窗口

可支持对不同类型的事件进行决策配置

资产管理模块

资产管理模块

资产总览情况

资产操作

安全报告管理

管理领导层决策安全汇报报告

领导汇报安全成果:整体安全状况概述、安全态势分析、重点安全事件报告

安全运营报告

安全设备评估统计、数据历史同环比、数据源质量分析

大屏展示模块

威胁大屏

安全实时攻击大屏、安全威胁感知大屏、其他定制大屏

大屏可视化

二、安全大屏

10-1.jpg

p10-2.jpg

采用大屏的方式,将安全威胁感知系统上的攻击威胁数据进行实时呈现。通过“全局安全态势”和“安全事件分析”两个安全维度视角,将安全状况通俗易懂的展示出来,让安全分析不再只是专业安全工程师的专利。