通過失陷主機(jī)����、威脅情報、情景分析��、日志搜索和安全報告等核心功能���,慧眼云完成了支撐點的檢測和報告輸出���?���;谕{行為階段和行為模型(與C&C服務(wù)器通信���、發(fā)起掃描攻擊等)���,慧眼云構(gòu)建主機(jī)失陷的確定性和威脅性的分?jǐn)?shù),并通過失陷主機(jī)的威脅活動分布���、詳細(xì)數(shù)據(jù)列表等逐層鉆取�����,進(jìn)行整個失陷過程的還原�����,找到對抗方法��?��;谕{情報的整合�,慧眼云可以勾畫出攻擊者的畫像�����,預(yù)測將來可能發(fā)生的攻擊���。涉及主機(jī)類型��、連接方向����、源地址���、目的地址等屬性的情境分析,則能夠自適應(yīng)的建模出客戶當(dāng)前業(yè)務(wù)下的安全威脅模型���,從而更有針對性的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常�����?����;垩墼七€支持幾秒內(nèi)完成幾十T的數(shù)據(jù)搜索���,讓安全人員可以進(jìn)行快速的事件定位和回溯�����。
這些功能的具體演示���,請點擊閱讀:深度體驗慧眼云,探秘國內(nèi)失陷主機(jī)檢測系統(tǒng)���。這里要說的是����,失陷主機(jī)�����、威脅情報和情境分析功能的存在����,對于慧眼云能夠“慧眼”預(yù)測未知威脅來說功不可沒�,而基于統(tǒng)計關(guān)聯(lián)分析����、機(jī)器學(xué)習(xí)的異常行為檢測技術(shù),則是這三項功能的核心所在���。例如����,通過對基于大數(shù)據(jù)分析平臺�����,融合外部情報���,NS-TIP威脅情報生產(chǎn)平臺才能夠給出惡意IP���、惡意URL�����、惡意DNS�、惡意行為���,并還原攻擊者組織、攻擊目的���、行業(yè)覆蓋度���、活躍程度等信息。全方位�、多角度對海量數(shù)據(jù)的深度挖掘、關(guān)聯(lián)和聚合����,是精準(zhǔn)識別、感知的保證���?;垩墼频讓拥拇髷?shù)據(jù)分析架構(gòu)如下圖所示���。
大數(shù)據(jù)分析涵蓋流量日志���、威脅日志、應(yīng)用日志和用戶日志,談到這些數(shù)據(jù)源就不能不提到云計算技術(shù)對本地用戶異常行為的收集�����,這也和慧眼云的部署模式有關(guān)�。網(wǎng)康慧眼云整體解決方案包含慧眼云和NGFW兩部分,支持公有云��、私有云兩種形態(tài)���。NGFW 既可以設(shè)置為鏡像模式��,作為慧眼云的獨(dú)立探針;也可以串接�,作為網(wǎng)關(guān)����、網(wǎng)橋,不但作為慧眼云的探針�����,也作為安全管控設(shè)備����,進(jìn)行安全阻斷管理。
公有云部署模式下��,客戶可以在互聯(lián)網(wǎng)邊界���、內(nèi)網(wǎng)邊界��、數(shù)據(jù)中心邊界分別部署NGFW 防火墻��,這些NGFW實時地將網(wǎng)絡(luò)中的各種安全日志上傳到公有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析����。私有云模式用于安全日志量過大的用戶�����,他們可以在互聯(lián)網(wǎng)邊界�����、內(nèi)網(wǎng)邊界�����、數(shù)據(jù)中心邊界分別部署NGFW防火墻和其它內(nèi)網(wǎng)產(chǎn)品��,將這些設(shè)備產(chǎn)生的各種安全日志上傳到私有云進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)分析。
小結(jié)
基于云和大數(shù)據(jù)技術(shù)����,慧眼云能夠?qū)W(wǎng)絡(luò)異常行為進(jìn)行實時、持續(xù)的檢測��,結(jié)合威脅情報系統(tǒng)����,發(fā)現(xiàn)網(wǎng)絡(luò)中存在的失陷主機(jī),并采取對應(yīng)措施����,防患于未然?��;垩墼仆ㄟ^對各種日志基于時間維度和空間維度的關(guān)聯(lián)分析�,發(fā)現(xiàn)用戶的異常行為�,鎖定潛在風(fēng)險,提高安全防御能力����。而通過對歷史數(shù)據(jù)的分析和鉆取,對已經(jīng)失陷的主機(jī)進(jìn)行完整的還原和過程回溯�,慧眼云可以為掌握攻擊過程�、評估攻擊危害提供數(shù)據(jù)支撐�,找到根本性對抗措施。
