首页 >> 产品中心 >>安全 >> 金盾高级持续性威胁防御平台
详细说明

金盾高级持续性威胁防御平台

收藏
  • 产品说明
  • 产品参数

产品定位

 

数字革命推动业务创新和经济增长已经成为新世纪的趋势,但是同时也带来了新威胁,在竞争激烈的市场下,以APT攻击为核心的攻击方式正在愈演愈烈,此类攻击发起者往往是雇佣的黑客团队,攻击手法非常高级,会使用到零日攻击、病毒、木马等组合攻击手段,从行为上看十分隐蔽,可以完美的绕过已有的基础安全设备;会给组织带来非常致命风险。

 

面对日益复杂的攻击形式,单一的防护无法发现复杂的攻击行为,APT的防御必须围绕组织内部核心资产开展基于大数据模型的风险计算,通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算,实时得出风险提示,通过专家在线、现场服务做到风险跟踪关闭,为组织核心资产提供有力的保障。

 

 

 

APT平台是依托于中新网安研发的大数据平台建设的全新风险展示平台,多年来的安全服务能力和大数据算法研究能力铸造了当前平台的三大核心功能,包括对于未知文件的沙箱检测技术、国际常见黑客的攻击行为指纹技术以及通过大数据算法实现机械学习技术,通过三维立体的风险定位模型刻画了攻击行为的路线,有助于发现潜在和未来的安全攻击行为,最大限度保证核心数据资产不被黑客侵犯。

 

 

  

功能特点

 

中新金盾高持续威胁防御系统,标准的整体机架式部署,采用“5+2+1”的产品架构,包括五大支撑引擎,两大服务体系,一大展现平台。

 

支撑引擎

1. 数据接收引擎

数据接收引擎也就是我们俗称的探针,不仅能够支持接收传统网络中交换机镜像过来的流量,还支持以云化的方式部署,通过API接口调度和虚拟接口调度的方式,接收来自云端的数据流量。

 

2. 行为分析引擎

行为分析引擎能够对网络中数据包进行深度分析,涉及信息内容的权重、频次以及动作等,不仅能够实时的展现攻击者单次的攻击行为,还能够分析出某个时间段的攻击过程,对攻击者的攻击手法、渗透过程进行深度挖掘。

 

3. 大数据分析引擎

大数据分析引擎承载着原始攻击流量存储、资产行为数据存储、实施攻击行为和文件环境等功能,为整个数据挖掘提供挖掘框架,实现模型的训练,并且能够完成历史行为的深度自学习。

 

4. 高效沙箱引擎

高效沙箱引擎高度还原了真实的系统环境,支持还原多种文件类型,分析文件的行为,并对文件进行病毒查杀和木马检测。

 

5.  机器学习引擎

机器学习引擎是中新金盾高级持续威胁平台的业务分析核心,深度学习关注业务交易的核心深度识别业务的安全风险。

 

服务体系

1. 在线专家服务

在线专家服务,能够给客户提供实时的技术问答和技术支持,包括产品操作,攻击行为处理等方面的问题。

 

2. 现场支持服务

现场支持服务除了帮助客户,解决产品的上线部署,公司还拥有优秀的应急响应小组,能够帮助客户及时处理,存在的潜在风险,保证业务的正常进行。

 

展现平台

以可视化的形式全方面的监控用户的资产,安全转台,基于用户行为、数据流量进行画像学习,并实现APT场景和案件的重构,动态的显示攻击者的攻击行为路线。

 

 

 

核心技术

 

多维动态行为检测

猎潜者能够多维度的对攻击行为进行检测,涉及到应用层攻击、系统层攻击以及数据库层面,目前的检测类型有18类,包括邮件攻击、沙箱检测、隐蔽信道逃逸检测、web应用层攻击、域渗透、远程控制等,并支持多维的攻击模式识别,能够检测由外网到内网发起的攻击,内部不同业务和安全域间的访问以及内网访问外网,防数据窃取回传的检测。

 

沙箱技术

zxsandbox是一款由中新网安自主研发的沙盒软件,用于自动化分析恶意软件,它通过虚拟机技术创建一个独立的运行环境运行恶意软件,从而监控恶意软件的行为。

 

1. 反虚拟机技术

虚拟机环境存在一定的指纹特征,某些恶意软件在运行時,会针对这些指纹特性对当前运行的环境进行检测,一旦发现当前环境是虚拟机环境,则不触发,为了解决虚拟机指纹特征的问题,zxsandbox具有高保真特性,采用一些手段将运行环境伪造成真实的环境,来诱发恶意软件触发真实行为。

 

2. 高效灵活的文件类型识别

zxsandbox具有多种模式匹配和文件类型规则,能够高效、灵活的识别文件类型;针对未知文件类型可快速补充规则进行识别,准确率达到95%以上。

 

3. 多种静态分析

常规的静态分析方法主要是依靠病毒引擎,而zxsandbox针对不同的文件类型,添加了特定的检测方法,比如针对PDF文档,我们嵌入了js检查,剥离js脚本检测,并可根据需要对js脚本进行动态分析。

 

4. 高级内存分析

zxsandbox可对受感染的内存镜像进行分析,主要包括系统的文件操作、注册表操作、加载模块分析、进程分析等。

 

5. 详细的网络行为记录

zxsandbox能够详细记录沙盒中所有的网络信息,包括加密的信息。可以帮助发现恶意软件的下载动作、网页访问等行为。

 

6. 综合判断文件危害程度

zxsandbox内置了很多恶意软件的行为特征规则,这些规则是对不同类型的恶意软件真实行为的总结,贯穿整个静态检测、内存分析、网络行为记录等检测过程。避免正常软件的正常行为被系统五保,从而综合的判断出文件的危害程度。

 


主要功能

全量数据存储,高速实时检索

数据是分析的基础。猎潜者集成了高性能的数据采集和数据存储功能,可以对网络流量进行实时分析,并提取相关的元数据存储在猎潜者系统中。并且支持多种协议传输的文件内容还原。同时提供高效的检索引擎,可以实时检索网络中发生的流量数据

 

2 猎潜者架构

轻重双沙箱结合,防范未知威胁

沙箱用于自动化分析恶意文件,通过虚拟机技术创建一个独立的运行环境运行恶意样本进行分析检测。支持多种文件格式,如PE类,Office类,EML类等。沙箱包含多种操作系统和常见软件版本,结合反虚拟机技术,数字签名技术,虚拟网络技术,样本行为分析技术等综合进行判定。其中轻量级沙箱是指猎潜者可以不全量虚拟化整个物理硬件与操作系统,而是直接虚拟化样本的运行环境,可以快速的实现样本的运行与检测。

侧重内网防护,以行为模式发现内部攻击

猎潜者行为分析模块检测采集数据中潜在的异常行为。除了传统的规则检测外,猎潜者还对网络中的流量行为进行了更深层次的分析和挖掘。其中部分功能还结合了机器学习智能分析的方法,可以针对用户的网络环境,自适应的对一些数据进行动态的判断,从而更有效的识别出异常的网络流量和行为。同时,行为分析模块根据数据,动态的识别用户资产,通过多个维度来对数据进行检测。

攻击路径可视化,还原攻击场景

攻击可视化是整个APT平台最终风险处置决策重要依据。通过猎潜者行为分析模块的借测结果,得出风险的影响范围和影响路径,根据影响结果进行不同类型的影响分析。可以支持实时基于攻击流量的路线回溯和基于历史攻击行为的回溯,在特定路径或者节点对风险的进行有效处置。

 

3 攻击路径还原


 产品特点

全流量回溯分析

传统IDS的判断机制是特征匹配,只能检测出提取过攻击签名的已知攻击行为。而APT过程中往往采用0 day、特种木马、隐蔽通道传输等未知攻击,无法通过传统检测的方式进行准确识别。要有效对抗APT,就要扩大检测的维度,将基于单个时间点的实时检测转变为基于历史,多种行为结合的多维度检测。猎潜者集成了高效的大数据平台相关技术,可以对用户网络流量进行高效的采集和检索。

动态轻量级沙箱引入

传统沙箱需要虚拟化全量物理硬件和操作系统,以及相应的应用软件,如OFFICE等。猎潜者通过多年的技术积累,以及对海量样本的分析综合,采用了轻量级沙箱的检测技术。通过直接模拟样本的运行依赖环境,不重度模拟其他无关的软件和资源,达到运行样本,进行分析检测目的,大大提高了沙箱的检测效率。

内网攻击行为智能分析

基于猎潜者的数据采集模块,结合部署的便利性,所有的用户行为都会被系统感知到。同时,针对APT攻击的内网渗透和扩散阶段,猎潜者对相关的行为进行了深度优化,可以有效的分析出当前用户网络中的各种行为。结合行为分析和机器学习功能,可以检测出传统安全设备无法感知的威胁。通过特有的决策树分析模式,并进行深度关联,从而准确的对攻击行为进行判定。

行业威胁情报资源共享

猎潜者的分析和检测维度不局限于用户的网络流量采集数据分析,更是结合了已有的行业资源。通过外部的威胁情报,包括但不限于恶意域名,钓鱼网址,受控主机,僵尸网络等信息,大大丰富了产品自身的检测维度和深度。同时,猎潜者还支持情报共享,单点所发生的攻击,可以共享至其他检测节点,提高了攻击的检测的及时性和准确性。

突破性加密流量检测分析

加密流量是对安全设备最大的挑战,特别是网络隐私保护越来越严,很多攻击就隐匿在加密流量之中。猎潜者通过对大量的恶意软件加密流量进行分析,利用现有的大数据挖掘和机器学习的技术,可以在无需对加密流量解密的情况下识别隐藏在加密流量中的恶意行为。通过对加密流量内部的元数据,包括流量大小,流量频率,峰值变化,用户历史等多维度进行自适应学习,准确定位加密流量中的恶意行为。


底部导航
友情链接
联系方式
公司二维码
扫一扫,添加二维码!

联系电话:029-87308261

联系邮箱:jianglong@jianglongtec.com

联系地址:陕西省西安市雁塔区科创路南侧168号

                 西电科技园C座617

微信公众号:jianglong_598

×