背景介紹
近年來�,網絡安全問題日益突出,各類不法組織和不法分子懷著種種目的��,使用各種手段進行網絡攻擊�����,致使網絡安全事件層出不窮��,給國家安全�、社會穩(wěn)定、人民生活造成嚴重影響�,有效防范和抵御網絡攻擊已成為保證網絡安全的重要環(huán)節(jié)。
當前安全態(tài)勢下�����,網絡黑產的產業(yè)化��、集團化應用趨勢明顯�;網絡成為某些惡意組織作惡的主要工具或者武器裝備,網絡威脅種類也更加復雜多變��,高級持續(xù)性威脅攻擊(APT)目前仍處于活躍和高發(fā)態(tài)勢�����。由于APT攻擊具有非常規(guī)的攻擊手法�、較長的攻擊周期、低頻度的攻擊行為及緩慢而持續(xù)的攻擊速度等特性��,傳統(tǒng)的安全事件感知機制由于原始攻擊日志的絕對數(shù)量無法達到觸發(fā)警報閾值��,而對APT攻擊不敏感��;而配套的APT檢測防御等設備應用門檻高�,落地效果一般��。
因此�����,傳統(tǒng)的安全防護體系和防護方式已經無法有效的應對有組織、由預謀且花樣繁多的安全威脅�。
FK01的解決之道
威脅情報成為輕量級的解決復雜網絡攻擊、威脅預警��、安全溯源的重要手段��。合理利用威脅情報�,實時共享安全情報信息,建立一套以安全情報驅動的�����,具備邊界實時預警和防御的體系平臺極為重要�。解決思路如下:
可靠準確的威脅情報來源
威脅情報是判斷威脅的主要依據(jù),因此��,需要保障威脅情報的準確性和可靠性�。FK01將通過公安一所的大數(shù)據(jù)分析中心實時更新威脅情報,來保障威脅情報的準確性和可靠性�����。
不改變原有架構的旁路阻斷
在不改變原有網絡結構的情況下,采用旁路部署模式�����,當監(jiān)聽檢測到威脅的同時��,可以通過另外一條通信鏈路�����,主動構造阻斷數(shù)據(jù)包分別發(fā)送至訪問端與服務端�����,達到攔截封禁攻擊的效果�。
多場景的阻斷策略
為了適應不用時期的不同需求,方便客戶能夠快速切換策略適應不同場景�����,簡化運維工作��,可以通過提前創(chuàng)建多種阻斷策略模板�����,比如重保場景、常規(guī)場景等�,并且能夠通過網頁配置進行一鍵切換。
基于語義分析的深層檢測
為了提高風險判斷的準確率��,在設備中內置了基于語義分析的威脅檢測引擎�����,通過威脅情報與本地檢測引擎的雙重檢測�����,提高防護效率和防護準確度�����。
產品架構
工作原理
FK01會通過公安一所的大數(shù)據(jù)分析中心實時更新威脅情報��,公安一所大數(shù)據(jù)分析中心的情報來源主要來自與分布部署的一千多萬個網防G01節(jié)點以及多個業(yè)內主流威脅情報平臺�,經過大數(shù)據(jù)分析中心進行匯總判斷后��,生成可用安全情報�,用戶可采用自動封禁或人工研判等方式對問題流量進行處置�,保證正常業(yè)務的安全運行�。
部署模式
旁路部署
FK01支持旁路部署,在不改變用戶網絡架構基礎上�����,通過采集鏡像流量實現(xiàn)實時的檢測分析�����,并實現(xiàn)威脅阻斷�����。通過將FK01旁路部署在出口路由交換設備鏡像側�����,實現(xiàn)對流量的實時監(jiān)聽�;同時接一路通信線路,通過主動構造數(shù)據(jù)包實現(xiàn)對威脅的實時阻斷�。
產品核心功能
準確的安全情報數(shù)據(jù)畫像
FK01的情報數(shù)據(jù)來自于公安一所的大數(shù)據(jù)分析中心,依托海量的安全告警日志��,對攻擊源進行全面的多維畫像分析,全面提取手段特征��、指紋特征�����、目標規(guī)律�����、時間規(guī)律等畫像信息�����,一方面為攻擊源打標簽��,方便聚類管理與行為分析��,另一方面用于威脅評分的計算分析�����。
威脅情報畫像包含IP攻擊類型(掃描��、暗網�����、代理�����、暴力破解�����、WebShell攻擊��、Web攻擊�、DDoS攻擊)、IP地理位置�����、IP攻擊時間等�����。
場景化的阻斷策略
FK01支持多種場景化策略:默認策略��、僅監(jiān)測策略��、日常防護策略、重保嚴格策略��。比如�,在重保期間需要優(yōu)先保證數(shù)據(jù)的安全性,可一鍵切換為“重保嚴格策略”��,自動阻斷所有情報IP與所有存在風險的攻擊行為�;在日常防護時期,可開啟“日常防護策略”,僅自動阻斷高危攻擊同時降低對業(yè)務的影響概率�;若客戶需要先測試下FK01產品的準確性,可采用僅監(jiān)測策略�,只對情報IP和攻擊行為進行監(jiān)測記錄阻斷。
主動防御技術
FK01支持在旁路部署監(jiān)聽的模式下�,對所發(fā)現(xiàn)威脅實行主動防御的技術,當檢測到風險情報后�,F(xiàn)K01可以模擬服務器端和客戶端通信細節(jié),主動構造阻斷數(shù)據(jù)包進行外發(fā)�����,中斷后續(xù)會話��,從而達到封堵的目的�。
攻擊流量識別技術
系統(tǒng)內置語義分析引擎��,通過對Payload內容進行深度解碼后,按照其語言類型匹配相應語法編譯器�,進而匹配威脅模型得到威脅評級,阻斷或允許訪問請求�。
威脅模型來自對各類攻擊數(shù)據(jù)的深度學習,對攻擊行為特征進行威脅定級�����,進而建立威脅模型��。隨著樣本數(shù)據(jù)的增加��,威脅模型越來越精準��。
與規(guī)則匹配型威脅檢測方式相比�����,智能語義分析技術具有準確率高��、誤報率低的特點�����,管理者無需維護龐雜的規(guī)則庫�,有效提高了防護工作效率�。
云天安全訂閱號
云天安全服務號
