御界高级威胁检测系统技术白皮书-腾讯企业安全
腾讯御点技术白皮书-Tencent
腾讯御点技术白皮书目录腾讯御点技术白皮书 (1)1产品定位 (3)2设计理念 (3)3产品市场分析 (4)4产品架构 (4)4.1部署架构 (4)4.2产品架构 (5)5产品主要功能 (7)5.1产品功能列表 (7)5.2产品主要功能描述 (11)6产品主要技术特性 (15)6.1腾讯TAV反病毒引擎 (15)6.2基于多步行为判断的主动防御技术 (16)6.3压缩包查杀技术 (17)6.4宏病毒专杀能力 (17)6.5主动防御 (17)6.6实时监控 (17)6.7U盘管控 (17)6.8隔离恢复 (17)6.9文件信任区 (17)6.10样本运营体系 (18)6.11升级服务 (18)7勒索病毒专项防护 (18)8评测升级与奖项 (19)9公司资质 (20)10产品资质 (21)1产品定位腾讯御点终端安全管理系统(以下简称“腾讯御点”)是腾讯公司提供的一款国际领先的企业级产品,其依托腾讯20年的安全实践和经验积累,采用了百亿量级云查杀病毒库、引擎库以及腾讯TAV杀毒引擎、系统修复引擎,可有效防御针对企业内网终端的病毒木马和漏洞攻击,为企业级用户提供终端病毒查杀、漏洞修复和统一管控等全方位的终端安全管理方案,可帮助企业管理者更好地了解内网终端安全状况,保护内网终端安全。
腾讯御点以更轻、更快、更准、更易用为首要研究方向,在降低用户终端资源消耗同时,能使病毒查杀更精准,有效防御病毒木马的入侵,帮助用户快速修复终端漏洞,并提供统一便捷的终端集中管控功能。
2设计理念●统一管控,智能预警腾讯御点可以实时收集终端上的各种安全状态信息,包括但不限于:补丁修复情况、内网风险情况、病毒库/终端版本分布信息、终端安全配置以及终端各种软硬件信息等,可以根据安全信息智能分析全网存在的安全风险并通过短信、邮件、微信等告警方式推送给安全管理员。
●多重防护,安全轻便腾讯御点会针对恶意文件和病毒木马在传播、运行、高风险操作等多个环节因地制宜的设立不同的检测机制,层层过滤确保不会遗漏可疑文件,并尽可能不影响机器运行的性能。
腾讯御知网络空间风险雷达
腾讯御知网络空间风险雷达白皮书目录1 产品介绍 (3)1.1 概述 (3)1.2 产品优势 (3)1.3 联动预警、自动执行 (4)2 产品功能 (5)2.1 企业资产测绘 (6)2.2 资产脆弱性分析 (6)2.3 网站漏洞监测 (6)2.4 网站篡改监测 (7)2.5 网站可用性检测 (7)3 产品使用 (8)3.1 产品部署方式 (8)3.2 产品使用场景 (8)1 产品介绍1.1 概述随着整个社会信息化的建设越来越全面,黑客攻击的事件越来越多,由黑客攻击所造成的威胁也越来越大。
互联网安全保护技术措施规定(公安部令第82号)很早就提出了对于网站安全防护的问题。
其中第九条、第三款规定:“开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复”。
除了网站安全,企业暴露在互联网上的各种资产也成为了黑客统计的突破口。
与此同时,企业内网存在大量安全问题,由于人们疏于防范,一旦企业被入侵,其横向感染速度非常快,给企业造成巨大损失。
面对这样的状况,企业面向互联网的网站以及资产是否安全?企业的内网是否安全?这两个问题亟待解决!腾讯御知网络空间风险雷达(简称腾讯御知),是由腾讯企业安全聚焦研制的一款企业风险监控与发现的一体化平台,是一款非接触式、基于资产发现,并持续监控其可用性、安全性、合规性的产品。
腾讯御知以黑客的思维和视角对企业网络进行整体扫描与检测以发现企业存在的安全风险。
1.2 产品优势腾讯御知,通过资产发现、风险扫描、站点监控等多个方面对企业网络风险进行探测,一旦发现问题,立即通知管理员进行相应的修复工作,确保企业能够有健壮的防护体系来面对已知的威胁。
资产发现:腾讯御知在资产发现方面使用了全球最先进的发现引擎,首先通过无感知的半连接快速的获取资产存活状况,然后通过高并发的访问来获取目标设备指纹,与系统指纹库进行匹配以获取设备详细信息。
风险扫描:腾讯御知使用了腾讯内部维护的漏洞库来进行风险扫描。
移动反病毒引擎白皮书
6
《AVL SDK for Mobile 反病毒引擎产品白皮书》
Overview
什么是移动恶意代码
随着移动操作系统、移动终端和移动互联网产业的高速发展,移动恶意代码也随之快速发展起来。移动互联 网操作系统和智能手机设备提供了比 PC 更丰富的通信能力和外设功能, 手机软件应用呈现出更加丰富的功能和形 态。目前,移动恶意代码通常被划分为“恶意代码应用”和“潜在有害应用” 。因此,我们对移动恶意代码的认定 采用广义的策略,即包括了“恶意代码应用”类型的 Trojan,Virus 和 Worm,也包括了“potential unwanted application”类型的 G-Ware,Tool,RiskWare,AdWare。对这些类型的移动恶意代码,它们的主要风险在下 面的表格中进行了概括。 Type Malware 类别 Trojan Worm Virus Potential Unwanted Application G-Ware RiskWare AdWare Tool 行为与风险 手机被远程控制,隐私泄露,手机资费损失,流量损失 利用手机的通信能力进行远程传播 在手机上感染其它程序并进行传播 被强行安装第三方应用,出现大量垃圾系统推送消息,出现垃圾广告 可能造成用户损失或具备较高风险的功能,例如,会在本地明文记录用户隐私,或是 可以接受远程控制强行卸载指定手机应用 包含广告件,可能导致隐私泄露风险或是其它风险 系统工具类或是黑客工具类,可能给系统带来稳定性风险
TABLE OF CONTENTS
OVERVIEW
............................................................. 1
什么是移动恶意代码 ....................................................................................................1 移动反病毒技术的高投入 ...........................................................................................1 世界顶级移动安全反病毒引擎 AVL ..........................................................................2 AVL SDK FOR MOBILE 是什么? .........................................
2019年9月 奇安信云安全管理平台产品白皮书
云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建,适用于云安全管理平台V2.0.3,文档版本2.0.3V1.0云安全公司版权声明:奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
免责声明奇安信集团,是专注于为政府、军队、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司,包括但不限于以下主体:北京奇安信科技有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司,以及上述主体直接或者间接控制的法律实体。
奇安信集团在此特别声明,对如下事宜不承担任何法律责任:1、本产品经过详细的测试,但不能保证与所有的软硬件系统或产品完全兼容,不能保证本产品完全没有错误。
如果出现不兼容或错误的情况,用户可拨打技术支持电话将情况报告奇安信集团,获得技术支持。
2、在适用法律允许的最大范围内,对因使用或不能使用本产品所产生的损害及风险,包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失,奇安信集团不承担任何责任。
3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失,奇安信集团不承担任何责任,但将尽力减少因此而给用户造成的损失和影响。
4、对于用户违反本协议规定,给奇安信集团造成损害的,奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。
御界高级威胁检测系统技术白皮书-Tencent
御界高级威胁检测系统技术白皮书目录第一章系统简介 (4)1.前言 (4)2.核心能力 (4)第二章系统架构 (5)1.架构设计 (5)2.产品部署模式 (6)高扩展性 (6)多模块自由组合 (6)低成本 (7)3.推荐硬件配置 (7)单机部署模式: (7)集群部署模式: (7)第三章系统特点 (8)1.攻击链条检出 (8)2.发现APT (9)3.威胁情报 (10)4.漏洞攻击检测 (10)第四章核心功能模块 (10)1TFA协议解析及检测引擎 (10)恶意流量模型检测 (10)异常域名检测 (10)网络攻击检测 (10)2文件还原模块 (11)3文件分析检测模块 (11)哈勃动态行为沙箱 (11)TAV杀毒引擎 (12)第一章系统简介1.前言随着移动设备的普及和云基础设施的建设,企事业单位积极拥抱数字化,加之万物互联IoT潮流的到来,网络安全在当前这个时间点需要重新定义。
经典的攻击方式还未落幕,层出不穷的高级攻击方式已经上演,在安全形势不断恶化的今天,即使部署了各式样的安全产品,也无法做到预防所有的威胁。
在网络边界处阻止所有的威胁固然是我们最希望看到的情况,但是这种同步的拦截方式受限于较高的性能要求和较少的信息量,很难独立成为一个完整的企业安全解决方案。
御界高级威胁检测系统(以下简称御界)在网络边界处采用镜像流量,旁路检测的方式,旨在发现企业受到的恶意攻击和潜在威胁。
2.核心能力御界基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,高效检测未知威胁。
也正因为丰富的数据和海量运算能力,在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。
真正高质量的攻击,比如APT攻击,大多是以新面貌呈现,基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。
恶意代码层面可以通过变形和加密来做对抗,远控地址和远程IP也是全新的,攻击的入口也不尽相同,可以是邮件收发和消息处理等用户行为,也可以是通过系统或者软件漏洞进入,但是入侵,潜伏,远程连接,远程控制等过程从行为上看是有很大的相似和关联性的,基于行为的检测方案比基于特征的检测方案站在更高的维度上。
联想网御UTM产品白皮书
联想网御UTM产品白皮书1. UTM产品简述1.1 什么是UTMUTM是统一威胁管理(Unified Threat Management)的缩写。
UTM设备是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备中,构成一个标准的统一安全管理平台。
UTM设备应该具备的基本功能包括VPN、网络防火墙、网络入侵检测/防御和网关防病毒等功能,这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如内容过滤、安全审计、安全管理、日志、服务质量(QoS)、高可用性(HA)和带宽管理等。
下图显示了UTM 系统平台上可能综合的多项安全功能。
UTM(United Threat Management)意为统一威胁管理,是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备中,构成一个标准的统一安全管理平台。
1.2 UTM的优点整合所带来的成本降低将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。
现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。
包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
降低信息安全工作强度由于UTM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署过程中可以大大降低强度。
另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。
同等安全需求条件下,UTM安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。
安恒信息明御WEB应用防火墙产品白皮书
1. 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。
Web网站也容易成为黑客或恶意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁。
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的工作报告显示:目前中国的互联网安全实际状况仍不容乐观。
各种网络安全事件与去年同期相比都有明显增加。
对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的,也不排除放置恶意代码的可能,导致政府类网站存在安全隐患。
对中小企业,尤其是以网络为核心业务的企业,采用注入攻击、跨站攻击以及应用层拒绝服务攻击(Denial Of Service)等,影响业务的正常开展。
2007 年到2009年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。
1.1常见攻击手法目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。
下表列出了这些最常见的攻击技术,其中最后一列描述了安恒WAF如何对该攻击进行防护。
表 1.1:对不同攻击的防御方法2. 现有的防御技术目前,很多企业采用网络安全防御技术对Web应用进行防护,如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施,然而这些方法难以有效的阻止Web攻击,且对于HTTPS类的攻击手段,更是显得束手无策。
2.1. 传统网络防火墙第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。
传统的防火墙无法阻止Web攻击,不论这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。
为了保障对Web应用的访问,防火墙会开放Web应用的80端口,这意味着Internet上的任意IP都能直接访问Web应用,因此web及其应用服务器事实上是无安全检测和防范的。
状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。
Leadsec-ISM V1.1 白皮书
内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理,功能不分模块销售。
实名制的管理与审计管理策略根据人员身份制定,做到策略到人,控制到人,审计到人,解决一机多人、一人多机的难题。
三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系,可最大程度上适应用户网络环境,提供方便的准入管理。
数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。
文件保密设置简单,移动存储加密保护,可保证私人专用要求。
全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址:北京海淀区中关村南大街6号中电信息大厦8层(100086) 公司电话:010-********服务热线:400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而,自网络诞生的那一天起,它就存在着一个重大隐患——安全问题,人们在享受着网络所带来的便捷同时,不得不承受着网络安全问题带来的隐痛。
天境移动应用安全检测系统白皮书(纯方案,34页)
目录目录 (1)第一章背景和行业分析 (3)1.1 移动应用安全检测背景 (3)1.2 行业分析 (4)1.2.1金融 (4)1.2.2政企 (4)1.2.3互联网 (5)1.2.4运营商 (5)1.2.5 IOT (6)第二章天境移动应用安全检测规范和原则 (6)2.1天境移动应用安全检测规范 (6)2.2天境移动应用安全检测服务原则 (7)第三章天镜移动应用安全检测系统 (8)3.1自动化安全检测服务 (8)3.1.1自动化安全检测技术 (8)3.1.2自动化安全检测范围 (14)3.1.3自动化安全检测流程 (19)3.2人工安全检测服务 (20)3.2.1 适用范围 (20)3.2.2核心逻辑调用跟踪 (21)3.2.3注意事项 (21)3.2.4测试用例评级说明 (22)3.2.5测试过程介绍 (26)3.2.6 Android客户端应用安全测试 (28)3.2.7 iOS客户端应用安全测试 (28)3.2.8 常用安全检测模块 (29)3.3漏洞挖掘服务 (29)3.3.1敏感数据漏洞挖掘 (29)3.3.2漏洞挖掘维度 (30)3.3.3 漏洞挖掘工具 (33)第四章 xx服务收益 (34)4.1 产品价值 (34)4.2 技术优势 (34)术语及缩略语第一章背景和行业分析1.1 移动应用安全检测背景随着移动互联网产业蓬勃发展, APP在企业中扮演了越来越重要的角色。
有资料显示,工信部发布2017年上半年我国互联网业务运行情况报告,移动互联网应用数量已超402万款。
越来越多的企业己经通过APP应用实现企业业务逻辑、核心经营业务逻辑等部署,完成了从PC向手机PAD等智能移动设备的迁移。
移动办公、移动交易己经成为企业必须部署的新方式。
具不完全统计,企业APP开发市场规模将突破百亿人民币。
企业APP给各大企业带来很大的经济效益的同时,核心的APP安全方面不容忽视,多数使用者都已经经历着流量无缘无故就没了、广告弹出、甚至不知何时就被安装了一些无关的APP应用,有的甚至被木马控制,发生自己淘宝等平台账号资金被盗。
御界高级威胁检测系统技术白皮书-腾讯企业安全
御界高级威胁检测系统技术白皮书目录第一章系统简介 (4)1.前言 (4)2.核心能力 (4)第二章系统架构 (5)1.架构设计 (5)2.产品部署模式 (6)高扩展性 (6)多模块自由组合 (6)低成本 (6)3.产品型号 (7)第三章系统特点 (7)1.攻击链条检出 (7)2.发现APT (8)3.异常流量感知 (8)4.勒索病毒检测 (9)5.威胁情报 (9)6.漏洞攻击检测 (9)第四章核心功能模块 (9)1TFA检测引擎 (9)入侵特征模型检测模块 (9)异常流量模型检测模块 (9)异常域名检测模块 (10)网络攻击检测模块 (10)2文件还原模块 (10)3文件分析检测模块 (10)哈勃动态行为沙箱 (11)TAV杀毒引擎 (11)1.前言随着移动设备的普及和云基础设施的建设,企事业单位积极拥抱数字化,加之万物互联IoT潮流的到来,网络安全在当前这个时间点需要重新定义。
经典的攻击方式还未落幕,层出不穷的高级攻击方式已经上演,在安全形势不断恶化的今天,即使部署了各式样的安全产品,也无法做到预防所有的威胁。
在网络边界处阻止所有的威胁固然是我们最希望看到的情况,但是这种同步的拦截方式受限于较高的性能要求和较少的信息量,很难独立成为一个完整的企业安全解决方案。
御界高级威胁检测系统(以下简称御界)在网络边界处采用镜像流量,旁路检测的方式,旨在发现企业受到的恶意攻击和潜在威胁。
2.核心能力御界基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,高效检测未知威胁。
也正因为丰富的数据和海量运算能力,在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。
真正高质量的攻击,比如APT攻击,大多是以新面貌呈现,基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。
恶意代码层面可以通过变形和加密来做对抗,远控地址和远程IP也是全新的,攻击的入口也不尽相同,可以是邮件收发和消息处理等用户行为,也可以是通过系统或者软件漏洞进入,但是入侵,潜伏,远程连接,远程控制等过程从行为上看是有很大的相似和关联性的,基于行为的检测方案比基于特征的检测方案站在更高的维度上。
网御防火墙技术白皮书V45
网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录1序言随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化。
之前的很长一段时间里,IT人员的工作主要是搭建网络基础平台,用户对信息安全的需求则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时甚至变成一种心理安慰,这一时期可以称之为信息安全1.0时代”而随着信息化发展的逐渐深入,信息化建设将风险推向前台。
尤其是随着信息化的发展,更多的工作平台、业务平台都搬上网络,网络从传输数据”进化到传输钞票”有时甚至是关系国家安全、社会责任等国计民生的重大内容,信息安全正式进入了 2.0时代。
在信息安全2.0时代”应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题,作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战。
网御防火墙适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方位保障业务的安全运行提供了有力的手段。
2产品概述网御防火墙是网御自主研发的核心产品。
1999年联想研究院设计并开发完成第一代防火墙产品。
网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。
目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障。
网御防火墙分为多核金刚万兆系列,超五系列、AISC系列、强五系列和精五系列,共计80余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。
超五防火墙基于创新的多核架构,使国内性能最高的万兆级防火墙。
ASIC系列具有强劲的小包处理性能,64 字节小包达到lOGbps,是国内为数不多的高性能防火墙之一;强五防火墙具备强大的安全功能,是集防火墙、IPSECVPN、SSLVPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、绿色上网、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。
APT防御产品_铁穹高级持续性威胁预警系统ppt课件
邮件告警 支持自定义告警策略
地图式告警,UI弹出式告警,邮件告警,声 音告警
未知
全流量回溯 攻击行为溯源 资产关联分析 事件关联分析
部署方式
支持 强。根据通信行为能够定位木马攻击路径。
支持
不支持
不支持
弱,只能检测攻击路径展示。
路径展示。
恶意代码(挂马、钓鱼邮件等)
用于检测APT攻击中的恶意代码,主要侧重 0DAY/NDAY的检测
用于检测APT攻击中的恶意代码,主要侧重 0DAY/NDAY的检测
优点:按照木马生命周期检测,采用多种木马
通信行为检测技术相互组合,能够检测木马生 优点:通过虚拟执行技术来检测0DAY和
命周期中植入、潜伏、活跃各个阶段的行为, NDAY漏洞,以及部分其他恶意代码。
• 规律域名解析 请求;
• 固定时间间隔 下内容一致的 通信行为
协议异常
• HTTP协议; • DNS协议; • 邮件类型协议
流量判断
异常访问次数
• 境外IP长时间 连接;
• 上下行流量比; • 传输总量; • 传输时间异常
• 内外网IP; • 域名访问; • URL访问
综合分析
• 数据关联分析 • 特殊筛选算法
全流量、大数据分析
通信数据全流量捕获分 析,对关键事件通信数 据进行存储,可完全回 溯事件过程。
主要特点
基于行为分析检测技术
通过对心跳信号、协议 异常、流量异常、访问 异常等行为进行分析, 识别木马通信行为。
事件、资产关联分析
铁穹对威胁事件和企业 重要资产进行关联分析, 准确定位攻击位置和意 图。
铁穹高级持续性威胁预警系统
东巽科技(南京)有限公司
Copyright © All Rights Reserved. 1
应用系统数据安全解决方案
应用系统数据安全解决方案目录1. 应用系统数据安全概述 (2)2. 安全挑战与风险分析 (3)3. 数据安全策略与框架 (4)4. 数据分类与敏感度评估 (6)5. 访问控制与权限管理 (7)6. 数据加密技术的应用 (8)7. 数据备份与恢复政策 (10)8. 安全审计与监控机制 (11)9. 数据丢失防护技术 (13)10. 应用系统网络安全分析 (14)11. 数据安全教育与意识提升 (16)12. 系统安全评估方法与工具 (17)13. 应急响应计划与数据恢复流程 (20)14. 第三方安全服务与合规性评估 (21)15. 数据法规与隐私保护措施 (23)16. 系统级安全加固与漏洞管理 (24)17. 接口与外部数据交换安全 (26)18. 异常检测与告警系统 (27)19. 全球化数据保护和跨境数据流动政策 (29)20. 敏感数据使用与处理中的隐私保护 (31)21. 数据主权与数据本地化要求 (32)22. 数据安全生命周期管理 (33)23. 行业特定数据安全指南与案例研究 (34)24. 未来趋势与技术创新对数据安全的影响 (36)25. 数据安全白皮书及技术支持文档 (38)26. 课程与教育资源参考 (41)1. 应用系统数据安全概述随着信息技术的快速发展,应用系统数据安全已成为企业面临的重要挑战之一。
数据安全涉及到数据的保密性、完整性、可用性等多个方面,是保障企业业务连续运行、维护企业声誉和资产安全的关键环节。
在当前网络攻击和数据泄露事件频发的背景下,构建一个健全的应用系统数据安全解决方案显得尤为重要。
重要性说明:数据安全不仅关乎企业的商业机密、客户信息安全,也涉及企业合规性问题。
在日益严格的法规要求和不断变化的网络威胁环境下,企业必须提高数据安全意识,全面加强应用系统数据安全防护措施。
本方案旨在为企业在应用系统数据安全方面提供全面的指导和建议。
数据安全的定义与重要性:简要介绍数据安全的基本概念,强调数据安全对企业的重要性,包括对企业资产保护、业务连续性、法规合规等方面的意义。
网御漏洞扫描系统技术白皮书_130301_李亚会
网御漏洞扫描系统技术白皮书北京网御星云信息技术有限公司目录1 概述 (1)1.1 遭遇漏洞危机 (1)1.2 面临的挑战 (3)2 产品综述 (5)2.1 产品客户价值 (5)2.2 产品系统结构 (5)2.3 产品主要特点 (6)3 产品功能 (7)3.1 资产发现与管理 (7)3.2 脆弱性扫描与分析 (8)3.3 脆弱性风险评估 (8)3.4 弱点修复指导 (9)3.5 安全策略审核 (9)3.6 构建统一管理体系 (10)4 产品特点 (11)4.1 全面 (11)4.1.1 丰富的漏洞知识资源储备 (11)4.1.2 覆盖面最广的漏洞库 (11)4.1.3 全方位的网络对象支持 (11)4.1.4 业界领先的数据库扫描 (11)4.1.5 多样化的结果报表呈现 (12)4.1.6 全行业的产品成功应用 (12)4.2 准确 (12)4.2.1 对象信息的准确识别 (12)4.2.2 漏洞信息的准确判断 (12)4.2.3 域管理模式下的准确扫描 (12)4.3 快速 (12)4.3.1 强有力的扫描效率保证 (12)4.3.2 漏洞库的快速持续更新 (13)4.4 自主 (13)4.4.1 完全自主知识产权 (13)4.4.2 领先的自主研究能力 (13)4.4.3 广阔的自主选择空间 (13)5 典型应用 (14)5.1 独立扫描 (14)5.2 统一管理 (14)6 总结 (15)1“漏洞”一词已经越来越为使用信息系统的人们所熟悉,这不仅仅是因为它本身的丑陋面目,更重要的是,它的存在使得各种威胁从四面八方蜂拥而至,致使信息系统遭受前所未有的灾难。
先不提时间较远些的“尼姆达”、“冲击波”、“震荡波”,就拿最近爆发的Conficker蠕虫1来说,深受其害的人没有一个不对它们印象深刻。
无一例外,这些大名鼎鼎的蠕虫或者恶意代码,都是利用系统漏洞广泛传播,进而对信息系统造成严重危害。
没有及时识别并修补这些被利用的漏洞,是信息系统最终遭受危害的根本原因。
360安全分析与响应平台_产品白皮书
360安全分析与响应平台产品白皮书目 录一. 引言 (4)1.1文档主题 (4)1.2适用范围 (4)二. 安全现状与挑战 (5)2.1安全现状 (5)2.2安全挑战 (5)三. 平台介绍 (7)3.1方案概述 (7)3.2方案内容 (8)3.2.1 态势感知 (8)3.2.2 仪表盘 (9)3.2.1 安全监测 (10)3.2.2 安全运营 (10)3.2.3 深度调查 (11)3.2.4 资产管理 (11)3.2.5 报告管理 (12)3.2.6 应急指挥 (12)3.2.7 情报管理 (13)3.2.8 数据规则 (13)四. 方案创新与价值 (14)4.1技术优势 (14)n城市级网络空间资产测绘 (14)n开放式数据理解技术 (14)n高级威胁情报赋能 (14)n攻击链分析推理 (15)n威胁图谱分析技术 (15)n安全编排自动化技术 (15)n高级专家协同防御 (16)4.2产品价值 (16)n安全大数据分析能力 (16)n智能敏捷安全运营能力 (17)n高级威胁情报监测能力 (17)n融合安全运营服务 (17)版权声明版权所有 ©2020 奇虎360公司版权所有。
本文档的内容,所有文本全部或部分均受版权保护,三六零安全科技股份有限公司是本文档所有版权作品的拥有者。
除非预先得到本公司的书面授权,否则严禁对本文档进行复制、改编、翻译、发布等等。
本文信息如有变动,恕不另行通知。
本文包含的信息代表目前三六零安全科技股份有限公司对本文所述内容的观点。
由于用户需求、市场和产品状况的不断变化,本文中的信息不代表三六零安全科技股份有限公司未来的观点,且不能保证本文的内容在未来时间的有效性。
三六零安全科技股份有限公司会根据需要不定期发布本文档的更新与修订本。
商标声明为三六零安全科技股份有限公司的商标。
本文中所提到的有关产品或公司的名称均可能为相关公司或机构的(注册)商标。
注意除非特别说明,本文档中出现的安全分析与响应平台的名称在本文档中均代表三六零安全科技股份有限公司一.引言1.1文档主题本文档主要介绍了360安全分析与响应平台的建设背景、平台概述、产品特点等几个方面内容,并对平台功能也进行了详细的介绍,以帮助读者对360安全分析与响应平台达到快速和全面的了解。
企业网络安全防护方案设计
企业网络安全防护 方案设计目 录一 概述 ..............................................................................................31 项目介绍 ...................................................................................32 公司介绍 ...................................................................................二 网络安全风险分析 ..................................................................................三 企业网络防火墙方案 .................................................................................63.1 需求分析 ..................................................................................63.1.1访问控制需求 .........................................................................73.1.2入侵检测需求 .........................................................................73.1.3安全评估需求 .........................................................................73.1.4安全服务 .............................................................................83.3 产品选型 ..................................................................................83 产品部署 ...................................................................................94 防火墙产品介绍 ..............................................................................94.1 防火墙产品特色 ........................................................................94.2 防火墙产品功能列表 ....................................................................四 产品报价 ...........................................................................................五 产品实施 ...........................................................................................1 实施计划 ...................................................................................10102 安装调试 ...................................................................................103 系统测试 ...................................................................................4 系统验收 ...................................................................................11六 售后技术支持和培训 .................................................................................成功案例 .............................................................................................一 概述1 项目介绍介绍用户企业的背景,业务方向,信息安全现状,面临的问题。
天融信安全运维服务-白皮书
目录1服务产生背景 (2)2服务概述 (2)3服务方式 (3)3.1驻场值守方式 (3)3.2定期巡检方式 (3)3.3远程值守方式 (3)3.4应急响应方式 (3)4服务内容 (3)4.1健康检查服务 (3)4.2安全事件审计服务 (4)4.3网络行为审计服务 (4)4.4运维监控与分析服务 (4)4.5敏感问题预警与告警服务 (5)4.6终端安全监控与策略优化服务 (5)4.7等级保护合规性运维服务 (5)4.8应急响应服务 (5)4.9安全通告、漏洞分析服务 (6)4.10知识库维护服务 (6)4.11服务器优化服务 (6)4.12数据库维护服务 (6)4.13功能性定制服务 (7)4.13.1报表定制服务 (7)4.13.2关联分析规则定制开发 (7)4.13.3设备解析定制服务 (7)4.13.4工单流程定制服务 (7)4.14产品升级服务 (7)4.15保修及延保服务 (8)5服务价值 (9)6天融信优势 (9)1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现,在经常出现的问题中,源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%,而管理流程失误、人员疏失问题占80%。
经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。
但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。
因此,用户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全运维服务,逐步构建动态、完整、高效的用户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高用户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。
用户安全运维中面临问题:➢信息管理部门的人员有限,员工的精力有限➢安全管理制度体系不完善,安全责任制落实不到位➢安全技术能力方面或多或少的存在一定的限制➢安全产品众多,维护、升级不及时➢海量安全事件无法及时处理➢异常操作行为无法及时预警➢处理大量安全事件经验不足➢外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端,天融信依靠长期从事信息安全运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL(最佳实践指导)、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准,建立了一整套信息安全运维管理的服务内容。
天网综合网络管理系统技术白皮书
3.9.1 3.9.2 3.9.3 4
软件环境.................................................................................................13 硬件环境.................................................................................................13 接入方式.................................................................................................13
4.1.1
资源统计报表功能.................................................................................19
4
天网综合网络管理系统技术白皮书
4.2
性能管理模块.......................................................................................书
公司介绍
广东天讯电信科技有限公司成立于 1993 年,注册资本 1 亿元,是中国通 信服务股份有限公司 (0552.HK) 旗下最大 IT 企业。 总部位于广州 CBD 珠江新城, 目前在北京、广州、东莞等地设有分公司,在全国各地设立了数十个办事处,业 务范围覆盖全国,有员工近千人。 作为中国网络安全行业的先锋企业,天讯科技一直秉承以客户为中心,以市 场为导向,从用户需求出发,通过技术创新、自主研发为用户提供高品质的信息 安全产品和专业化的信息安全服务。自主开发的"天网防火墙"是我国首个获得国 家公安部、国家信息测评认证的软硬件网络安全产品,其性能及技术指标达到甚 至超过了世界同类产品的水平。 天讯科技长期专注于信息安全领域的发展。 其核心价值是提供企业最优质的 信息安全解决方案与服务、防御病毒与黑客等威胁,避免信息被不正当访问及盗 用。由天讯科技创新提出的安全流量管理理念 STM (Security Traffic Management) 研发出一系列的网络安全产品解决方案,包括防火墙/VPN、防毒墙、SSL VPN、 行为管理、网络流量优化等系列安全产品能够协同工作,从而构建出确保信息安 全的环境,保障企业免于多样化威胁,达到全面安全的目标。 天讯科技先后与国内多所重点高校结成战略伙伴关系,联合成立研发中心, 为深入开展技术研究、产品开发、系统测试等工作提供了坚实基础,所共同研发 的新项目,分别得到了多项科技专项资金的支持。 通过科技、创新、服务使客户满意是我们永远的追求!
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
御界高级威胁检测系统技术白皮书目录第一章系统简介 (4)1.前言 (4)2.核心能力 (4)第二章系统架构 (5)1.架构设计 (5)2.产品部署模式 (6)高扩展性 (6)多模块自由组合 (6)低成本 (6)3.产品型号 (7)第三章系统特点 (7)1.攻击链条检出 (7)2.发现APT (8)3.异常流量感知 (8)4.勒索病毒检测 (9)5.威胁情报 (9)6.漏洞攻击检测 (9)第四章核心功能模块 (9)1TFA检测引擎 (9)入侵特征模型检测模块 (9)异常流量模型检测模块 (9)异常域名检测模块 (10)网络攻击检测模块 (10)2文件还原模块 (10)3文件分析检测模块 (10)哈勃动态行为沙箱 (11)TAV杀毒引擎 (11)1.前言随着移动设备的普及和云基础设施的建设,企事业单位积极拥抱数字化,加之万物互联IoT潮流的到来,网络安全在当前这个时间点需要重新定义。
经典的攻击方式还未落幕,层出不穷的高级攻击方式已经上演,在安全形势不断恶化的今天,即使部署了各式样的安全产品,也无法做到预防所有的威胁。
在网络边界处阻止所有的威胁固然是我们最希望看到的情况,但是这种同步的拦截方式受限于较高的性能要求和较少的信息量,很难独立成为一个完整的企业安全解决方案。
御界高级威胁检测系统(以下简称御界)在网络边界处采用镜像流量,旁路检测的方式,旨在发现企业受到的恶意攻击和潜在威胁。
2.核心能力御界基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,高效检测未知威胁。
也正因为丰富的数据和海量运算能力,在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。
真正高质量的攻击,比如APT攻击,大多是以新面貌呈现,基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。
恶意代码层面可以通过变形和加密来做对抗,远控地址和远程IP也是全新的,攻击的入口也不尽相同,可以是邮件收发和消息处理等用户行为,也可以是通过系统或者软件漏洞进入,但是入侵,潜伏,远程连接,远程控制等过程从行为上看是有很大的相似和关联性的,基于行为的检测方案比基于特征的检测方案站在更高的维度上。
智能模型也需要以行为传感器为基础,综合考量网络流量中的各种信息,协议,地址,端口,流量,连接频率等各种信息,来完成异常流量、异常行为的发现。
1.架构设计御界高级威胁检测系统架构图御界检测系统,以原始网络流量作为输入源,原始网络流量可以通过SPAN或者TAP方式输入。
经过TFA协议解析引擎分析(简称TFA引擎),可以解析原始网络流量中的应用层协议,同时还原应用协议中包含的文件内容。
TFA引擎支持多种协议的解析,包括HTTP、SMTP、DNS、FTP、SMB,NFS,SSH,TLS等,TFA 引擎文件还原能力,覆盖了可以产生威胁的任何文件类型,比如PE文件、脚本文件、压缩包、Office文档等。
对于加密协议后者其他私有协议,TFA引擎会解析流量的跨维特征,维度包括:时间维度(流量发生时间、流量持续时长等)、空间维度(流量节奏、数据包在流中分布等)这些跨维信息将会被推送到算法模型模块进行综合分析,智能鉴定。
对于可解析的协议,TFA引擎会深度解析协议内容,解析结果将会根据协议类型分发到不同的检测模块进行鉴定,目前已有的检测模块包括3个:恶意模型匹配模块通用的鉴定模块,针对全协议进行检测。
恶意模型匹配模块内置多个检测模型,包括APT检测模型、病毒木马检测模型、数据泄漏检测模型,可以完成对APT攻击,病毒木马攻击,数据泄漏等多种异常流量的快速检测。
异常域名检测模块,针对恶意域名的特征进行离线学习,产生高启发的识别模型,识别模型用于对各种协议中的域名进行预测式的检测,在恶意域名生效前域名智能检测模块就已经可以进行预判。
网络攻击检测模块,是针对入侵攻击的检测模块,专业度高,识别稳定,内置27类攻击的检测规则。
TFA引擎在深度解析协议内容的同时,也会还原协议中包含的文件内容,还原的文件类型覆盖了可以产生威胁的任何文件类型,比如PE文件、脚本文件、压缩包、Office文档等。
这些对网络有潜在的风险文件,将会被推送至高仿真沙箱,高交互行为沙箱具有丰富的软件环境,高强度的检测对抗手段,同时还会针对不同的恶意样本做针对性的行为触发,基于这些能力高交互沙箱能获取完整的行为报告。
流量引擎所有的产出结果(日志解析内容、协议检测结果、文件行为日志)将会被上传到运营管理系统,进行统一管理。
算法模型模块基于收集的内容会采用智能学习的方式对汇总数据进行综合判断,智能检测。
客户在管理系统中使用可视化模块和告警模块对安全问题进行跟踪。
2.产品部署模式御界高级威胁检测系统的部署模式高扩展性御界检测系统支持单机部署,所有的功能模块(TFA、检测模块、沙箱、SOC)部署在单机服务器上。
如果要扩展御界的吞吐能力,您可以选择集群部署,例如将高交互沙箱模块独立部署,这将大幅度提高未知威胁的检测能力。
多模块自由组合御界检测系统支持模块独立部署,例如您可以去除高交互沙箱模块,这将大幅度提高系统吞吐,同时也能满足基本的安全需求。
低成本我们提供免硬件的部署方式,客户无需支付额外的硬件成本。
3.产品规格第三章系统特点1.攻击链条检出对企业内网的一般攻击过程传统的企业安全产品可能更着眼于上述流程中的一个点或者两个点进行防护,比如端上的安全产品重点关注payload,防火墙重点关注远程连接的地址,端和防护墙的防护是完全割裂的。
腾讯御界系统从网络边界处的流量入手,通过对流量中的文件信息和连接信息进行综合分析,提供一种面向攻击链的检测体系,在每个攻击环节,部署检测探针,收集特征信息,交由算法模型汇总判定。
每次网络攻击的发生都是存在时序性和关联性的,腾讯御界可以从时间维度和空间维度将整条攻击链还原出来,可以让网络管理人员了解整个攻击流程,从而评估资产风险。
并且可以根据攻击链条发现内网安全的薄弱环节进行加固。
2.发现APT御界的沙箱技术以腾讯哈勃分析系统为核心,加之场景化的策略。
高仿真、深度分析是哈勃的主要特点,模拟真实用户环境,模拟用户交互,模拟网络环境,从而激发样本行为。
其中自研的监控模块,经过了海量样本行为分析的检验,监控广度与深度覆盖的全面性在和国内外各种动态分析系统的对比中均处于领先地位。
经过多年的积累,目前哈勃沙箱系统已经成为google virustotal指定合作伙伴,是google virustoal上唯一的动态行为分析能力的提供者。
行为安全评级的核心传统的轻量沙箱或者动态分析系统,仅仅把动态分析作为辅助判定的一种手段。
而哈勃分析系统通过多种不同的方式,对经过动静态分析的日志进行自动化的解析和处理,根据日志的内容对样本的安全等级进行判定。
在保证极低的误报率前提下,识别率处于国际领先水平。
3.异常流量感知御界异常流量分析系统利用机器学习和行为检测模型,可以精准识别网络会话异常、上行流量异常、下行流量异常,并可以识别蠕虫DDoS攻击、IP扫描、端口扫描、勒索病毒传播、web服务探测、邮件服务器探测等若干种恶意行为。
基于大数据的能力,可以有效识别异常敏感的网络通信,自动关联网络内安全状况,智能识别异常流量。
4.勒索病毒检测御界依托哈勃沙箱动态行为分析技术与动态环境深度模拟技术,可以对最新的敲诈勒索类病毒以及变种进行识别,并且无需像传统IDS/IPS一样依靠定期升级规则库。
动态环境模拟技术可以使敲诈勒索病毒在沙箱系统内运行时,智能分析并且满足勒索行为触发的所需条件,从而依靠动态行为分析技术识别。
5.威胁情报御界依托腾讯安全大数据中心,采集海量样本和哈勃分析集群产生的分析数据,从而生成威胁情报,通过在线或离线升级服务的方式,输送给御界各个子系统。
6.漏洞攻击检测基于特征的漏洞检测技术,只能应对历史漏洞的扫描和攻击。
面向攻击链的检测方式和深入全面的动态分析技术,使得御界在面对0day漏洞的攻击时,有更多的应对办法。
在浏览器漏洞,操作系统漏洞,Office漏洞等方面,腾讯反病毒实验室积累了丰富的经验,检测方法和模型在御界中都得以施展。
第四章核心功能模块1TFA检测引擎御界流量系统具有强大的网络协议识别和检测能力,基于TFA协议解析引擎,支持丰富的协议类型解析,包括HTTP,FTP,SMTP,SMB、DNS、SSH、TLS等,能够在协议解析层面对网络流量进行识别。
引擎对文件类型可以进行精准识别,可以甄别图片、压缩包、可执行文件、网页文件、脚本文件等多种文件类型并进行针对性处理,对于压缩包会尝试解压并提取其中的子文件进一步分析,甚至对于一些加密的压缩包也具备一定破解解密的能力具体而言。
入侵特征模型检测模块依托腾讯多年在网络入侵方面的技术沉淀,实时跟踪全世界互联网络中发生的网络入侵事件,分析入侵攻击过程及原理,及时发布漏洞攻击的行为特征及规则,加强入侵检测的能力,有效预警网络入侵事件。
异常流量模型检测模块异常流量分析模块将网络数据流作为数据输入源,利用机器学习与大数据的技术,鉴定数据流背后的行为企图,及时发现潜在的网络攻击行为。
该模块将资产关系自动识别纳入到学习范畴,并结合管理员指定的资产信息,利用资产属性及相互关系,智能识别非法访问流量,对不符合资产属性及访问关系的网络流量,进行敏感协议检查,有效提升风险警示能力。
采用多种聚类分析,结合时间特性、资产特性和行为特性,有效甄别蠕虫类网络攻击的攻击源和被攻击方,并通过协议图谱及报文图谱识别非规则类的潜在问题。
异常域名检测模块依托多年网络信息数据的采集积累,通过聚类算法,大数据分析,对网络流量中的域名进行精确识别,阻断恶意流量访问。
不拘泥于已有存量库,可以动态感知网络态势,将新的挂马网站和恶意域名归纳入库,具有实时性强,更新速度快等特点。
网络攻击检测模块通过日志智能关联分析技术,基于统计学习模型,针对网络流量参数值长度,字符分布,参数顺序,访问频率,访问时间间隔等等参数,通过异常打分模型将多个特征维度异常值融合,得到一个打分结果。
同时结合基于文本分析的机器学习模型,使用基于隐马尔科夫模型(HMM)的参数值异常检测对攻击行为进行最终判定,可以有效检测XSS攻击,SQL注入,暴力破解,缓冲器溢出攻击,文件上传漏洞,命令执行漏洞等。
2文件还原模块流量文件还原模块可以通过分光、镜像等方式部署于企业网关旁路,通过TFA协议解析引擎实时分析和解析网络协议数据包,还原数据文件,之后通过文件分析鉴定模块进一步识别。
流量文件还原模块对还原的文件类型可以进行精准识别,可以甄别图片、压缩包、可执行文件、网页文件、脚本文件等多种文件类型并进行针对性处理,对于压缩包会尝试解压并提取其中的子文件进一步分析。