360天眼新一代威胁感知系统技术白皮书

访客:19983  发表于:2016-05-17 16:04:02

第1章 背景

近年来,具备国家和组织背景的APT攻击日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。

从2014年至今,360公司已发现了20多起APT事件,确认为针对科技、教育、能源和交通多个领域的定向攻击,影响全国近30个省市;发现的各类免杀木马超过10种,涉及Windows、Mac OS和Android平台。

关于APT攻击对我国造成的危害,在2015年5月360公司刚刚发布的APT攻击报告《数字海洋的游猎者 持续3年的网络攻击威胁》就有非常详尽的说明。

2012年4月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。根据该组织的某些攻击特点,360公司将其命名为OceanLotus(海莲花)。

在安全形势不断恶化的今天,企业所处的特殊位置,经常会面临来自互联网的攻击威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。

第2章 存在问题

2.1 传统防护手段面临失效

高级持续性威胁(Advanced Persistent Threat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。

针对伊朗核设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件服务器的“极光攻击”、针对RSA SecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局(NASA)喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪,几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束,在这些已公开的APT攻击中,依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例(如震网攻击、夜龙攻击)中,传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论,APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例,难以评估的严重损失的事实已经清楚告诉我们:传统安全设备无法抵御网络攻击的核武器:APT。

传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。

从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2 ~ 7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。

2.1.1 多变的攻击手段

这些由黑色产业链或国家驱动的APT攻击通常都具备强大的攻击手段和技术,且手法多样,在一次攻击过程中经常采用多种手段和技术混合使用,包括:社会工程学攻击、0day漏洞利用、免杀木马、定制化工具、逃逸技术等,寻找企业内部安全薄弱环节,所以可以屡屡得手、很难被发现。

图 1 多种手段及技术

2.1.2 攻击隐蔽性强

在大部分APT攻击中,攻击者针对不同的攻击目标会采用不同的策略,并在攻击前有针对性的进行信息收集,准备特定的攻击工具,攻击发起的整个过程时间可长可短,少则数小时,多则潜伏数月、数年,由于这些攻击均会使用高级免杀技术以逃避传统安全设备的特征检测,隐蔽性极强。

2.1.3 攻击目标明确

APT攻击往往具有明确的攻击目的,如窃取有价值的数据,破坏重要的系统等,由于传统防护手段很难对此类攻击有防护效果,一旦受到攻击,其对企业和单位所造成的危害也是直接而巨大的。

在安全形势极不乐观环境下,如何摆脱传统思路,寻求精确的APT攻击检测方法是亟需解决的问题。

2.2 免杀木马无法检测

木马(Trojan),也称木马病毒,是通过特定的程序(木马程序)来控制另一台计算机的软件。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。"木马"程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不"刻意"地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。在APT攻击中使用的木马通常为“免杀木马”,这类木马会利用加冷门壳、加花指令、改程序入口点、修改内存特征码等免杀技巧来避免自身被杀毒软件所查杀,

在OceanLotus(海莲花)事件中,境外黑客组织就使用了多款免杀木马,这些木马的感染者遍布国内29个省级行政区和境外的36个国家。OceanLotus免杀木马采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,成功逃过传统安全防御体系的检测,盗走相关单位的机密信息。

由此可见,如何检测免杀木马是应对APT攻击需要面对的一个问题。

2.3 大量内网数据无法有效利用

APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。但根据上文的分析,由于APT攻击的隐蔽性和特殊性,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视屏、图片、文本等等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。

因此,如何以恰当的方式长时间保存对安全分析有价值的流量数据,是检测、回溯APT攻击必须解决的问题。

第3章 方案思路

360公司采用基于大数据分析的威胁情报,多引擎沙箱检测与搜索引擎分析技术相结合的思路来解决以上的问题。

3.1 基于大数据分析的威胁情报平台

为保护企业的网络安全,避免重要机密和信息被窃,企业采购并配置了许多安全设备和安全软件,但是这些安全设备和安全软件均是防护已知威胁的,对于重点利用未知威胁的APT攻击防范能力较弱。企业若想提高对APT攻击的防护能力,需要建立基于大数据分析的威胁情报平台。

基于大数据分析的威胁情报平台,可通过对互联网上的海量数据进行深度挖掘,有效发现APT攻击,生成威胁情报。360在云端拥有海量的安全数据。DNS库拥有50亿DNS解析记录,每天新增100万; 样本库总样本95亿,每天新增900万;360 URL库每天处理100亿条,覆盖国内60%客户端;主防库,覆盖5亿客户端,总日志数50000亿条,每天新增100亿。

3.2 基于多引擎沙箱的本地检测系统

为了有效查杀网内的病毒木马,企业一般采购并配置防病毒网关和杀毒软件,但是该防病毒网关和杀毒软件对于免杀木马的查杀无能为力。为有效检测企业网内的免杀木马,企业应该建立基于多引擎沙箱的本地检测系统。

基于多引擎沙箱的本地检测系统可对APT攻击的核心环节“恶意代码植入”进行检测,与传统的采用基于恶意代码特征匹配的检测方法不同,基于多引擎沙箱的本地检测系统所采用的多引擎沙箱的方法可以对未知的恶意代码进行有效检测,这种利用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测,因为免杀木马是APT攻击的核心步骤,因此对未知恶意代码样本的有效检测,可以有效解决APT攻击过程的检测问题。

3.3 基于搜索技术的数据分析平台

为有效发现企业网络内部的安全问题,必然需要对企业网络内部的流量信息和终端的日志信息进行抓取,这必然带来如何在这海量的数据中快速搜索有用信息的问题。为了解决这个问题,企业应该建立基于搜索技术的数据分析平台。

基于搜索技术的数据分析平台可对本地抓取的海量数据进行快速检索从而进行高效分析,对内网的攻击行为进行历史回溯。在本地数据的存储和检索方面,360使用ElasticSearch检索平台做为基于搜索技术的数据分析平台基础,并进行了定制化修改,并配套了大量的检索和分析软件以对数据做到高效分析。

第4章 方案设计

360天眼新一代威胁感知系统(以下简称“天眼”)可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备,360天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。

4.1 方案架构

4.1.1 本地信息处理

本地信息采集是通过360天眼的传感器(采集设备)对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。

分析平台承担对所有数据进行存储、预处理和检索的工作。由于传统关系型数据库在面对大量数据存储时经常出现性能不足导致查询相关数据缓慢,天眼分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。

4.1.2 本地沙箱检测

360天眼通过检测器对文件进行高级威胁检测,威胁器可以接收还原自采集器的大量PE和非PE文件,使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁,并将威胁相关情况以报告行为提供给企业安全管理人员。检测器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。

4.1.3 云端威胁情报

4.1.3.1 大数据

360天眼依托360公司对5亿PC终端和6亿移动终端实时保护产生的海量大数据,以及全球最大的IP、DNS、URL、文件黑白名单四大信誉数据库,拥有全球独一无二的安全大数据优势,同时可以对互联网上活跃的任何一次未被发现的攻击进行记录。

360目前在云端拥有海量的安全数据。

图 5 海量情报数据

DNS库拥有50亿DNS解析记录,每天新增100万; 样本库总样本95亿,每天新增900万;360 URL库每天处理100亿条,覆盖国内60%客户端;主防库,覆盖5亿客户端,总日志数50000亿条,每天新增100亿。,给未知威胁发现提供完全真实网络环境下的大量数据支撑。

4.1.3.2 数据处理

通过DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,360天眼实验室在云端共搜集了200PB与安全相关的数据,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,PB级的搜索引擎的全网抓取数据、可视化的分析数据,以及其他多个维度的互联网大数据进行关联分析和历史检索,再结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据。依赖于以上不断运营,360天眼实验室掌握发现了国内最多的APT攻击组织信息、并不断的跟踪相关信息,海莲花(OceanLotus)报告便是其中成果。所有此类成果都是经过人工确认的准确结果,基本杜绝了误报的情况,同时360可以依赖于海量数据对攻击背景做出准确和充足的判定。

4.1.3.3 确认未知威胁

360无线安全研究院、360网络安全研究院、360网络攻防实验室、360漏洞研究实验室等以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性。

4.1.3.4 情报交付

为了将360云端的攻击发现成果传递到企业侧,360天眼系统将所有与攻击相关的信息,如攻击团体,恶意域名,受害者IP,恶意文件MD5等相关信息汇总,按照标准格式封装成威胁情报并通过加密通道推送到企业侧的天眼威胁感知系统。威胁情报做为天眼整个方案的核心内容承担了连接互联网信息和企业本地信息的重要作用,为APT事件在企业侧的最终定位提供了数据线索和定位依据。

4.1.4 天擎联动

天眼可以与360天擎终端安全管理系统进行联动,借助360天眼的深度检测能力,结合360天擎在终端上的精确防御能力,实现对PC终端的攻击防御。

天眼可以与360天擎终端安全管理系统进行联动,通过天擎细粒度的采集终端的软件行为日志上传到本地分析平台,通过360天眼的大数据分析能力和深度检测技术发现未知威胁的恶意行为,发送处理指令到天擎,天擎对有危害的终端进行处理,提高整体的精确防御能力,实现对PC终端的攻击防御。

天眼与360天擎终端安全管理系统联动,可以构建对以未知漏洞(0day)利用、未知恶意代码植入为核心的APT攻击过程从精确检测到深度防御的纵深防范体系。

4.2 详细设计

4.2.1 未知威胁检测及回溯方案

部署360天眼系统未知威胁检测及回溯方案中的检测方案可以帮助企业及时有效的发现未知威胁,提升管理人员对未知威胁的发现速度和效率,最大限度的降低企业受攻击后的损失,回溯方案可以记录内网的任何一次网络行为为回溯提供强大的支撑。

Ø 威胁情报:360天眼实验室在云端共搜集了200PB与安全相关的数据,涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,最终形成云端威胁情报下发本地进行检测。

Ø 本地检测:传感器负责将所有镜像流量进行还原分析,提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容,将文件通过加密通道传送到检测器;检测器对所有文件进行解压缩,格式检查后,将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。使用该方案后,可以有效发现网络中出现的漏洞利用行为,木马控制行为,同时沙箱检测还可以提供更多高级沙箱防逃逸技术以避免攻击绕过整个检测系统。

Ø 回溯:分析平台可以依靠自身独特的分布式搜索架构设计,将所有传送至此的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以在分析平台上快速的搜索到。如此,安全管理人员便可以利用该方案记录过去一段时间内出现的任何一次网络行为,发现任何一次网络行为中的具体细节,提升网络透明度及可视性,快速发现高级威胁结合本地系统进行准确溯源,牢牢掌握企业安全工作的主导位置,满足上级监管单位对于安全工作的溯源及定位要求。

4.2.1.1 部署拓扑图

图 6未知威胁检测及回溯部署图

4.2.1.2 解决的问题

在此方案中,对企业网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于天眼的数据平台,云端威胁情报和本地沙箱分析结果与本地分析平台进行对接,为企业提供基于情报和沙箱检测的威胁发现与溯源的能力。

360天眼分析平台可以实现与天擎系统的对接,可以收集客户端主机上的大量行为信息(包括:网络行为、进程信息、文件访问等),利用相关主机行为可以实现对网络攻击事件的完整回溯,可最终追溯到具体什么时间、哪个进程、哪个文件触发了怎样的攻击行为。

部署该方案后,可以为企业解决以下安全问题:

1. 检测发现传统防护手段漏过的未知威胁

2. 在隔离网络环境下检测未知威胁

3. 对企业内的海量数据进行安全分析

4. 对企业内已发现的问题进行攻击回溯

4.2.1.3 方案组件

天眼高级威胁检测方案组件包括:

ü 威胁情报(云端)

ü 网络传感器(硬件)

ü 沙箱检测器(硬件)

ü 威胁分析平台(硬件)

ü 天擎(软件)

4.2.2 高级威胁检测方案

部署360天眼系统可以有效帮助企业在攻击日益泛滥的今天,应对手段更加高明、目标性更加明确的高级威胁,为企业网络安全建设提供高级威胁发现及分析能力,有效应对当前环境下的新型安全威胁。

4.2.2.1 部署拓扑图

图 7 高级威胁检测方案部署图

如上图所示,该方案传感器可以部署于企业网络的3个不同位置,如下:

1、 办公网互联网出口,在此部署位置网络传感器通过镜像互联网出口流量,并将流量异常行为提交给检测器分析可以有效发现鱼叉攻击、水坑攻击等APT攻击常用攻击手段,并能最大限度发挥发现高级威胁的作用。

2、 对于某些封闭内网环境,存在从其他网络接口或U盘等便携设备接入当前网络的安全问题,该方案可以部署于封闭内网的核心交换机旁,对所有内部网流量中的文件传输进行分析。

3、 对于部分开放的服务系统,在其网络前端部署该方案也可提供威胁防护能力,可对HTTP、SMTP、POP3、FTP等服务中传输的文件进行高级威胁检测。

4.2.2.2 解决的问题

在该方案中,传感器负责将所有镜像流量进行还原分析,提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容,将文件通过加密通道传送到检测器;检测器对所有文件进行解压缩,格式检查后,将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。

部署该方案后,可以为企业解决以下安全问题:

1. 检测发现传统防护手段漏过的未知威胁

2. 在隔离网络环境下检测未知威胁

4.2.2.3 方案组件

天眼高级威胁检测方案组件包括:

ü 网络传感器(硬件)

ü 沙箱检测器(硬件)

备注:多台传感器可以对应一台检测器,实现分布式部署,但鉴于检测器的性能消耗巨大,并不建议如此使用。

4.2.3 网络行为追溯方案

部署360天眼系统可以帮助企业在高级威胁不断的今天对所有网络流量行为进行检测,提升网络透明度及可视性,快速发现高级威胁结合本地系统进行准确溯源,牢牢掌握企业安全工作的主导位置,满足上级监管单位对于安全工作的溯源及定位要求。

4.2.3.1 部署拓扑图

图 8 网络行为追溯方案拓扑图

如上图所示,该方案传感器可以部署在企业网络的任意网络位置,如:网络出口、核心交换、关键服务器出口等位置,配合在终端部署的360天擎客户端,为企业提供完整的网络行为检测及查询能力。

分析平台可以依靠自身独特的分布式搜索架构设计,将所有传送至此的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以在分析平台上快速的搜索到。如此,安全管理人员便可以利用该方案记录过去一段时间内出现的任何一次网络行为,发现任何一次网络行为中的具体细节,为攻击的回溯和发现提供了强大的数据支撑。

4.2.3.2 解决的问题

在此方案中,360天眼分析平台可以实现与天擎系统的对接,可以收集客户端主机上的大量行为信息(包括:网络行为、进程信息、文件访问等),利用相关主机行为可以实现对网络攻击事件的完整回溯,可最终追溯到具体什么时间、哪个进程、哪个文件触发了怎样的攻击行为。

部署该方案后,可以为企业解决以下安全问题:

1. 对企业内的海量数据进行安全分析

2. 对企业内已发现的问题进行攻击回溯

4.2.3.3 方案组件

天眼网络行为追溯威方案组件包括:

ü 网络传感器(硬件)

ü 威胁分析平台(硬件)

ü 天擎客户端(软件)

备注:多台传感器可以对应一台分析平台,实现分布式部署。同时为了满足不同客户对保全数据时间长短的不同需要,分析平台可支持水平扩展,增加设备即可实现存储容量和搜索速度的线性提高。

4.2.4 本地威胁发现方案

部署360天眼系统本地威胁发现方案可以帮助企业及时有效的发现威胁,提升安全管理人员的发现速度和效率,最大限度的降低企业受攻击后的损失。360天眼实验室在云端共搜集了200PB与安全相关的数据,涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,最终形成云端威胁情报,然后结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据,将帮助企业缓解难题。

4.2.4.1 部署拓扑图

图 9 本地威胁发现方案部署图

如上图所示,该方案在云端利用360威胁情报推送企业本地,配合本地部署的天眼系统传感器、分析平台和天擎客户端数据进行关联,为企业提供高效的本地威胁发现能力。

分析平台可以接收360威胁情报并将所有历史行为与威胁情报进行关联分析,利用360定制化推送的威胁情报,管理人员可以通过分析平台发现历史上曾经出现的网络攻击事件,并可从此类事件入手借助全量历史网络行为进一步分析,最终定位本地威胁。

4.2.4.2 解决的问题

在此方案中,对企业网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于天眼的数据平台,结合云端威胁情报与本地分析平台进行对接,为企业提供了一条发现威胁崭新新通道。

部署该方案后,可以为企业解决以下安问题:

1. 检测发现传统防护手段漏过的未知威胁

2. 对企业内的海量数据进行安全分析

3. 对企业内已发现的问题进行攻击回溯

4.2.4.3 方案组件

天眼本地威胁发现方案组件包括:

ü 威胁情报(云端)

ü 网络传感器(硬件)

ü 威胁分析平台(硬件)

ü 天擎客户端(软件)

备注:威胁情报支持在线和离线更新。

第5章 方案优势

传统的企业网络环境下在互联网出口处部署有防火墙,防毒墙,IPS等安全设备,用来隔离内外网,过滤来自外网的恶意程序,规范内网用户的上网行为,同时在DMZ区使用防火墙隔离,部署IDS监控对服务器的非法访问行为,在服务器上部署防病毒软件,保护核心服务器的安全运行。

基于企业现有安全防护手段,面对当前的未知威胁无法进行有效检测,APT攻击的检测及防范需求非常迫切。

5.1 全球首个基于大数据威胁的威胁感知系统

安全本是数据,数据驱动安全。

360天眼未知威胁感知系统是全球首个基于大数据威胁分析平台,云端威胁情报的未知威胁感知系统。

360公司凭借自身在互联网个人端多年的积累,拥有几十亿的恶意样本库,并掌握了国际范围内的DNS访问记录和IP地址分布,再结合部分外购数据库,360可以将数据覆盖到互联网上的每次访问,每个角落360为存储相应的数据,共使用4万余台服务器,总的存储数据量已经到达2000PB规模,真正实现了海量数据的处理。依赖于全面海量的数据,360可以分析发现恶意威胁在互联网上留下的任何蛛丝马迹,并能够根据任意已知线索发掘大量新攻击,新事件。

5.2 精细的立体检测综合分析

天擎是天眼威胁感知系统对终端信息的采集器。安装在用户PC机上的天擎客户端会采集终端内运行的进程、终端文件上传下载行为及终端邮件附件的上传下载行为等信息。这些信息会汇总到天擎控制中心,然后发送给天眼本地分析平台。天眼分析平台结合云端威胁情报对本地存储的数据进行自动化匹配后,可将威胁定位到终端内的具体进程,并确定终端内被攻击者窃取的具体文件。天眼发现未知威胁后会通知天擎控制中心,管理员可在天擎控制中心上对终端的威胁进行处置。通过天擎终端信息的抓取,即使攻击者通过加密方式讲内部重要文件外传,天眼依然可以有效地确认具体有哪些文件被攻击者所窃取,对攻击者为用户造成的损失进行精确定位。

5.3 高效的本地数据检索

当企业本地面对大流量数据的采集问题时,天眼系统仍然可以轻松应对,天眼分析平台所使用到的分布式计算和搜索引擎技术可以提供PB级的数据快速搜索能力,对企业本地侧的TB级数据可以做到随时搜索,随时查看,绝对杜绝传统存储和查找技术在应对大数据量时性能不足的问题。充分保证使用者能够享受到大数据带来的便利。

5.4 专业的专家运营团队

为了推进自动化分析技术的发展,并对未知威胁做最终定性和跟踪,360长时间维持了一个近百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,该团队成员的经验为云端分析系统的运行提供了宝贵输入,并支持了国内多次重大APT事件的深度挖掘和定位。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");