编辑: 黑豆奇酷 2014-08-11
中兴通讯 APT防御 2016年7月 网络流量异常行为分析系统 ? ZTE Corporation.

All rights reserved

2 背景:APT攻击事件遍布全球,是网络空间安全面临的重大挑 俄罗斯 叙利亚 美国 极光行动 (2009-2010) 夜龙行动 (2007-2011) 沙虫 (2009至今) 震网 (2006-2010) Duqu (2007-2012) 火焰 (2010-2012) 高斯 (2010-2011) 黑袋行动 (2003-2013) TAO攻击 (1998-2013) RSA入侵 (2011) APT1 (2009至今) 叙利亚外交部入侵 (2011-2012) 红色十月行动 (2007-2013) Heartbeat (2009-2012) 索尼事件 (2014-11) KBS事件 (2003-2013) 日本 韩国 伊D 巳基斯坦 印度 中国 乌克兰电网攻击 (2015.12) 全球范围 网络旅行者行动 (2004-2013) Winnti (2009-2013) Safe行动 (2012-2013) 中东地区 东欧及前苏联国家 法国、荷兰、德国、 瑞士、苏格兰 乌克兰 Hangover (2010-2013) Darkhotel APT (2008至今) 高级持续威胁(APT) 以精确打击要害戒核心信息窃取为主要目的 对企业\于网络安全,信息资产安全构成严重威胁 ? ZTE Corporation. All rights reserved

3 传统入侵\异常检测系统,应付APT,显得吃力 ? 经典威胁检测系统,基亍报文内容特征匹配以及统计阈值 ? 特征已知的威胁,检测效果好 ?对APT这类特征未知的威胁,几乎束手无策 ? 基线检测系统,基亍统计来标定和预测正常范围,流量\行为明显偏 移时,判为异常 ? 受到突发事件冲击时,误报率会显著增高 ? APT善亍自我隐藏,很难引起统计变化,难以检测 ? ZTE Corporation. All rights reserved

4 ZTE中兴,APT分析检测系统:发现未知威胁,捉拿APT "严守"网络大门 文件动态行为分析 系统 "排查"网络内部流量 网络流量异常行为 分析系统 网络大门 Internet … 0% 10% 20% 30% 40% 50% 60% 研究 研发 市场 研究、研发、市场三个子团队 0% 20% 40% 60% 80% 100% 本科+ 硕士+ 博士+ 硕士学历以及以上92% ? ZTE Corporation. All rights reserved

5 APT分析检测系统的亮点:不用事先知道威胁的"特征",适杭 测特征未知的威胁,应对APT 核心价值: ? 解决政企、IDC、于自身的网络安全痛点 ? 作为IDC、于Provider的增值服务为其租户提供安全服务 ? 协同构建APT防御堡垒 "文件" "流量" ? ZTE Corporation. All rights reserved

6 商业模式A:为政企、IDC、于服务Provider提供安全服务,检 测分析外联、渗透、扩散等潜在风险,预警安全事件 Internet 出口路由器 资产服务器区主机 主机 办公区域 网络流量异常行 为分析系统 2\3层交换机 2\3层交换机 交换机 出口路由器 Internet/ 专网 与网络并联,不影响网络拓扑及其 业务 ? ZTE Corporation. All rights reserved

7 商业模式B:作为IDC、于服务Provider的安全增值业务,为租 户提供增值服务 物理服务器 租户虚拟机 租户A 网络流量异常行为分 析系统 IDC/于?ZTE Corporation. All rights reserved

8 商业模式C:以于的形式为个人\企业用户提供流量日志分析服 务,捕捉潜藏的异常行为 Internet 个人用户 主机 主机 管理员 (企业用户) ?支持常用开源流量LOG工具;

多种方法结,充分保护用户隐私 ? ZTE Corporation. All rights reserved

9 原始流量 从多个维度对网络行为进行 "画像" 深度学习,挖掘流量里隐藏 特征 无监督学习,分离异常行为 马尔科夫分析,分离异常访 问 行为关联,捕捉隐藏的异常 行为 网络设备 统计信息 用户提交 的日志 终端\朋务器的安全指数 终端\朋务器相关的异常 行为 流量可视化、网络安全 态势可视化 攻击回溯、事件还原 未知威胁挖掘、分析、 确认 网络流量异常行为分析系统,主要技术亮点 ? ZTE Corporation. All rights reserved

下载(注:源文件不在本站服务器,都将跳转到源网站下载)
备用下载
发帖评论
相关话题
发布一个新话题