下一代網(wǎng)絡(luò)威脅智能檢測(cè)系統(tǒng)介紹

下一代網(wǎng)絡(luò)威脅智能檢測(cè)分析系統(tǒng)（以下略稱(chēng)：OmniX）是我公司自主研發(fā)，具有完全自主知識(shí)產(chǎn)權(quán)的一款對(duì)網(wǎng)絡(luò)威脅進(jìn)行有效檢測(cè)與發(fā)現(xiàn)的新一代威脅檢測(cè)產(chǎn)品。它基于多維度海量互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)行自動(dòng)化挖掘與云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并向客戶(hù)推送定制的專(zhuān)屬威脅情報(bào)。同時(shí)結(jié)合部署在客戶(hù)本地的軟、硬件設(shè)備，系統(tǒng)能夠?qū)ξ粗{的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，并可對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源。

產(chǎn)品采取旁路部署，全流量監(jiān)控、整合靜態(tài)檢測(cè)、動(dòng)態(tài)分析等多項(xiàng)獨(dú)創(chuàng)專(zhuān)利技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中流量深度分析，對(duì)未知威脅的早期快速發(fā)現(xiàn)與高精度檢測(cè)；對(duì)受害目標(biāo)和攻擊源頭進(jìn)行精準(zhǔn)定位，威脅入侵途徑回溯，幫助企業(yè)防患于未察。

1.1 產(chǎn)品架構(gòu)

OmniX采用B/S、分布式部署管理架構(gòu)，通過(guò)日志/網(wǎng)絡(luò)流量采集、威脅檢測(cè)、系統(tǒng)管理、存儲(chǔ)通信的模塊化設(shè)計(jì)，整合威脅情報(bào)分析、安全分析工具以及通過(guò)自動(dòng)化集成響應(yīng)安全事件，實(shí)現(xiàn)了一套易于使用、擴(kuò)展性強(qiáng)的產(chǎn)品架構(gòu)。

產(chǎn)品架構(gòu)如下圖所示：

? 分布式傳感器（Beat Sensor）

分布式傳感器是OmniX系統(tǒng)的數(shù)據(jù)采集模塊，承擔(dān)日志及網(wǎng)絡(luò)流量的采集和威脅檢測(cè)過(guò)程。傳感器可以靈活分布部署，各自獨(dú)立采集及威脅分析，并將結(jié)果傳回OmniX管理平臺(tái)。傳感器的分析支持幾十種應(yīng)用協(xié)議，嚴(yán)格標(biāo)準(zhǔn)的硬件設(shè)計(jì)標(biāo)準(zhǔn)可以輕松部署到IT/OT/IoT生產(chǎn)環(huán)境。

? 威脅情報(bào)數(shù)據(jù)庫(kù)（IOC）

威脅情報(bào)數(shù)據(jù)庫(kù)是OmniX系統(tǒng)的核心模塊，承擔(dān)對(duì)惡意病毒、攻擊行為、漏洞利用等多樣攻擊的檢測(cè)過(guò)程。1998年成立以來(lái)，在全球超過(guò)70多個(gè)國(guó)家的威脅情報(bào)收集傳感器部署、實(shí)時(shí)監(jiān)控黑客的活動(dòng)、追蹤病毒及傳染路徑、監(jiān)控分析暗網(wǎng)活動(dòng)等形成了威脅數(shù)據(jù)采集分析生態(tài)系統(tǒng)。通過(guò)威脅情報(bào)生態(tài)系統(tǒng)，實(shí)現(xiàn)了分鐘級(jí)數(shù)據(jù)更新，并可以實(shí)現(xiàn)對(duì)垃圾郵件、惡意代碼，木馬蠕蟲(chóng)、釣魚(yú)攻擊、比特幣挖礦、勒索病毒、未知惡意代碼、已知漏洞利用（Nday）、未知漏洞利用（0day）等攻擊行為的檢測(cè)與回溯。

? 威脅資產(chǎn)管理（Threat Asset Management）

威脅資產(chǎn)管理（Threat Asset Management, 簡(jiǎn)稱(chēng)TAM）是OmniX系統(tǒng)的資產(chǎn)管理模塊，承擔(dān)識(shí)別來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的IP地址，并為使用者提供編輯，配置資產(chǎn)信息的界面。通過(guò)資產(chǎn)管理，可以快速鎖定受到攻擊威脅的主機(jī)信息、用戶(hù)信息及設(shè)備信息。

? 數(shù)據(jù)庫(kù)&Web Server

數(shù)據(jù)庫(kù)和Web Server是OmniX內(nèi)部的關(guān)鍵應(yīng)用服務(wù)，提供存儲(chǔ)、管理與通信數(shù)據(jù)的基礎(chǔ)服務(wù)。其中，Web Server是OmniX與外部系統(tǒng)接口、提供外部管理的核心支撐服務(wù)，數(shù)據(jù)庫(kù)是為OmniX提供存儲(chǔ)與查詢(xún)能力的核心服務(wù)。這兩個(gè)應(yīng)用服務(wù)是關(guān)鍵基礎(chǔ)設(shè)施。

? 惡意軟件分析沙箱

OmniX系統(tǒng)可以高度無(wú)縫與第三方惡意軟件分析沙箱結(jié)合。通過(guò)充分整合，可以將可疑文件或者URL在隔離的環(huán)境中運(yùn)行分析，可以獲得可疑軟件的詳細(xì)行為信息，例如進(jìn)程創(chuàng)建、調(diào)用函數(shù)、下載的文件以及請(qǐng)求的網(wǎng)絡(luò)流量等等，進(jìn)而對(duì)惡意軟件進(jìn)行深度判定。

1.2 主要功能  

• 漏洞利用攻擊檢測(cè)，其中包含對(duì)未知漏洞利用（0day）的檢測(cè)

• 與威脅情報(bào)數(shù)據(jù)聯(lián)動(dòng)，能夠有效進(jìn)行惡意流量的檢測(cè)，其中包括對(duì)未注冊(cè)的可疑惡意域名及未知惡意代碼的檢測(cè)

• 結(jié)合惡意軟件分析沙箱，深度判定威脅詳細(xì)信息

1.2.1 威脅檢測(cè)能力

t 僵尸網(wǎng)絡(luò)

t 勒索病毒

t 釣魚(yú)郵件

t 垃圾廣告

t 比特幣挖礦

t 信息泄露

t 信用卡盜竊

t 系統(tǒng)漏洞

t 網(wǎng)站應(yīng)用攻擊

t 權(quán)限獲取

t 密碼破解

t 網(wǎng)絡(luò)犯罪

t 木馬蠕蟲(chóng)

t 惡意域名

t 惡意代碼

t IP黑名單

t 0Day攻擊

t DGA（域名生成算法）

1.2.2 威脅管理能力

t 威脅報(bào)警

OmniX在檢測(cè)到攻擊之后，將在監(jiān)控頁(yè)面上產(chǎn)生實(shí)時(shí)報(bào)警，為了便于監(jiān)控人員對(duì)報(bào)警進(jìn)行快速分析，OmniX報(bào)警界面提供了豐富、詳細(xì)的報(bào)警內(nèi)容，包括：攻擊是從哪里來(lái)的（攻擊的源IP）、哪里受到了攻擊（攻擊的目的IP）、攻擊是什么時(shí)候發(fā)生的（攻擊時(shí)間）、攻擊類(lèi)別、危險(xiǎn)程度等攻擊詳細(xì)信息。

t 威脅分析

報(bào)表、日志、惡意網(wǎng)絡(luò)流量提取、專(zhuān)業(yè)分析服務(wù)。

t 威脅響應(yīng)

內(nèi)置SIEM聯(lián)動(dòng)

2 產(chǎn)品特點(diǎn)

l  網(wǎng)絡(luò)威脅的精確檢測(cè)

系統(tǒng)使用互聯(lián)網(wǎng)數(shù)據(jù)檢測(cè)網(wǎng)絡(luò)中的威脅，利用多種先進(jìn)檢測(cè)技術(shù)（如：威脅情報(bào)、行為分析等）對(duì)流量進(jìn)行深入分析，具有出色的精確檢測(cè)效果。

l  易于部署，易于使用

系統(tǒng)采用支持流量鏡像和日志導(dǎo)入等多種部署方式。無(wú)需進(jìn)行復(fù)雜的配置，即插即用，快速的發(fā)現(xiàn)問(wèn)題。

分析結(jié)果簡(jiǎn)單直觀，同時(shí)提供問(wèn)題的建議解決方案，不但快速發(fā)現(xiàn)問(wèn)題，而且快速解決問(wèn)題。

l  模塊化設(shè)計(jì)，易于擴(kuò)展

系統(tǒng)采用模塊化設(shè)計(jì)，可以根據(jù)客戶(hù)的情況選擇不同的功能模塊，如不同威脅情報(bào)

庫(kù)的選擇，威脅檢測(cè)工具的選擇等。

l  數(shù)據(jù)回溯性分析

檢測(cè)系統(tǒng)不但可以實(shí)時(shí)監(jiān)控分析網(wǎng)絡(luò)流量，同時(shí)可以存儲(chǔ)原始數(shù)據(jù)，對(duì)網(wǎng)絡(luò)問(wèn)題進(jìn)行事后分析，以及威脅事件的溯源等。

l  便攜式設(shè)計(jì)

檢測(cè)系統(tǒng)有便攜式和機(jī)架式設(shè)計(jì)。便攜式產(chǎn)品易于在網(wǎng)內(nèi)不同節(jié)點(diǎn)移動(dòng)，解決內(nèi)網(wǎng)檢測(cè)的問(wèn)題。

3 部署方案

OmniX系統(tǒng)采用旁路部署的方式，接入到所監(jiān)控網(wǎng)絡(luò)的交換機(jī)鏡像端口處，由于采用旁路接入的方式，不會(huì)改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，也不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行產(chǎn)生任何影響，其典型部署方式如下：

3.1 實(shí)施步驟說(shuō)明

1）客戶(hù)提供內(nèi)1個(gè)內(nèi)網(wǎng)IP，用于內(nèi)網(wǎng)網(wǎng)管pc 遠(yuǎn)程登錄設(shè)備，進(jìn)行ping 測(cè)試，確保網(wǎng)管PC 到網(wǎng)絡(luò)威脅檢測(cè)設(shè)備可達(dá)。

2) 將核心交換內(nèi)網(wǎng)到互聯(lián)網(wǎng)出口流量及客戶(hù)內(nèi)網(wǎng)DNS 流量做鏡像到網(wǎng)絡(luò)威脅檢測(cè)設(shè)備。

3）如果檢測(cè)系統(tǒng)可連接互聯(lián)網(wǎng)則采取自動(dòng)升級(jí)功能從互聯(lián)網(wǎng)上獲取威脅情報(bào)，如果檢測(cè)系統(tǒng)不能連接互聯(lián)網(wǎng)則采取離線方式獲取威脅情報(bào)升級(jí)包