ITPub博客

首页 > IT基础架构 > 网络安全 > 内网威胁感知与攻击溯源系统

内网威胁感知与攻击溯源系统

原创 网络安全 作者:tiasec 时间:2018-10-18 21:03:46 0 删除 编辑

一、现状与问题

随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的 正常工作,造成巨大影响。 高级持续性威胁(APT攻击)、鱼叉攻击、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。

威胁一直存在,但企业安全管理人员却没有相应的技术手段和工具发现问题、定位攻击源。

二、解决方案

针对以上问题,现在企业的网络安全思维要有所转变,企业网络安全不仅要有优秀的防御能力,更要有主动的安全溯源和应急响应能力。面对边界网络安全设备不能保证100%网络安全的现状,能帮助企业准确发现威胁、快速定位威胁、有效控制威胁扩散的工具越来越重要。

本系统通过“虚拟仿真”技术,在黑客必经之路上布置陷阱、诱敌深入,可实现对APT攻击事件、蠕虫病毒(勒索病毒)传播、异常操作事件的精确定位。 解决内部网络攻击行为难以识别、难以定位、难以溯源三大问题,赋予内网全新的主动对抗能力。 结合日志大数据溯源模块、流量大数据溯源模块,帮助企业溯源黑客身份和攻击意图,实现全网安全态势感知。

三、系统功能

  应用“主动防御”思想, 在核心服务器区 ,设置“ 虚拟仿真陷阱“ ,迷惑攻击者,配合安全审计, 实现对 APT 攻击事件、蠕虫病毒(勒索病毒)传播、异常操作事件的精确定位

1. 虚拟仿真

1 )系统可实现对各种系统应用(SSH,telnet)、数据库应用(mysql、oracle)、业务应用(http、https)的高仿真模拟,通过在企业内网部署高仿真应用“陷阱”,混淆黑客的攻击目标,将攻击隔离进沙箱系统,识别攻击行为,延缓攻击进程,并以多种方式通知管理员。

2 )伪装代理,通过在企业内网真实核心服务器上部署“伪装代理”,可让“陷阱”遍布整个内网,将黑客针对真实服务器上“陷阱”的攻击流量引入本系统,提高本系统对攻击行为的感知率。

3 )诱饵文件,系统基于Web“bug”工作原理,可在伪造的“敏感文件”中插入“追踪”代码,让窃密者感染管理员设计的“木马病毒”,以帮助管理人员快速定位窃密者。

2. 攻击识别与内网威胁情报

1 )已知攻击识别,系统内置入侵检测模块,可准确识别所有针对仿真应用的攻击源IP和已知攻击事件类型。

2 )未知攻击识别,系统详细记录针对仿真应用的各种攻击行为日志,基于行为分析模式,利用大数据对未知攻击识别引擎进行训练,可精确识别每条黑客攻击源,攻击路径以及攻击手法,为管理人员提供有效的威胁感知和攻击定位工具。

3 )内网威胁情报,系统在识别和记录攻击的同时,可获取攻击源的的详细信息,包括浏览器版本、操作系统类型、设备指纹、开放端口等,为攻击溯源提供内网威胁情报信息。

3. 攻击溯源

利用内网威胁情报信息,日志大数据溯源模块和流量大数据溯源模块可进一步确定攻击源(病毒源)对内网核心资产的攻击行为,帮助运维人员快速溯源攻击行为、确定攻击范围、全面掌握内网安全态势。

4. 集中管理与溯源展示

系统支持多节点分级管理,并能通过数据关联分析,以时间流的形式进行组织,可视化的呈现出安全事件的攻击流程。威胁情报智能仪表板提供威胁情报感知报告。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31535679/viewspace-2216839/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 没有了~
下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2018-05-05

  • 博文量
    1
  • 访问量
    1201