PDF《360 天眼新一代威胁感知系统》

2 ~

7 层的数据分析.其中,与APT 攻击相关的

7 层 设备主要是 IDS、IPS、审计,而负责

7 层检测 IDS、IPS 采用经典的 CIDF 检测模型,该模型最核心 的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测.反观 APT 攻击,其采用的攻击手法 和技术都是未知漏洞(0day) 、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为 模式进行检测的 IDS、IPS 在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测 APT 攻击. APT 攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中.传统的安 全事件分析思路是遍历各个安全设备的告警日志, 尝试找出其中的关联关系. 但依靠这种分析方式, 传统安全设备通常都无法对 APT 攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全 人员花费大量精力进行告警日志分析往往都是徒劳无功.如果采用全流量采集的思路,一方面是存 储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间 的存储;

另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视屏、图片、文本等等 多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息.

360 企业安全集团

2 /

41 密级:XXXX 在安全形势不断恶化的今天,政府、军队、金融、大型企业等客户所处的特殊位置,经常会面 临来自互联网的攻击威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设 备, 但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严 重损失.因此企业需要在其网络中部署威胁感知产品,及时发现潜藏在其网络中的安全威胁,对威 胁的恶意行为实现早期的快速发现,对受害目标及攻击源头进行精准定位,对入侵途径及攻击者背 景的研判与溯源, 从源头上解决企业网络中的安全问题, 尽可能地减少安全威胁对企业带来的损失.

2 产品综述

360 天眼新一代威胁感知系统(以下简称 天眼 )可基于

360 自有的多维度海量互联网数据, 进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报.同 时结合部署在客户本地的软、 硬件设备,

360 天眼能够对未知威胁的恶意行为实现早期的快速发现, 并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源. 2.1 产品设计目标 由于日益频繁的 APT 攻击为企业内网带来了更多的安全威胁,而现阶段企业搭建的安全防御产 品对于未知威胁检测的能力明显不足,所以

360 天眼新一代威胁感知系统的设计目标是基于

360 自 有的多维度海量互联网数据,通过自动化挖掘与云端关联分析,提前洞悉未知安全威胁;

并通过在 客户本地部署的硬件设备,进行本地流量深度分析,实现未知威胁的早期快速发现;

对受害目标和 攻击源头进行精准定位,实现威胁入侵途径回溯,帮助企业防患于未察. 2.1.1 产品价值

360 天眼可以为用户带来以下几方面的价值:

1、 通过使用互联网数据发掘 APT 攻击线索,提升企业对威胁看见的能力

2、 以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助企业从源头上解决安全问 题