探知全流量威胁检测助力企业提升主动防御能力

一、全流量威胁感知系统背景

 

1.1 安全发展趋势

随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒等等。

在攻击技术发展层面，攻击方式不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利用的漏洞。并且存在越来越多的APT（高级持续性威胁）攻击，有组织、有目标、手段高超、隐秘持久，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

 

1.2 APT典型案例

• 远控木马

2010年，Google Aurora极光攻击事件，攻击团队向Google发送了一条带有恶意链接的消息，当Google员工点击了这条恶意链接时，会自动向攻击者的C&C Server发送一个指令，并下载远程控制木马到电脑上，成为“肉鸡”，再利用内网渗透、暴力破解等方式获取服务器的管理员权限，员工电脑被远程控制长达数月之久，其被窃取的资料数不胜数，造成不可估量的损失。

 

• 蠕虫攻击

2010年，“震网”病毒成功攻击了Y国工厂的离心机，仅仅2个月，报废离心机约1000台。据报道，“震网”是由多个国家发起的针对Y国设施的定向网络攻击事件， 但一个编程错误使蠕虫扩散到了其它不支持的操作系统上，才导致其在2010年6月被捕获。

 

• 后门植入

2020年，SolarWinds供应链事件，多家大公司均被攻击者通过该软件作为入口而成功渗透。此外，多个政府机构沦陷，世界500强企业中，有超过9成遭受入侵，全球至少30万家大型政企机构受到影响，总体损失不可估量。

 

 

1.3 APT攻击防不胜防

攻击者组织严密、针对性强、手段高超、隐蔽性强、持续时间长。

 

 

1.4 传统检测方法滞后、失效

• 传统特征检测技术滞后：周期长检测滞后；
• 传统特征检测技术失效：未知威胁无法通过特征识别。

1.5 日益增长的企业流量带来的安全挑战

互联网流量持续增长，企业10G带宽已较普遍，传统设备可能无法处理如此高速的数据流。流量处理性能不足可能导致高延迟、高丢包率等，严重影响检测效果。

 

 

1.6国家对网络安全的相关政策

国家层面对网络安全愈发重视，一系列网络安全政策密集发布，对企业和组织的网络安全提出了更高的标准及更严格的要求。

• 《国家网络空间安全战略》
• 《中华人民共和国网络安全法》
• 《网络安全等级保护条例》
• 《关键信息基础设施安全保护条例》
• 《网络安全等级保护2.0》
• 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
• ......

 

二、全流量威胁感知系统介绍

 

2.1 部署形态

全流量威胁感知系统设备通常部署在所有关注流量必经的链路上，例如在防火墙后面的交换机上，采用旁路部署方式，以确保对流量的全面监测和检测，同时不对企业原有网络造成任何干扰。

 

2.2 威胁检测核心能力

• 威胁情报检测：恶意IP检测、恶意域名检测、恶意URL检测、恶意文件检测等；
• 多反病毒引擎检测：启发式检测、静态检测、动态监测、病毒检测、木马检测等；
• 基因图谱检测：病毒变种检测、木马变种检测等；
• 下一代入侵检测：协议分析还原、Web安全检测、漏洞攻击检测等；
• 网络异常检测：C&C通讯检测、DGA域名检测、DDoS攻击检测等。

2.3 目标用户

面向各类有网络安全要求或者等保合规需求的政企机构，帮助信息技术部门实现高效安全运营、网络合规建设等。

 

 

2.4 使用场景

① 全天候网络流量安全监测

• 问题描述：如何全面分析整体网络的安全态势？
• 场景描述：实时分析整体网络流量，准确识别信息系统、设备和网络的各种威胁事件，实现对全流量的安全监测及处置。

 

 

② 安全态势呈现及定期安全报告

• 问题描述：如何体现和展示全年安全态势？
• 场景描述：通过对网络空间安全态势进行全方位、多层次、多角度、细粒度的感知，以可视化大屏和报告的形式展示，让领导对网络整体的安全态势一目了然。

 

 

③ 等保建设的设备要求

• 问题描述：如何保证等保建设的合规性？
• 场景描述：随着国家对网络安全越来越重视，企业和政府均按照等级保护的标准进行安全建设，其中网络流量威胁监测系统是必不可少的。
• 等保建设通信网络安全要求：应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标 、攻击时间，在发生严重入侵事件时应提供报警 ......

④ 补全企业网络资产画像

• 问题描述：如何全面掌握企业所有网络资产？
• 场景描述：对全流量分析出的所有激活资产进行资产对账，发现无主资产（长时间无人维护，导致存在较多的已知漏洞及配置违规），确认梳理后，纳入日常维护，彻底解决企业内部的IT安全隐患。

2.5 全流量威胁感知系统功能

 

① 协议还原

• 流量接入：支持接入实时流量及离线流量包；
• 数据解析：支持解析多种协议，对协议内容进行提取、解析、存储和检索；
• 文件还原：支持还原协议中的文件内容，进行病毒、木马等检测。

② 威胁情报

• 情报检测：内置IOC数据库，覆盖主流的APT家族涵盖至少覆盖110个家族，支持恶意IP、恶意域名、恶意URL、恶意文件等多种威胁情报检测。

③ 网络异常检测

• AI模型检测：支持基于AI模型的网络流量异常检测，包括恶意域名、SQL注入、跨站脚本等；
• 网络入侵检测：支持多种入侵检测，包括暴力破解行为检测、DoS&DDoS攻击检测等。

④ 大数据关联分析

• 融合多方威胁情报数据，通过关联分析引擎，实现高级威胁精准检测和发现能力，提高安全告警的准确性和可靠性。

⑤ 威胁文件检测

• 基因检测：通过分析文件的结构、内容和特征，识别其中潜藏的恶意代码或行为；
• 多反病毒引擎检测：支持基于多种反病毒引擎的交叉检测。

⑥ 资产发现

• 基于流量日志分析提取，自动识别各种设备、系统、应用信息形成资产信息库，并支持与第三方系统进行数据同步。

2.6 产品型号

全流量威胁感知系统分为国产化和非国产化两种类型，每种类型包含千兆和万兆两个设备型号。

• APT-K1000：2U标准机架设备，2*8核CPU，128GB内存，512GB SSD，4*4TB数据盘，硬件RAID卡，4个千兆网口，处理总流量≤1.0Gbps。
• APT-K10000：2U标准机架设备，2*14核CPU，256GB内存，512GB SSD，8*4TB数据盘，硬件RAID卡，2个千兆网口、2个万兆光口，处理总流量≤10.0Gbps。

三、全流量威胁感知系统优势特点

• 人工智能、大数据与安全结合：采用人工智能的深度学习及大模型技术，基于大数据平台亿级安全样本库训练，具备检测未知威胁的能力，检出率高于行业平均水平20%以上。
• 全面的网络安全防护能力：基于丰富的特征库、全面的检测策略、智能机器学习、高效动态分析、海量威胁情报，可实时发现20种以上网络攻击行为。
• 强大的处理性能：基于多核硬件处理器芯片，采用多核并行处理技术及先进的一体化检测引擎，有效提升检测效率。单台最大带宽处理能力可达10Gbps，并支持通过集群技术按需扩展处理能力。
• 全面、及时的攻击特征库：专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的高质量特征库3万+。
• IPv4/IPv6双协议栈支持：全面支持IPv6环境部署和IPv4/IPv6混合流量威胁检测，确保企业能够在IPv6网络环境中实现全面的安全监测和保护。