天眼未知威胁检测系统V
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全球百所大学被黑客入侵 12 万账户信息被窃取(教育)
索尼PSN平台7700万用户 数据泄漏(制造业)
信息安全事故后果
新型威胁的特点
技术未知
漏洞未知
0day
未知 木马
AET
手段隐蔽
APT
危害严重
传统安全防御体系全面失效
IDS 已死:早在2003年,Gartner 就已发表《IDS is dead》 FW 作用有限:网络安全早已不是访问控制这么简单的工作 AV 力不从心:未知病毒、恶意代码每天百万级的速度出现
网络流 量侦听
终端日 志获取
设备日 志获取
360大数据分析平台工作流程
大数据 存储
大数据挖 掘计算
历史数据 行为分析
网络行为 模型提取
行为 模型库
漏洞利用 攻击
隐蔽 信道
可疑 行为
APT 过程
直观展示检测结果
全面检测——文件、行为、邮件
强大的分析能力-告警
基于检测到的大量异常告警信息,天眼可以对未知威胁进 行全面地分析,有效定位
➢ 运行时主动防御 ➢ 异常网络访问行为控制 ➢ 大数据挖掘发现可疑通信
Fireeye
+
Bit9
中国的Fireeye: 360天眼未知威胁检测系统
完全覆盖Fireeye的所有检测能力 利用了更多、更有效的检测技术 动静结合技术能够更有效检测绕过沙箱的智能蠕虫 动静结合技术能够提前过滤安全样本,极大提高系
普遍观念:安全管理 = 安全产品 + 安全制度 问题:安全制度不被遵守怎么办?
产品:安全产品技术落后
基于单一特征匹配的传统安全产品在未知攻击 面前形同虚设 基于“黑名单”技术的传统安全产品在采用多 种AET技术的复杂攻击面前轻松被绕过
新一代安全防护体系如何搭建
新安全观念:产品 + 管理 + 服务
产品为基础、管理为保障、服务为补充
ห้องสมุดไป่ตู้统性能
360天眼产品框架
360天眼检测流程图
沙箱
沙箱
沙箱
沙箱
➢ 未知恶意代码检测 ➢ 0day漏洞利用发现
攻击 指令库
360云安全 中心
攻击感知引擎 QVM 云引擎
文件还原 流量侦听
QVM 启发 模型
文档 PDF 脚本 程序
360大数据分析平台: 完整回溯APT攻击过程
通过时间序列完整关联分析历史数据 回归检测历史数据,发现当时漏检的攻击行为 挖掘发现APT对抗、攻击阶段的隐蔽信道 挖掘行为模型,发现异常可疑行为 关联挖掘长期历史数据,完整回溯APT攻击过程
APT 肆虐
✓ 针对伊朗核设施的“震网事件” ✓ 针对跨国公司的“叶龙攻击” ✓ 针对Google的“极光攻击” ✓ 针对各国的“暗鼠攻击”
军事化信息战硝烟弥漫
传统安全防御体系的缺陷
观念:过于迷信安全产品
普遍观念:安全 = 安全产品 + 安全服务 问题:有防盗门就一定能够防盗?
体制:安全体系缺乏“管理”
新安全管理:产品代替惩罚
产品驱动管理,安全制度自动执行
新安全技术:动静结合应对未知威胁
机器学习、虚拟沙箱、内存跟踪有效防御APT
APT 攻击过程
目标锁定 信息采集
渗透
对抗、攻击
APT防御
防御手段
美国采用 的技术
技术上难防范,需要在管理 制度上解决
落地前检测:网络边界检测 落地检测:终端检测
运行时检测:终端检测
稳定可靠 专业易用 优质服务
360天眼未知威胁检测系统
近年重大信息安全事件
伊朗核电站遭受蠕虫病 毒攻击(军工)
CSDN用户信息泄漏多个 网站遭遇类似情况(IT)
韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失(金融)
美国电子商务网站 Zappos遭黑 2400万用 户信息被窃(互联网)
强大的分析能力-关联分析
强大的分析能力-攻击源
基于已检测到的 大量异常告警信 息,还可对未知 威胁的攻击来源 进行判定,使企 业可以及时采用 相应的防护策略
丰富的日志报表
灵活的用户管理
全面的系统配置
感谢聆听 Q&A
索尼PSN平台7700万用户 数据泄漏(制造业)
信息安全事故后果
新型威胁的特点
技术未知
漏洞未知
0day
未知 木马
AET
手段隐蔽
APT
危害严重
传统安全防御体系全面失效
IDS 已死:早在2003年,Gartner 就已发表《IDS is dead》 FW 作用有限:网络安全早已不是访问控制这么简单的工作 AV 力不从心:未知病毒、恶意代码每天百万级的速度出现
网络流 量侦听
终端日 志获取
设备日 志获取
360大数据分析平台工作流程
大数据 存储
大数据挖 掘计算
历史数据 行为分析
网络行为 模型提取
行为 模型库
漏洞利用 攻击
隐蔽 信道
可疑 行为
APT 过程
直观展示检测结果
全面检测——文件、行为、邮件
强大的分析能力-告警
基于检测到的大量异常告警信息,天眼可以对未知威胁进 行全面地分析,有效定位
➢ 运行时主动防御 ➢ 异常网络访问行为控制 ➢ 大数据挖掘发现可疑通信
Fireeye
+
Bit9
中国的Fireeye: 360天眼未知威胁检测系统
完全覆盖Fireeye的所有检测能力 利用了更多、更有效的检测技术 动静结合技术能够更有效检测绕过沙箱的智能蠕虫 动静结合技术能够提前过滤安全样本,极大提高系
普遍观念:安全管理 = 安全产品 + 安全制度 问题:安全制度不被遵守怎么办?
产品:安全产品技术落后
基于单一特征匹配的传统安全产品在未知攻击 面前形同虚设 基于“黑名单”技术的传统安全产品在采用多 种AET技术的复杂攻击面前轻松被绕过
新一代安全防护体系如何搭建
新安全观念:产品 + 管理 + 服务
产品为基础、管理为保障、服务为补充
ห้องสมุดไป่ตู้统性能
360天眼产品框架
360天眼检测流程图
沙箱
沙箱
沙箱
沙箱
➢ 未知恶意代码检测 ➢ 0day漏洞利用发现
攻击 指令库
360云安全 中心
攻击感知引擎 QVM 云引擎
文件还原 流量侦听
QVM 启发 模型
文档 PDF 脚本 程序
360大数据分析平台: 完整回溯APT攻击过程
通过时间序列完整关联分析历史数据 回归检测历史数据,发现当时漏检的攻击行为 挖掘发现APT对抗、攻击阶段的隐蔽信道 挖掘行为模型,发现异常可疑行为 关联挖掘长期历史数据,完整回溯APT攻击过程
APT 肆虐
✓ 针对伊朗核设施的“震网事件” ✓ 针对跨国公司的“叶龙攻击” ✓ 针对Google的“极光攻击” ✓ 针对各国的“暗鼠攻击”
军事化信息战硝烟弥漫
传统安全防御体系的缺陷
观念:过于迷信安全产品
普遍观念:安全 = 安全产品 + 安全服务 问题:有防盗门就一定能够防盗?
体制:安全体系缺乏“管理”
新安全管理:产品代替惩罚
产品驱动管理,安全制度自动执行
新安全技术:动静结合应对未知威胁
机器学习、虚拟沙箱、内存跟踪有效防御APT
APT 攻击过程
目标锁定 信息采集
渗透
对抗、攻击
APT防御
防御手段
美国采用 的技术
技术上难防范,需要在管理 制度上解决
落地前检测:网络边界检测 落地检测:终端检测
运行时检测:终端检测
稳定可靠 专业易用 优质服务
360天眼未知威胁检测系统
近年重大信息安全事件
伊朗核电站遭受蠕虫病 毒攻击(军工)
CSDN用户信息泄漏多个 网站遭遇类似情况(IT)
韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失(金融)
美国电子商务网站 Zappos遭黑 2400万用 户信息被窃(互联网)
强大的分析能力-关联分析
强大的分析能力-攻击源
基于已检测到的 大量异常告警信 息,还可对未知 威胁的攻击来源 进行判定,使企 业可以及时采用 相应的防护策略
丰富的日志报表
灵活的用户管理
全面的系统配置
感谢聆听 Q&A