奇安信天眼新一代威胁感知系统整合多种告警数据,利用云端关联分析提前发现安全威胁。它包括威胁情报、分析平台、传感器和文件威胁鉴定器,支持与其他系统对接,实现自动化响应处置。通过威胁情报、分析平台和全包存储技术,提升未知威胁检测和溯源能力,确保对高级威胁的全面检测和快速响应。
奇安信天眼新一代威胁感知系统(以下简称“天眼”) 汇集流量传感器
、文件威胁鉴定 器、邮件告警、奇安信天堤防火墙、网神云锁等多种告警数据,基于奇安信自有的多维度 海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推 送定制的专属威胁情报;同时结合部署在客户本地的软、硬件设备,奇安信天眼能够对未 知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终 达到对入侵途径及攻击者背景的研判与溯源;支持运用奇安信自研的 SOAR编排技术,实现 对确定的威胁进行多种类型的响应处置,真正实现监测预警、威胁检测、溯源分析和响应 处置的新一代安全感知系统。
3. 产品组成与架构
奇安信
天眼主要包括威胁情报、分析平台、传感器和文件威胁鉴定器四个模块,同时 支持邮件威胁检测系统、奇安信天堤防火墙、网神云锁、补天漏洞响应平台、全包存储等 系统的接入。奇安信天眼系统架构图如下所示:
图**-1** 天眼架构图
- 威胁情报
威胁情报来自奇安信云端的分析成果,可对 APT攻击、新型木马、特种免杀木马进行 规则化描述。奇安信公司依托于云端的海量数据,通过基于人工智能自学习的自动化
数据 处理技术,依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最 终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进 行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结 合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码 风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击 者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使 用的威胁情报。
2. 分析平台
天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的 告警日志;其次天眼分析平台不仅可对所有数据进行快速的处理并为检索提供支持,还能 将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在 4K的屏幕上展 示威胁态势;此外天眼分析平台支持对告警进行深度分析,支持以告警字段进行狩猎分析 及可视化展示,以攻击链的视角还原告警中的受害主机被攻击的整个过程;最后,对于判 定为威胁事件的告警,分析平台提供自定义编排流程进行相应的处置指令下发。
分析平台承担对所有数据进行存储、预处理和检索的工作,由于传统关系型数据库在 面对大量数据存储时经常出现性能不足导致查询相关数据缓慢,天眼分析平台底层的数据 检索模块采用了分布式
计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集 群以保证存储空间和计算能力的供应。结合全包存储系统,分析平台可以实现针对精确告 警的全包取证分析和自定义数据包分析能力。
3. 流量传感器
天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加 密传输给天眼分析平台,流量镜像中的 PE和非 PE文件还原后则加密传输给天眼文件威胁 鉴定器进行检测。天眼传感器通过对网络流量进行解码还原出真实流量,提取网络层、传 输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平 台进行统一处理。传感器中应用的自主知识产权的协议分析模块,可以在 IPv4/IPv6 网络 环境下,支持 HTTP (网页)、SMTP/POP3(
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
