流量檢測助力執(zhí)行體治理

安天探海的實踐天流量安全產(chǎn)晶申心流量：攻擊者載荷投放與控制實施的交火空間偵查偵查定制投放利用安裝控制行動分析攻擊擊面準(zhǔn)備后門和滲入途徑發(fā)起攻擊并注入后門觸發(fā)后門或漏洞利用實現(xiàn)在受害機器的長期隱蔽建立遠(yuǎn)程控制機制執(zhí)行預(yù)定成目標(biāo)Page4別作摸清家底：梳理執(zhí)行體的網(wǎng)絡(luò)行為底數(shù)別作為質(zhì)判動作傳輸信譽依托下一代引擎判動作傳輸信譽道鑰泄露等可疑點 鑰泄露等可疑點源來來源可管理網(wǎng)絡(luò)對資產(chǎn)記錄、網(wǎng)絡(luò)了解的要求個人電子設(shè)備和個人電子設(shè)備和移動介質(zhì)管理遠(yuǎn)程訪問絡(luò)訪網(wǎng)可）達(dá)備性抵設(shè)(里程碑6：管理網(wǎng)絡(luò)之一里程碑7：管理網(wǎng)絡(luò)之二代理和防火墻事件響應(yīng)和災(zāi)難恢復(fù)計劃保護網(wǎng)絡(luò)病毒掃描和主機入侵防御里程碑1：準(zhǔn)備記錄可執(zhí)行內(nèi)容配置和變更管理靜態(tài)數(shù)據(jù)保護映射網(wǎng)絡(luò)控制網(wǎng)絡(luò)記錄網(wǎng)絡(luò)管理備份策略安全政策培訓(xùn)規(guī)劃可管理網(wǎng)絡(luò)的路線圖[1]l完整準(zhǔn)確記錄網(wǎng)絡(luò)及其中的設(shè)備、協(xié)議、配置等信息并保持持續(xù)更新l具有健全的網(wǎng)絡(luò)安全架構(gòu)、訪問控制規(guī)程、設(shè)備管理流程及用戶權(quán)限約束l具備完善的補丁管理流程和基線狀態(tài)管理措施等[1]：《可管理的網(wǎng)絡(luò)計劃指南V4.0》資產(chǎn)列表業(yè)務(wù)流量/管理流量摸清家底：網(wǎng)絡(luò)暴露面梳理，收束端口、協(xié)議，支撐管控資產(chǎn)列表業(yè)務(wù)流量/管理流量通聯(lián)規(guī)則違例情況.發(fā)現(xiàn).非服務(wù)器區(qū)的開放端口.協(xié)議與登記不一致.久未活躍資產(chǎn)/未登記資產(chǎn).協(xié)議信息記錄不準(zhǔn)確.管理網(wǎng)絡(luò)非帶外管理情況.訪問控制規(guī)程違例.用戶權(quán)限約束不準(zhǔn)確..持續(xù)更新網(wǎng)絡(luò)記錄存儲及分析全要素解析結(jié)果場景規(guī)則擎存儲及分析全要素解析結(jié)果場景規(guī)則擎標(biāo)簽結(jié)果場景場景……交心機核換交公機辦換機支分構(gòu)區(qū)入關(guān)接網(wǎng) 器器庫應(yīng)對攻擊者的重要防線交心機核換交公機辦換機支分構(gòu)區(qū)入關(guān)接網(wǎng) 器器庫 區(qū)區(qū)區(qū)區(qū)關(guān)器器關(guān) 威脅檢測10101110010100100100100100100101001010100101010010010100001010011001001100110000011100000000110000000110011001文件行為記錄會話賬戶信息域名0000100000000000000000001100110000100101010101010100111010101001010101110101001101威脅分布?通過威脅樣本追溯威脅源和傳播路徑；威脅檢測10101110010100100100100100100101001010100101010010010100001010011001001100110000011100000000110000000110011001文件行為記錄會話賬戶信息域名0000100000000000000000001100110000100101010101010100111010101001010101110101001101威脅分布?通過威脅樣本追溯威脅源和傳播路徑；中載荷高度定向、一次性投放； 全要素采集（豐富的檢測對象多維度檢測能力威脅標(biāo)注、追蹤與響應(yīng)C&CC&C檢測?獲取載荷行為能力，形成對惡意代碼的10010101011101010101011010101單一輸出10010101011101010101011010101單一輸出單一輸入1Virus/Win32.Virut.n傳統(tǒng)引擎主要是以單一對象為輸入，以單一結(jié)果為輸出。而隨著威脅的進(jìn)一步演進(jìn)和泛化，威脅檢測已不能僅僅停留在對單一對象進(jìn)行鑒定上。AVLSDK威脅檢測引擎多種輸入對象，多種輸出結(jié)果。威脅檢測多樣化。網(wǎng)絡(luò)層次檢測二進(jìn)制數(shù)據(jù)對象系統(tǒng)環(huán)境對象流檢測網(wǎng)絡(luò)信標(biāo)流檢測網(wǎng)絡(luò)信標(biāo)包檢測載荷本地層次檢測會話…多種輸入輸出1?核心行為?威脅行為輸出2?黑客組織名稱?別名攻擊目標(biāo)?攻擊領(lǐng)域?攻擊方式?活躍時間?利用漏洞?組織簡介輸出3ATT&CK框架信息初始訪問、執(zhí)行、持久化、發(fā)現(xiàn)、橫向移動、收集、命令控制、滲透“探?！睘槿诤贤{情報更豐富的要素采集需要更多維度向量以對抗攻擊者的繞過有效應(yīng)用向量級威脅情報，進(jìn)行豐富有效的威脅檢測安天威脅情報系統(tǒng)基于引擎覆蓋全球100萬臺網(wǎng)絡(luò)設(shè)備和超28億部智能終端的感知數(shù)據(jù)。以及持續(xù)對捕獲樣本的進(jìn)行動靜態(tài)分析，已構(gòu)建超百億級別威脅知識圖譜。經(jīng)過安天20年分析能力積累，持續(xù)輸出生產(chǎn)包括機讀情報和向量情報2類20余種威脅情報類型，以及標(biāo)識超過30種威脅類型情報。在高級威脅分析場景提供完整的運營級情報的同源關(guān)聯(lián)分析能力。在威脅檢測場景向全系統(tǒng)供應(yīng)向量級威脅情報。安天是國內(nèi)完整具備全域威脅感知、自主情報生產(chǎn)、高級威脅情報分析的全能力型情報廠商。支持輸入數(shù)據(jù)源?靜態(tài)分析數(shù)據(jù)?動態(tài)分析數(shù)據(jù)?多引擎分析數(shù)據(jù)?流量探針數(shù)據(jù)?端點感知數(shù)據(jù)?高級威脅情報支持輸出的情報類型機讀情報報向量級情報?指令級向量情報?API級向量情報?功能級向量情報?靜態(tài)引擎輸出情報?注冊表情報?數(shù)字簽名情報威脅類型?APT情報?僵尸網(wǎng)絡(luò)情報需安天下一代威脅檢測引擎支撐持續(xù)將經(jīng)驗轉(zhuǎn)換為標(biāo)簽規(guī)則，打造攻擊者無法預(yù)測的防線行為向量+標(biāo)簽多維度呈現(xiàn)2.傳遞標(biāo)簽背后的知識通過識別class文件傳輸探?？芍苯影l(fā)現(xiàn)Log4j漏洞利用成功事件基礎(chǔ)數(shù)據(jù)標(biāo)簽化、場景化，構(gòu)建定制化威脅守候能力流量協(xié)議環(huán)境自適應(yīng)，廣泛適配流量環(huán)境，支撐治理。旁路處理時上游報文鏡像報文丟失、路由牽引導(dǎo)致的流量?對請求向、響應(yīng)向、控制流、?對請求向、響應(yīng)向、控制流、數(shù)據(jù)流進(jìn)行分別識別、分別提取元數(shù)據(jù)和識別威脅。?在較少的內(nèi)存占用的情況下，允許超大文件留存，無數(shù)據(jù)包丟失容忍，亂序包整理，MTU變化自適應(yīng)等功能。?當(dāng)在攻擊者使用較小MTU、IP分片或巨型幀的情況以規(guī)避協(xié)議分析的情況下，依然可以取得較好的協(xié)議識別效果?基于對各可能協(xié)議上下文的理解，智能判斷是否應(yīng)當(dāng)暫存數(shù)據(jù)報文，并在允許范圍內(nèi)等待后續(xù)報文。?基于對文件特征的理解，從流量中尋找文件的傳輸跡象，并嘗試從文件頭開始直接剝離文件內(nèi)容?對Metasploit等常見攻擊平臺進(jìn)行惡意控制木馬載荷傳輸時，對載荷的剝離和識別也能取得較好的效果。?有限的內(nèi)存對應(yīng)無限的亂序?基于對協(xié)議的了解，尋找報文中可用于標(biāo)志處理協(xié)議狀態(tài)的位置?基于標(biāo)志位置進(jìn)行重新定位。?無回溯，效率提升顯著Page19“探?！敝С值膮f(xié)議識別、元數(shù)據(jù)化與要素提取能力Page20自動流量特征收集，細(xì)粒度識別應(yīng)用流量行為Page21全面掌握資產(chǎn)、實現(xiàn)實體分析需要全要素支撐攻擊者意圖硬件資產(chǎn)數(shù)據(jù)資產(chǎn)軟件資產(chǎn)攻擊者意圖硬件資產(chǎn)數(shù)據(jù)資產(chǎn)軟件資產(chǎn)仿真資產(chǎn)外設(shè)資產(chǎn)指揮指揮、決策與控制匯聚匯聚、關(guān)聯(lián)、統(tǒng)計、分析模型與呈現(xiàn)關(guān)鍵防御動作矩陣系統(tǒng)環(huán)境識別系統(tǒng)環(huán)境策略塑造資源訪問拒止系統(tǒng)環(huán)境檢測緩解網(wǎng)絡(luò)環(huán)境識別網(wǎng)絡(luò)管控策略塑造配置加固連接拒止創(chuàng)建拒止流量環(huán)境檢測應(yīng)用環(huán)境檢測主機環(huán)境處置業(yè)務(wù)識別用戶識別加密環(huán)境塑造寫入拒止數(shù)據(jù)體檢測網(wǎng)絡(luò)側(cè)處置配置識別欺騙環(huán)境構(gòu)造執(zhí)行拒止用戶行為檢測環(huán)境與數(shù)據(jù)恢復(fù)暴露面/脆弱性識別加載拒止策略調(diào)整活動識別活動識別…………作用對象載荷服務(wù)……進(jìn)程地址地址 協(xié)議端口 用戶身份帳戶用戶身份帳戶權(quán)限權(quán)限TLSWEBVPNTLSWEBVPN…………配置脆弱點補丁配置脆弱點補丁…………邊界邊界應(yīng)應(yīng)流量流程流程用與被保護對象原生融合/安裝|基于載體設(shè)備部署|基于虛擬化資源部署單點管控/集中管控|無管控裝備載荷行為被攻擊者脆弱性檢測結(jié)果后果流量檢測支撐基于可管理網(wǎng)絡(luò)的資產(chǎn)安全治理聯(lián)動智甲，基于流量行為發(fā)現(xiàn)，支撐執(zhí)行體治理控制行為研判及控制發(fā)現(xiàn)受關(guān)行為研判及控制注的訪問行為固定證據(jù)定位相關(guān)固定證據(jù)主機 定位實體、進(jìn)程、模塊Page26基于對象化風(fēng)險描述形式通過決策模型抽取對象流量威脅抽取示意基于對象化風(fēng)險描述形式通過決策模型抽取對象流量威脅抽取示意協(xié)議信息環(huán)境信息&檢測信息&…文件信息&證書信息Cert告警策略&白名單規(guī)則歸類告警Domain…告警對涉及對象按攻擊方、受害方、攻擊工具/載荷的維度進(jìn)行描述和歸類，告警對涉及對象按攻擊方、受害方、攻擊工具/載荷的維度進(jìn)行描述和歸類，覆蓋對象類型包括