通過(guò)失陷主機(jī)����、威脅情報(bào)�����、情景分析�、日志搜索和安全報(bào)告等核心功能���,慧眼云完成了支撐點(diǎn)的檢測(cè)和報(bào)告輸出�����?��;谕{行為階段和行為模型(與C&C服務(wù)器通信��、發(fā)起掃描攻擊等),慧眼云構(gòu)建主機(jī)失陷的確定性和威脅性的分?jǐn)?shù)�����,并通過(guò)失陷主機(jī)的威脅活動(dòng)分布���、詳細(xì)數(shù)據(jù)列表等逐層鉆取�����,進(jìn)行整個(gè)失陷過(guò)程的還原�����,找到對(duì)抗方法���。基于威脅情報(bào)的整合����,慧眼云可以勾畫(huà)出攻擊者的畫(huà)像,預(yù)測(cè)將來(lái)可能發(fā)生的攻擊��。涉及主機(jī)類型、連接方向����、源地址、目的地址等屬性的情境分析����,則能夠自適應(yīng)的建模出客戶當(dāng)前業(yè)務(wù)下的安全威脅模型,從而更有針對(duì)性的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常���?�;垩墼七€支持幾秒內(nèi)完成幾十T的數(shù)據(jù)搜索��,讓安全人員可以進(jìn)行快速的事件定位和回溯����。
這些功能的具體演示�����,請(qǐng)點(diǎn)擊閱讀:深度體驗(yàn)慧眼云���,探秘國(guó)內(nèi)失陷主機(jī)檢測(cè)系統(tǒng)��。這里要說(shuō)的是���,失陷主機(jī)�、威脅情報(bào)和情境分析功能的存在��,對(duì)于慧眼云能夠“慧眼”預(yù)測(cè)未知威脅來(lái)說(shuō)功不可沒(méi)�����,而基于統(tǒng)計(jì)關(guān)聯(lián)分析��、機(jī)器學(xué)習(xí)的異常行為檢測(cè)技術(shù)�����,則是這三項(xiàng)功能的核心所在�。例如�����,通過(guò)對(duì)基于大數(shù)據(jù)分析平臺(tái)�����,融合外部情報(bào),NS-TIP威脅情報(bào)生產(chǎn)平臺(tái)才能夠給出惡意IP����、惡意URL、惡意DNS�、惡意行為,并還原攻擊者組織�、攻擊目的、行業(yè)覆蓋度���、活躍程度等信息���。全方位、多角度對(duì)海量數(shù)據(jù)的深度挖掘����、關(guān)聯(lián)和聚合,是精準(zhǔn)識(shí)別�����、感知的保證���?��;垩墼频讓拥拇髷?shù)據(jù)分析架構(gòu)如下圖所示�。
大數(shù)據(jù)分析涵蓋流量日志����、威脅日志、應(yīng)用日志和用戶日志�����,談到這些數(shù)據(jù)源就不能不提到云計(jì)算技術(shù)對(duì)本地用戶異常行為的收集�����,這也和慧眼云的部署模式有關(guān)���。網(wǎng)康慧眼云整體解決方案包含慧眼云和NGFW兩部分,支持公有云�、私有云兩種形態(tài)。NGFW 既可以設(shè)置為鏡像模式����,作為慧眼云的獨(dú)立探針;也可以串接,作為網(wǎng)關(guān)�����、網(wǎng)橋,不但作為慧眼云的探針�����,也作為安全管控設(shè)備����,進(jìn)行安全阻斷管理。
公有云部署模式下���,客戶可以在互聯(lián)網(wǎng)邊界�、內(nèi)網(wǎng)邊界����、數(shù)據(jù)中心邊界分別部署NGFW 防火墻,這些NGFW實(shí)時(shí)地將網(wǎng)絡(luò)中的各種安全日志上傳到公有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析���。私有云模式用于安全日志量過(guò)大的用戶��,他們可以在互聯(lián)網(wǎng)邊界�����、內(nèi)網(wǎng)邊界���、數(shù)據(jù)中心邊界分別部署NGFW防火墻和其它內(nèi)網(wǎng)產(chǎn)品��,將這些設(shè)備產(chǎn)生的各種安全日志上傳到私有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析����。
小結(jié)
基于云和大數(shù)據(jù)技術(shù)�,慧眼云能夠?qū)W(wǎng)絡(luò)異常行為進(jìn)行實(shí)時(shí)、持續(xù)的檢測(cè)�,結(jié)合威脅情報(bào)系統(tǒng),發(fā)現(xiàn)網(wǎng)絡(luò)中存在的失陷主機(jī)�����,并采取對(duì)應(yīng)措施�����,防患于未然�����?��;垩墼仆ㄟ^(guò)對(duì)各種日志基于時(shí)間維度和空間維度的關(guān)聯(lián)分析�,發(fā)現(xiàn)用戶的異常行為����,鎖定潛在風(fēng)險(xiǎn),提高安全防御能力����。而通過(guò)對(duì)歷史數(shù)據(jù)的分析和鉆取,對(duì)已經(jīng)失陷的主機(jī)進(jìn)行完整的還原和過(guò)程回溯����,慧眼云可以為掌握攻擊過(guò)程、評(píng)估攻擊危害提供數(shù)據(jù)支撐�����,找到根本性對(duì)抗措施�。
