493333王中王开奖结果-王中王开奖一马中特

493333王中王开奖结果让不同类型的网络可以可靠地互相联接,王中王开奖一马中特拥有规模庞大的原创游戏,在这里您将享受的不一样快乐。

科技世界

当前位置:493333王中王开奖结果 > 科技世界 > 用 “大数据+AI”,构建威胁情报生态

用 “大数据+AI”,构建威胁情报生态

来源:http://www.soniaLorenzana.com 作者:493333王中王开奖结果 时间:2019-12-03 07:58

2019年5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。《信息安全技术 网络安全等级保护测评要求》中,首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。我们将分别从产品功能和技术要求的角度,介绍等保2.0中的威胁情报检测系统。

用“大数据+AI”,构建威胁情报生态

威胁情报检测系统是一类网络安全基础设施,对网络流量和终端进行实时监控、分析,应用威胁情报,机器学习,沙箱等多种检测方法,发现隐藏在海量流量和终端日志中的可疑活动与安全威胁,帮助企业安全团队精准检测失陷主机 ,追溯攻击链,定位当前攻击阶段 ,防止攻击者进一步破坏系统或窃取数据。

当前,网络安全威胁日益突出,勒索病毒、APT 等网络攻击愈演愈烈,呈现多样化、复杂化、专业化的发展趋势。《网络空间安全蓝皮书》称,网络冲突和攻击成为国家间对抗主要形式,就在刚刚发布的《2018年我国互联网网络安全态势综述》中数据显示,来自美国的网络攻击数量最多。

威胁情报检测系统已被证实在日常安全运维和重保活动 中发挥了关键作用。

如何有效地检测 APT 等网络攻击?利用威胁情报数据,借助大数据分析和人工智能技术,是目前最有效的手段。

从系统架构上讲,威胁情报检测系统与传统的基于规则的检测系统相比,有很大变革,至少需要具备如下八个模块:

安恒信息首席科学家刘博表示,从生产高质量威胁情报,到使用威胁情报完善安全体系,这个过程中充满各种挑战,难以依赖单方面的力量,这就需要构建完整的生态。

一、全流量的日志、文件提取与报警pcap存储:对网络全流量进行协议还原,提取网络流量日志与流量中的文件,对所有报警和可疑网络行为保存pcap以供后续分析,并提供可视化能力对机器的网络行为进行深度分析;

图片 1

二、威胁情报检测模块:分钟级别同步最新的专业威胁情报数据,并用于实时流量检测,情报包不只包含基础的失陷指标IOC,还应包含黑客团伙情报信息;

世界各国网络空间战略和政策也都指明了,需要加强网络威胁情报和信息共享能力建设。2015年,美国发布《国家安全战略》,设立“网络威胁情报整合中心”;欧盟发布五年《欧盟安全议程》(2015-2020),主要包括加强欧盟成员国之间的信息共享,增强欧洲刑警组织与各成员国的合作等。

三、机器学习模型检测模块:应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测,如数据窃取行为、隧道通信行为、DGA域名等;

安恒首席科学家刘博认为,网络空间威胁情报能力的建设,需要从融合威胁情报数据、“大数据+AI” 智能分析、协同处置等角度着手,形成流程的闭环。

四、恶意文件检测引擎模块:对流量中提取的文件应用本地的文件检测引擎,进行高效率的恶意文件识别;

融合:构建大数据多源情报生态

五、沙箱检测模块:对本地可疑文件,应用本地或者云端沙箱技术进行判定;

威胁情报能力的基础,是威胁情报的收集。安恒的威胁情报从何而来?主要包含以下几个渠道:

六、内网横向移动检测模块:支持接入内网流量发现内部横向移动行为;

  1. 云端监测:安恒玄武盾每日产生数亿攻击日志

  2. 全网蜜罐/流量捕获:美欧日等全球各地部署蜜罐流量探针

  3. 网络空间测绘:每周更新全球43亿资产信息

  4. 国内外开源/商用情报:200+开源与商用情报源

  5. 安恒用户分析情报:安恒各类设备,服务分析经客户允许后产生的精准情报

  6. 威胁情报联盟共享:CNCERT 等联盟情报共享

七、自定义情报检测模块:支持提供自定义情报功能,并应用于实时流量检测;

图片 2

八、攻击链回溯分析模块:对所有发现的各类威胁告警可以按照攻击链进行关联,完整回溯攻击过程。

图:多源威胁情报

从功能角度讲,威胁情报检测系统需要具有如下特点:

安恒信息依托 SaaS 监测服务、云防护服务、蜜罐网络、全球资产探测等能力,同时集成国内外200余家情报源,采用云沙箱、机器学习与专家分析等方式,提炼形成面向服务器安全的高质量威胁情报中心—— IoC 信誉库、网络资产库、安全事件库、专家情报库四大核心情报库。

一、快速检测威胁,精准定位被控主机。

细化来看:

传统边界防护设备在防御常见威胁上起到了重要作用,但不能防范所有的攻击行为,组织处于失陷状态已经成为企业安全管理人员的常识。而威胁情报检测系统的首要作用,就是基于威胁情报,补足传统边界防护设备在防御上缺失的环节, 在关键的“命令与控制”、“横向移动”和“行动数据窃取”等环节中发挥作用,快速检测出正在进行的威胁,并结合流量和终端监控,迅速、精准定位被控主机。

  1. 威胁捕获:捕获全球恶意攻击样本

二、追踪攻击链全过程,及时发现窃取数据与破坏系统行为。

安恒蜜罐虚拟出网络信息系统来吸引攻击者攻击,对恶意代码和攻击行为的信息采集和分析,形成安全威胁情报,集中到安恒数据大脑(态势感知平台威胁情报采集中心),为攻击检测策略提供参考。

威胁情报检测系统的核心能力是应用多种检测机制在出站的网络流量中发现访问远控服务器。检测机制包括应用远控类型的情报指标(IOC,Indicator of Compromise)、木马协议分析特征分析、恶意样本检测引擎、沙箱动态行为识别、基于深度学习算法的DGA检测和DNS隧道检测方法等多种方法。利用以上检测方法,不仅定位内部机器被控情况,也能够全阶段追踪网络威胁,及时发现网络内部的暴力猜解、横向移动、外连C&C等恶意行为,并检测出数据窃取、破坏系统和业务连续性、挖矿、劫持肉鸡等恶意行为。

  1. Sumap 网络空间测绘:发现全球资产风险

图片 3

Sumap 全球网络空间超级雷达,43亿 IP 扫描空间,利用全网快速扫描引擎,2小时全网极速扫描,完成全网资产探测、漏洞扫描和风险趋势分析。4年多的全球扫描数据积累,利用异步无状态的批量横向资产检测技术,形成全球资产指纹画像与风险库。

(桔色部分为威胁情报检测系统能力覆盖范围)

图片 4

三、提供丰富的报警上下文,清晰展现内网关联威胁和黑客信息,指导安全分析团队快速分析和响应

图:海量指纹与风险库

威胁情报检测系统能够清晰地归类威胁事件,并根据威胁情报提供丰富的威胁事件上下文信息,从而以攻击链的角度绘制出主机的行为地图,并通过可视化的方式将发现的失陷告警、关联主机、威胁类型、黑客组织等进行关联展示,呈现当前组织内的所有失陷情况及关联威胁。

  1. 国内外开源/商用情报/威胁情报联盟共享

那么,威胁情报系统要怎样挑选,才能让企业在合规路上不走弯路?

安恒数据大脑集成了开源情报、商用情报、战略情报、机读情报、威胁情报联盟共享等多维情报,形成威胁情报生态。

首先,要注重威胁情报的质量。 威胁情报检测系统的关键在于引入威胁情报,对于威胁情报质量的评判,全球权威信息化咨询研究机构Gartner提出了覆盖度、可执行力、专业性、准确度、可扩展性五个维度。尤其是准确度,是威胁情报质量中最重要的因素。因此,在评判威胁情报系统之前,要先评判系统的威胁情报来源,尽量选择在威胁情报领域专业度高、产品被广泛部署的厂商。

  1. 风暴中心云端情报

其次,做好POC测试验证。 威胁情报检测系统归根结底是一项网络安全基础设施,一个合理且完备的测试验证流程应该包括数据集收集、测试、验证三个阶段。

玄武盾云防护平台每天数亿的访问与攻击数据提炼高质量的漏洞利用,黑产组织,最新攻击样本等情报。先知云监测平台积累多年的资产,域名,指纹,漏洞,事件等情报数据,并实时对超过600万的重要系统监测。

数据集收集是企业需要收集和整理待测试用的数据集,找到合适的流量镜像点,提供给各个威胁情报检测系统厂商开展测试。数据收集阶段企业应该根据自身安全需求来确定最终测试的网络区域,尽可能接近最终应用情报检测系统的网络区域。测试阶段需尽应用真实的网络流量,尽可能让竞测的厂商使用同一份网络流量横向对比测试结果。在验证阶段,需要对发现的报警进行及时的分析、取证以验证准确性。验证过程不仅包括取证确认报警确实存在,也需要对比各厂商产品提供的事件信息,丰富的上下文是后续使用系统并保证良好阴影效果的基础,最终通过各家的检出率、误报率、上下文丰富程度等几个维度的评估结果,来确定最终的威胁情报检测系统供应商。

安恒信息将来源于网络空间测绘、大数据智能安全分析 、网络流量分析 、高级威胁监测 、用户行为分析 的本地化威胁情报,借助智能安全分析提炼高价值威胁情报,以提高安全事件的检测效率和精准度,辅助态势感知。

本文由493333王中王开奖结果发布于科技世界,转载请注明出处:用 “大数据+AI”,构建威胁情报生态

关键词: