时间:2021-12-07 10:04:41
系统概述:
网络保护一体机(AAD)集成了威胁情报、行为检测、入侵检测、病毒检测、沙箱等 7 款产品,护网行动期间,部署在电力、交通、市政、新闻广电、石油石化、电信运营、智能制造等行业用户的网络出口或关键网络节点处,以方案级的产品架构,系统性的解决护网行动中“攻击检测难”、“分析上报难”、 “溯源取证难”的问题。
网络保护一体机(AAD)将人工智能、大数据技术与安全技术相结合,实时分析网络流量,监控可疑威胁行为,内置多种检测技术,可对 APT 攻击链进行交叉检测和交叉验证。
网络保护一体机(AAD)除了具备常规的入侵检测功能外,还可以从网络流量中还原出文件(HTTP、SMTP、POP3、IMAP、FTP、SMB 等协议)并通过多病毒检测引擎有效识别出病毒、木马等已知威胁;通过基因图谱检测技术检测恶意代码变种; 还可以通过沙箱(Sandbox)行为检测技术发现未知威胁;对抽取的网络流量元数据,进行情报检测、异常检测、流量基因检测;最后将所有安全威胁进行关联分析,输出检测结果,对检测及防御 APT 攻击起到关键作用。
系统架构:
网络保护一体机(AAD)系统架构如图所示,网络保护一体机(AAD)监听口接收镜像/分光流量,通过 DPDK(即数据平面开发套件)对数据包进行快速处理以及硬件资源调度。通过筛选器过滤不必要的数据,将过滤后的数据进行二次处理,分别进行特征检测、元数据/文件提取、 流量存储处理等。通过特征检测引擎检测基于特征的已知攻击,通过元数据/文件提取实现检测数据预处理,通过流量存储实现数据留存取证。之后通过中间件将元数据和事件进行泛化处理,将处理后的数据提交至 AI 检测引擎、异常行为检测引擎、文件检测引擎、威胁情报检测引擎、(Yara/JA3/SSL)检测引擎、关联引擎进行集中检测,最后将检测结果以日志/告警形式输出。
威胁检测流程
网络保护一体机(AAD)业务处理流程如下图所示:
网络保护一体机(AAD)采集到的网络流量分别经由入侵检测引擎与行为检测引擎检测分析,入侵检测引擎能在内容、环境、应用层感知入侵。行为检测引擎对流量进行文件还原及元数据提取,还原出的文件通过内置的防病毒引擎对已知威胁进行静态检测;再通过基因检测技术对已知威胁的变种进行检测,并结合智能检测技术防止逃逸和躲避(AET),最后通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测。提取出的元数据则通过情报检测,检测恶意 IP/域名等;之后进行异常网络行为检测,如异常的内部和外部互联、C&C 通讯等,之后进行人工智能引擎检测,可对恶意加密流量、暗网流量、隐蔽隧道等进行检测。
产品亮点:
人工智能、大数据与安全技术的结合
网络保护一体机(AAD)采用了人工智能的机器学习/深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,并有效减少安全运维人员的人工识别工作量。
高效的网络异常行为检测技术
网络保护一体机(AAD)可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出 C&C 通讯、DGA 恶意域名、DDoS 攻击、SSH/FTP 暴力破解、SQL 注入、DNS/ARP 污染、漏洞扫描和漏洞攻击等网络恶意行为。
独特的基因图谱检测技术
通过结合机器学习、深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络 CNN 深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。并且该方法能够有效地检测使用特定封装工具打包(加壳)的恶意代码。
全面的已知、未知威胁检测
通过内置的下一代入侵检测引擎,Multi-AV 防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术对恶意代码的变种进行检测,通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测。
便捷的溯源取证能力
网络保护一体机(AAD)支持解析并存储 HTTP、DNS、FTP、SMTP、POP3、IMAP、SMB 等几十种协议的元数据,具有完整的追溯取证能力。通过可视化操作,可快速定位攻击者,并定位出攻击者的 IP、MAC、攻击方式、攻击协议,以及攻击目标等详细信息。
强大的处理性能
网络保护一体机(AAD)单台流量处理能力最高可达10Gbps, 文件处理能力最高可达 15 万文件/天,并可按需扩展处理能力。
产品特色功能:
网络流量分析(NTA)
网络保护一体机(AAD)具备独立的流量采集还原能力,可将采集到的网络流量解析还原并以元数据/pcap 的形式存储,实现元数据/pcap 的高性能采集和预处理。通过系统内置的多个检测引擎进行交叉检测交叉验证,对流量中存在的网络威胁进行精确有效的定位。
下一代入侵检测(NG-IDS)
网络保护一体机(AAD)支持基于签名的网络入侵行为检测;支持应用感知,能够准确识别常见网络应用协议;支持内容感知,能够还原 HTTP、SMTP、POP3、FTP、IMAP、SMB 等协议中的文件。
网络保护一体机(AAD)的下一代入侵检测功能能有效弥补目前安全设备(防火墙、IDS 等)对攻击识别能力的不足,能够精确识别应用、内容和环境等各层面攻击,如 Web 应用攻击、恶意提权、漏洞攻击、网络扫描等,大大降低现有 IDS产品的误报率,提升准确率。
网络行为检测(UEBA)
网络保护一体机(AAD)支持网络异常行为检测,支持 C&C 通讯和 DGA 域名检测,发现僵尸网络或被控主机;支持非法外联和数据外发检测,发现隐蔽通道和窃取数据行为;可以监测发现 DoS 和 DDoS 攻击、SQL 注入、跨站攻击等;支持传输层和应用层网络异常行为,自定义基线(模型)异常检测,例如异地登录行为、异常时间登录行为等;有本地和公网威胁情报关联等。
病毒木马检测(AV)
网络保护一体机(AAD)内置4个反病毒引擎,支持多反病毒引擎交叉检测,可以对已知威胁进行基于特征的静态检测和交叉验证,最终给出病毒木马家族检测结果。
沙箱(Sandbox)行为检测
网络保护一体机(AAD)支持基于沙箱行为的未知威胁检测,文件恶意行为模式库高于 700 个,处于行业领先水平。支持恶意文件的追溯取证和行为相似性聚类;支持各种主流的操作系统、浏览器、办公软件等虚拟运行环境。支持多种沙箱环境,包括 Windows 沙箱、Android 沙箱、Linux 沙箱、WEB 沙箱、Office沙箱、PDF 沙箱等,并支持数十种文件类型检测,包括 PE 文件、Office 文件、PDF 文件、网页文件、压缩文件、APK 文件等。
网络保护一体机(AAD)可基于沙箱技术对各种文件进行内容“引爆”,通过恶意行为模式匹配检测未知威胁,具有高检出率、低误报率、防变种、防逃逸等特点。
威胁情报(TI)检测
通过海量数据的采集、分析、验证获得威胁情报,内嵌于网络保护一体机(AAD)形成情报中心,并将从流量中提取出的域名、IP、URL 等与系统内置情报进行关联比对,进一步确认威胁来源的危害性,并支持 JA3、JA3S 和 SSL 恶意加密指纹检测。对于高级威胁,可以优先利用情报引擎进行过滤,及时告警。
人工智能(AI)检测
网络保护一体机(AAD)内置多个人工智能(AI)检测模型,支持对文件基因、流量基因、加密流量、暗网流量、Shadowsocks 流量、VPN 流量、DNS 隐蔽隧道、ICMP 隐蔽隧道、HTTP 隐蔽隧道、HTTPS 隐蔽隧道、DGA 域名、Webshell 网页后门、SQL 注入攻击、XSS 跨站脚本攻击进行检测。通过检测模型检测的方式可大幅度降低对特征规则数量的要求,具备更新频率低、数据量小、准确率高、误报率低、自动判断、人工干预少等优势。
高级持续性威胁(APT)检测
网络保护一体机(AAD)通过特征检测、行为检测、机器学习、深度学习、集成学习、强化学习的方式对安全数据进行有效的检测收敛降噪,并通过告警关联、情景关联的方式实现 APT 关联分析,进而迅速定位可能的 APT 攻击。
攻击链(Kill-chain)关联分析
通过网络入侵攻击检测、用户实体行为检测、流量人工智能检测、文件病毒木马检测、文件基因图谱检测、文件沙箱行为检测、情报黑白名单检测、关联分析&威胁画像、元数据回溯分析取证等技术构建攻击链关联检测交叉验证体系,以实现对扫描探测、网络钓鱼、漏洞利用、木马下载、远程控制、横向渗透、行动收割等攻击阶段的检测全覆盖,如图所示:
资产画像(Asset portrait)
网络保护一体机(AAD)通过对流量的检测分析实现资产发现,对引擎产生的元数据进行处理,采集主机基本信息(IP、MAC 地址、制造商、软件信息以及设备类型等),并关联该主机对应的威胁告警日志,对资产状态、资产存在的风险进行精确评估,实现对资产威胁的精准画像。
元数据(Metadata)采集分析
网络保护一体机(AAD)支持对流量进行网络层、传输层、应用层元数据提取,可解析还原 DNS、FTP、HTTP、IMAP、POP3、SMB、SMTP、SNMP、ICMP、DCE、RPC、DHCP、DNP3、IRC、krb、Modbus、MySQL、NTLM、RADIUS、RDP、RFB、SIP、SOCKS、SSH、SSL、Syslog、Oracle、Telnet、TFTP、TCP、UDP 等协议并以元数据形式存储,用于威胁的溯源取证。
全流量抓包(pcap)取证
网络保护一体机(AAD)支持全流量抓包功能,支持抓包策略配置,并支持深度包解析、BPF 规则过滤功能,有效的抓取 pcap 流量包留存取证。
