安全威胁发现及溯源方案

背景与需求

当前随着互联网全球化和黑客技术的突飞猛进,导致很多威胁事件无法通过传统的手段和方式来侦破或发现。

从传统安全防御体系的框架的设备和产品来看,如网络2 ~ 7层的数据分析,IDS、IPS和审计类产品最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。

解决方案

方案将以大数据为基础,从“云、管、端、地”四个层次建立多维度的APT综合检测防护模型,建立以威胁情报为“大脑”的主动防御体系。结合“纵深防御”原则,在城域网出口、单位网络出口、终端多个层面进行检测防御,并结合人工服务逐步做到网络定位、终端取样、溯源、远程反制。

在城域网出口旁路部署“全球眼”设备检测单位的流量,检测被黑客控制的各种间谍僵尸主机,定位所属机构,协助公安机关寻找木马控制端所在地,确定在本地的远控木马控制主机身份。

  • 在可疑单位或部门出口旁路部署“全球眼”设备检测重点单位、部门和设备的流量,定位到被黑客控制的主机
  • 监测辖区内木马控制服务器的URL,IP,域名等信息,确定所处单位,定位木马控制服务器
  • 针对检测结果通报责任单位,必要时上机调查,调查其上级控制端,其控制的下级间谍、僵尸机器的数量、范围等

方案功能

1、全方位、7*24小时威胁监测预警
  • 僵木蠕攻击:远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
  • 入侵攻击:漏洞扫描、漏洞利用、暴力破解、异常登录、异常通信和访问
  • APT攻击:邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
2、木马追踪和地址定位
  • 通过全球眼的部署经云平台及大数据分析间谍/僵尸软件的恶意行为
  • 通过WEB溯源及人工渗透溯源分析控制端,黑客行为,黑客组织等

方案特点

  • 深度和全面的木马检测
  • 基于特征和行为检测方法
  • 具备识别已知和未知木马能力
  • 木马行为扫描技术

方案价值

  • 建立间谍主机和控制端的发现能力
  • 掌控木马攻击态势
  • 增强高级网络犯罪打击能力和绩效
  • 协助公安办案人员发现案源
  • 协助公安办案人员定位到各个单位的具体出问题的主机
  • 协助公安办案人员寻找攻击者犯罪证据
  • 协助公安办案人员反制攻击者控制端