PRODUCT INTRODUCTION
矩阵新一代态势分析平台(简称:矩阵/Matrix)是以“网络威胁分析、溯源、响应及态势感知”为设计理念,以安全业务为中心的新一代网络安全态势分析平台。产品汇聚安全设备告警和原始流量数据信息,结合大数据分析、人工智能、关联分析等技术,精准定位全网威胁。 不仅可以全面感知安全态势, 还能筛选出值得关注的受害者、攻击者或攻击事件,具有统一的威胁管理、告警降噪、未知攻击挖掘和溯源取证能力,帮助客户高效应对高级、未知网络威胁,保障核心资产及业务免受侵害。
矩阵(Matrix)是一个分布式、模块化的系统,具有高度灵活的部署架构和高可扩展性。架构中的关键组成部分包括:
旁路部署在网络出口或关键网络节点处采集网络通信数据,通过网络流量的监测,深度发现和分析网络系统中各种网络入侵攻击、恶意代码传播、黑客控制及渗透攻击等,尤其是新型网络攻击、隐蔽黑客控制、APT攻击等,定位出失陷主机。
捕获、解析、重构所有的2-7层的网络流量,建立元数据和日志数据相关索引信息,保存原始流量为PCAP格式文件,供实时查询分析。
支持对流量中还原的文件或通过WebAPI接口、本地上传、远程下载提交的文件进行检测,采用文件多重引擎检测、沙箱动态行为检测、机器学习等创新型检测技术,实现已知和未知恶意代码威胁的检测。对高级网络攻击中广泛采用的0DAY/NDAY漏洞、高级木马、蠕虫病毒、勒索软件等恶意代码进行深度分析。
多种途径收集安全情报,拥有最新最全APT、漏洞、病毒等知识库,建立黑白名单防护机制,为大数据安全分析平台持续输送情报信息,以便平台自动化更新检测策略。
汇聚和关联架构中多个探针和组件(流量检测探针、元数据探针、文件威胁分析探针、云端威胁情报)中的实时数据,筛选出关键威胁信息,以攻击者、受害者、分析师、决策者多重视角重构告警信息、UI设计,同时可实现多设备数据拉取、策略下发、节点管理、自动化报告,既能保证初级分析师轻松上手,又满足高级分析师自主运营,全面提高安全防护效率、速率。
WORKING PRINCIPLE
CORE TECHNOLOGY
PRODUCT ADVANTAGES
矩阵新一代态势分析平台汇聚安全告警和原始流量,基于大数据分析平台对海量安全数据进行告警降噪、可视化呈现、深度分析、追踪溯源,是安全分析师、响应工程师、CISO等工作人员实现威胁管理、分析、决策、响应的安全管理中心。
从攻击趋势、资产风险、威胁属性等宏观视角以可视化方式呈现全局安全态势,洞悉全局风险和资产安全,协助领导决策分析。从失陷主机、关键攻击行为等微观视角协助分析师快速发现安全风险,响应处置。
以受害者视角(内部资产),从多个维度分析每个受害者的受攻击情况,确认受害者是否失陷、受影响范围、关键攻击行为及时间节点,减少无效告警。协助分析师快速定位阻断风险。
以攻击者视角,从多个维度分析每个攻击者情况,确认每个攻击者风险等级、关键攻击行为及产生危害(关联受害者)。辅助分析师追踪攻击者画像及攻击思路。
以全流量为数据基础,将告警从初始发生到产生结果,从网络到终端进行全生命周期追踪,通过时间轴分析模型、KillChain分析模型、实体关系分析模型从时间、网络攻击杀伤链、关联关系等多维度看清攻击过程、路径、手段、背景,协助运维人员进行线索搜集及溯源取证。
分析师既可以从威胁情报获取威胁信息,进行外部溯源定位已知攻击事件,也可以从确定的攻击事件中提取攻击者信息、样本信息,补充到威胁情报。通过“标记处置”灵活管理攻击者、受害者、关键节点设备、资产。在确认攻击后联动防火墙进行威胁处置。