360天眼新一代威胁感知系统产品技术白皮书
360天擎终端安全管理系统产品白皮书
360天擎终端安全管理系统产品白皮书北京奇虎科技有限公司目录一. 引言 (1)二. 天擎终端安全管理系统介绍 (1)2.1产品概述 (1)2.1.1 设计理念 (1)2.2产品架构 (1)2.3产品优势 (1)2.3.1 完善的终端安全防御体系 (1)2.3.2 强大的终端安全管理能力 (1)2.3.3 良好的用户体验与易用性 (1)2.3.4 顶尖的产品维护服务团队 (1)2.4主要功能 (1)2.4.1 安全趋势监控 (1)2.4.2 安全运维管理 (1)2.4.3 恶意软件防护 (1)2.4.4 终端软件管理 (1)2.4.5 外设与移动存储管理 (1)2.4.6 XP防护 (1)2.4.7 硬件资产管理 (1)2.4.8 企业软件统一管理 (1)2.4.9 终端流量管理 (1)2.4.10 终端准入管理 (1)2.4.11 远程技术支持 (1)2.4.12 日志报表查询 (1)2.4.13 边界联动防御 (1)2.5典型部署 (1)2.5.1 小型企业解决方案 (1)2.5.2 中型企业解决方案(可联接互联网环境) (1)2.5.3 中型企业解决方案(隔离网环境) (1)2.5.4 大型企业解决方案 (1)三. 产品价值 (1)3.1自主知识产权,杜绝后门隐患 (1)3.2解决安全问题,安全不只合规 (1)3.3强大管理能力,提高运维效率 (1)3.4灵活扩展能力,持续安全升级 (1)四. 服务支持 (1)五. 总结 (1)一. 引言随着IT技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。
与此同时各种木马、病毒、0day漏洞,以及类似APT攻击这种新型的攻击手段也日渐增多,传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要,主要突出表现在如下几个方面:1.1、终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件,导致终端木马、病毒泛滥,而且由于终端处于企业局域网,造成交叉感染现象严重,很难彻底清除某些感染性较强的病毒。
360天眼产品
基于人工智能机器 自学习的入侵检测
nbt引擎
检测结果
产生准确的入侵告警
告警信息存入分析平台, 与威胁情报告警信息相 辅助,作为攻击取证及 快速溯源的数据支撑
文件威胁鉴定器
• 多种不同引擎,多维度检测威胁 • 已知检测与未知检测相互补充 • 静态检测与动态监测相辅相成 • 准确的评分机制降低误报与漏报
天
特种木马类
眼
检
测
能
高级漏洞攻击类
力
可以通过特征检测的威胁
天眼的检测能力
覆盖威胁的全生命周期的本地检测能力
威胁
生命
进入
周期
网络
漏洞 利用
安装恶 意软件
远程 通信
横向渗 透/泄密
天眼 数据 采集
天眼 威胁 检测
传感器捕 获行为
天擎捕获行为
传感器多种引擎可以检测的入侵
传感器可以检 测PHP脚本
文件威胁鉴定可以发现问题
数据服务总线
威胁情报
存
储
ES 索引文件
SQL
分析语义统一
预处理
数据采 集
流量数据
归一化、数据抽取、转换、富化
终端数据
威胁情报数据
威胁情报 中心
流量传感器
流量采集
流 量 采 集
协议分析
DNS FTP HTTP SSL SMB
……
检测引擎
基于沙箱的webshell上 传检测
基于双向会话分析的 Web入侵检测
对于攻击威胁的信息,可以让我们了解高级威胁的全貌,并可以被抽象成可机读威胁情报(MRTI),用来
进行应对决策,并对威胁进行响应。
攻击特点
外链URL
360网站云监测系统
360网站云监测系统——产品白皮书█版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1前言 (5)2为什么需要网站监控 (5)2.1攻与防的博弈 (5)2.2安全思路的转变 (6)3传统网站安全监控的弊端 (6)3.1单一的探测源头 (7)3.2钓鱼网站探测盲区 (7)3.3漏洞探测技术陈旧 (7)3.4违规资产难以发现 (7)4360网站云监测系统介绍 (8)4.1产品概述 (8)4.2产品架构 (8)4.3产品原理 (9)4.3.1多引擎扫描技术 (9)4.3.2沙箱检测技术 (9)4.3.3特有搜索检测技术 (10)4.3.4最新漏洞舆情推送手段 (10)4.3.5可用性监控技术 (11)4.3.6DDOS攻击检测技术 (11)4.4产品主要功能 (12)4.4.1安全趋势监控 (12)4.4.2有效跟踪通报处理进度 (12)4.4.3报表管理 (12)4.4.4资产管理 (13)4.4.5用户管理 (13)5产品优势 (14)5.1产品优势 (14)5.1.1立体多维,监控服务更周到 (14)5.1.2持续监测,反复跟踪无死角 (15)5.1.3威胁情报,助安全一臂之力 (15)5.1.4集中力量,造网站安全护甲 (15)1前言近年来,我国互联网市场规模和用户数量高速增长,随着云计算技术迅速兴起、信息化的普及,越来越多的企业走进“互联网+”,大量的金融、游戏、电子商务、电子政务等网站业务陆续上线。
与此同时,我国的网站仍然存在较多的安全风险,Web服务日益成为网络攻击的重点目标,DNS攻击、暴力破解、零日漏洞利用、APT攻击依然让网站弱不禁风。
数据泄露、网页篡改、网页挂马、钓鱼攻击、拒绝服务等安全事件频繁出现。
信息外泄报警系统产品白皮书
全球眼信息外泄报警系统白皮书目录一、网络安全背景2二、信息外泄报警系统设计思想3三、信息外泄报警系统的体系架构4四、信息外泄报警系统主要功能54.1、核心功能54.2、报表统计54.3、客户端管理64.4、查询6五、信息外泄报警系统的特性75.1、隐蔽性75.2、针对性75.3、穿透性85.4、准确性8六、信息外泄报警系统的优势86.1、现有的防间谍软件系统86.2、和传统防间谍软件进行比较96.3、信息外泄报警系统的优势9七、产品的实际应用与适用范围107.1、产品的实际应用107.2、产品的适应范围10一、网络安全背景在当前复杂的国际形势和国际网络安全形势下,网络由于具有全球性、隐蔽性、灵活性、高速性和便捷性等特点,因此被越来越多的组织和个人用于开展间谍活动。
区别于传统的间谍活动,这种新型的网络间谍活动有以下两个特征:首先,计算机网络间谍隐蔽性好、不易暴露。
用计算机网络窃取情报几乎不留任何痕迹,通常也不会对目标计算机网络造成损害,因此很难被发现和分辨出来。
其次,计算机网络间谍工作效率高、威胁大,一旦计算机网络间谍侵入重要的计算机系统,特别是获得访问特权,他们就能够以此为基地,源源不断地获得大量的高度XX的信息,而受害者一方往往还不清楚自己所受的损失。
计算机网络间谍受空间、时间限制小,工作十分灵活。
国际互联网遍布全球,可以从网络的任一终端甚至通过公用进入目标计算机网络。
从理论上讲,计算机网络间谍可以从世界上任何一个有计算机网络的地方尝试进入敌方计算机网络。
如今,计算机与其网络以极快的速度渗透到社会的各个部门,越发达的国家越依赖于计算机网络。
而计算机网络恰恰是XX最集中的地方。
随着计算机网络的广泛使用,大量XX信息在计算机网络中存储或传输。
网络安全的重要性可见一斑。
二、信息外泄报警系统设计思想信息时代,计算机网络为间谍提供了快速、高效的手段,同时也引发了一场“反间谍”手段的革命。
信息外泄报警系统正是由此而设计。
新一代信息技术白皮书
新一代信息技术白皮书
新一代信息技术白皮书是指对当前和未来信息技术发展趋势、应用场景、技术创新和产业发展等方面进行系统性分析和总结的专业性文献。
这类白皮书通常由行业协会、研究机构、企业或政府部门等发布,旨在为相关领域的从业者、决策者和学者提供全面的信息和参考。
白皮书内容涵盖了信息技术的前沿趋势,如人工智能、大数据、物联网、云计算、区块链等,以及这些技术在各行业的应用案例和未来发展方向。
此外,白皮书还会对信息技术产业生态、政策法规、标准规范等进行深入分析,为行业发展提供战略性指导和建议。
总的来说,新一代信息技术白皮书是对信息技术发展趋势和应用进行系统性研究和展望的重要参考资料,对于推动信息技术产业创新和发展具有重要意义。
360态势感知与安全运营平台
360态势感知与安全运营平台产品技术白皮书█文档编号█密级█版本编号█日期1引言 (2)2产品设计目标 (4)2.1产品价值 (5)3产品关键技术 (6)3.1万兆网络及IPv4/IPv6网络环境下数据还原技术 (6)3.2数据处理与计算分析的自动化关联技术 (8)3.3规模化沙箱动态检测技术 (9)3.4基于大数据挖掘的恶意代码智能检测技术 (10)3.5基于搜索引擎技术的大流量行为检索与存储 (13)3.6云端基于大数据的APT发现与跟踪技术 (13)3.7可视化技术 (16)4产品组成与架构 (17)4.1产品组成 (17)4.2产品功能架构 (19)5产品功能 (20)6产品部署 (22)7产品优势与特点 (23)1引言近年来,关于APT(Advanced Persistent Threats,高级持续性威胁)攻击的报道日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪、卡巴斯基在 2014 年揭露的 Darkhotel 组织和 2015 曝光的方程式组织(Equation Group)等等。
2016年初,360天眼实验室发布了《2015年中国APT研究报告》。
报告中指出,截至2015 年 11 月底,360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个,其中15个APT 组织曾经被国外安全厂商披露过,另外14个为360威胁情报中心首先发现并监测到的APT组织。
中国是 APT攻击的受害国,国内多个省、市受到不同程度的影响,其中北京、广东是重灾区,行业上教育科研、政府机构是APT攻击的重点关注领域。
图1 APT组织主要攻击行业分布根据调研,我们发现这些APT攻击的受害者中几乎都是具备一定规模的企事业单位,而且都已经部署了大量的安全设备或系统,也有明确的安全管理规范和制度。
360天擎产品介绍PPT课件
安全运维管控
外设管理 违规外联 应用程序安全 网络安全 远程控制 桌面安全加固
安全 管控
资产管理
展示终端硬件信息 – 主板,CPU,内存,硬盘,设备SN
监控终端硬件状态 – CPU温度,硬盘温度,主板温度
实时监视硬件配置变更 – 内存、显卡、网卡、硬盘、显示器
资产管理
• 非法外联泄露重要信息 ……
PART / 03
功能价值
产品介绍
数据一体化
NGSOC、威胁情报 智慧防火墙联动 上网行为管理联动
功能一体化 防病毒、管控、准入 移动存储介质管理 补丁管理、XP防护、 EDR 平……台一体化
Windows&Server SUSE、Redhat 中标麒麟、银河麒麟、 Deepin
2016 年, 安全创新中 心共荣获微软、 谷歌、 苹果、 Ad o b e、 VM w are 等全球顶级 公司漏洞报告致谢4 0 8 次, 排名全球第一。
2015~ 2017, 360 安
全创新中心旗下团队在 世界黑客大赛中20 次 夺冠并创造多项历史。
2016 年, 360 安全创 新中心的研究成果先后 受邀参加Blackh at、 CSW 、 D ef-CO N 、 H ITB、 PacSec 等世界 顶级安全技术峰会7 1 次发表议题演讲102 个。
全面监控 量化风险
智能学习 不断进化
病毒趋势 漏洞趋势 风险等级
基于大数据 自学习 自进化
数据一体化、功能一体化、平台一体化 管家式服务
PART / 05
形态部署
天擎部署—典型部署
方案特点
适用于互联网环境的用户; 公有云病毒查杀,效果好,
360天眼新一代威胁感知系统案例
360天眼新一代威胁感知系统案例某大型央企是世界500强企业之一,拥有60多家全资、控股子公司,业务足迹遍及世界120余个国家和地区,同时也是国外黑客攻击组织进行APT攻击的重点目标之一,因此及时准确地发现其内网中的APT攻击,提升对未知威胁发现的能力是该大型央企信息安全建设的重要目标。
360天眼新一代威胁感知系统通过国内领先的威胁情报技术、高效的快速搜索技术和灵活的大数据存储技术为该大型央企提供了对内网中的安全威胁及时发现和溯源追踪的能力,大大提升了该大型央企的安全防护水平。
某大型央企为海莲花APT主要攻击目标,攻击者通过渗透省分公司网站发送伪装工作邮件,感染其办公终端,因集团内部建有内网专线互联机制,以致引发整个集团大面积终端感染病毒,导致企业级重要信息存在泄露的安全隐患,总公司出台了应急解决措施,将所有被感染分公司内网专线接口实行物理隔断,集团日常业务受到了极大的影响,集团高层非常关注该事件的进展,360安服团队紧急介入,在该大型央企总部核心交换处旁路部署360天眼新一代威胁感知系统,抓取镜像流量,对此次大面积病毒感染行为进行回溯分析,帮助客户还原了整个攻击的全貌,对受害目标及攻击源头进行精准定位,从源头上解决了此次重大安全事件。
事后该大型央企决定建立全集团的未知威胁检测与防护体系,其中最核心的组件就是360天眼新一代威胁感知系统。
通过部署360天眼新一代威胁感知系统,该大型央企可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,获取定制的专属威胁情报。
能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。
涉及整个集团的未知威胁检测与防护体系的建立,将使得该大型央企的信息安全防护水平得到巨大的提升。
360天巡无线入侵防御系统白皮书
360无线入侵防御系统产品白皮书© 2017 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents一. 前言 (4)二. 无线安全问题分析 (4)2.1企业自建热点 (5)2.2非企业自建热点 (5)2.2.1 其他企业热点 (5)2.2.2 员工自建热点 (5)2.2.3 恶意热点 (6)三. 无线安全防护的必要性 (6)四. 当前防护手段不足 (7)4.1缺少持续的检测工具 (7)4.2缺少有效的防护措施 (7)4.3缺少必要的审计手段 (7)五. 无线网络防护的基本要求 (8)5.1安全情况评估 (8)5.2及时发现热点 (8)5.3热点精确阻断 (8)5.4攻击行为检测 (8)六. 360天巡无线入侵防御系统 (9)6.1产品概述 (9)6.2产品架构 (9)6.3产品优势 (10)6.3.1 无线入侵实时监测 (10)6.3.2 恶意热点精确阻断 (10)6.3.3 安全事件智能告警 (11)6.3.4 黑白名单智能管控 (11)6.3.5 安全审计报表 (12)6.3.6 无线网络状况展示 (12)6.3.7 多区域管理 (12)6.3.8 精确定位跟踪 (13)6.3.9 产品独立部署 (13)6.4主要功能 (14)6.4.1 无线热点阻断 (14)6.4.2 无线攻击检测 (14)6.4.3 安全策略设置 (14)6.4.4 无线安全评估 (14)6.5产品部署 (15)6.5.1 部署架构 (15)6.5.2 无线收发引擎部署 (15)6.5.3 网络部署 (16)6.5.4 部署示例 (16)七. 技术支持体系 (17)一. 前言近年来,无线网络在企业中,发展迅猛。
360 新一代大数据智慧防火墙-技术白皮书
360新一代大数据智慧防火墙技术白皮书目录1.产品概述 (2)2.产品特色 (2)3.技术优势 (5)4.典型应用 (8)1.产品概述在信息化飞速发展的今天,网络形势正发生着日新月异的演变,层出不穷的新型威胁冲击着现有的安全防护体系。
传统的安全设备,一是以本地规则库为核心,无法有效检测已知威胁;二是没有数据智能,无法感知未知威胁;三是没有联动智能,无法对网络进行协同防御。
面对诸如0-day、APT及未知威胁等越来越多样化和层次化的攻击,逐渐变得力不从心。
归根结底,现在的安全和产品体系还在用单机的、私有的思路来解决网络的、公有的已知威胁。
而面对未知的安全威胁,我们不能再孤军作战,而必须是协同共享。
360新一代大数据智慧防火墙是360网神自主创新的新一代防火墙安全系统,基于360网神NDR(基于网络的检测与响应)安全体系。
在强劲性能与更先进架构的支撑下,集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能,并完成了与360天眼、病毒云查杀、未知威胁感知分析等多项智能协同防御功能。
是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的下一代安全防御系统。
2.产品特色2.1革命性的性能提升随着网络技术的发展,防火墙需要支持对应用层的过滤和威胁防护,如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。
区别于对称的多核处理结构,360新一代大数据智慧防火墙采用自主研发且优化后的异步处理结构AMP+,突破前者处理数据的瓶颈,更大程度上提升了防火墙的性能。
更高效的性能、更快速的转发速度是防火墙的基石,让集成的多种安全防护功能,在全面启用的情况下,仍然能轻松应对,保证极快的整体转发速度。
2.2应用层转发延迟有效降低360新一代大数据智慧防火墙采用完全自主研发的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术,使得整个数据的处理,包括应用层数据的处理、入侵防护等高级功能,都在数据平面完成,不涉及数据包的拷贝,进程切换等问题,同时数据的处理在整个转发阶段都使用同一个会话,实现数据包在4-7层的高性能转发,有效降低应用层转发延迟。
360态势感知与安全运营平台产品白皮书【模板】
360 态势感知与安全运营平台产品白皮书█文档编号█密级█版本编号█日期目录1 产品概述 (2)2 平台介绍 (2)2.1 产品组成 (2)2.2 产品架构 (4)3 技术特点 (6)3.1 全面的数据采集与分析 (6)3.2 大数据基础架构 (7)3.3 高性能关联分析 (7)3.4 丰富的威胁情报 (9)3.5 精准的多维度威胁检测 (9)4 产品功能 (10)4.1 威胁管理 (10)4.2 资产管理 (11)4.3 拓扑管理(收费模块) (11)4.4 漏洞管理(收费模块) (12)4.5 日志搜索 (12)4.6 调查分析(收费模块) (13)4.7 报表管理 (14)4.8 仪表展示 (14)4.9 态势感知(收费模块) (15)5 服务支持 (16)5.1 安全规则运营服务 (16)5.2 全流量威胁分析服务 (16)6 应用价值 (17)6.1 安全监控的范围更大 (17)6.2 威胁发现及时性提升 (17)6.3 安全管理效率提升 (17)6.4 降低宏观安全理解成本 (18)1 产品概述360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360 企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。
该系统利用大数据等创新技术手段,结合360 的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。
NGSOC 产品继承了360 企业安全集团下属网神子公司长期以来在SOC 产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC 产品。
360天眼新一代威胁感知系统产品技术白皮书
360天眼新一代威胁感知系统产品技术白皮书█文档编号█密级█版本编号█日期©2015 360企业安全集团密级:XXXX █ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
█ 适用性说明本模板用于撰写360企业安全集团中各种正式文件,包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
█ 版本变更记录目录目录 (2)1引言 (1)2产品综述 (2)2.1产品设计目标 (2)2.1.1产品价值 (2)2.2产品原理介绍 (3)2.2.1产品关键技术 (3)2.2.2关键技术实现的效果 (16)2.3产品组成与架构 (17)2.3.1威胁情报 (18)2.3.2分析平台 (18)2.3.3传感器 (19)2.3.4文件威胁鉴定器 (19)2.4产品模块间数据流程描述 (20)2.5产品型号及规格说明 (21)2.5.1产品型号与硬件产品实拍 (21)2.5.2各型号的关键功能规格说明 (22)3产品性能说明(待硬件平台更换后补充) (25)3.1天眼各模块产品性能说明 (25)4实施部署说明 (27)4.1未知威胁检测及回溯方案实施部署 (27)4.1.1未知威胁检测及回溯方案说明 (27)4.1.2所需设备说明 (27)4.1.3所需带宽说明 (30)4.1.4所需通信资源说明 (30)4.1.5实施拓扑图 (30)4.1.6实施步骤说明 (31)4.2高级威胁检测方案实施部署 (32)4.2.1高级威胁检测方案说明 (32)4.2.2所需设备说明 (32)4.2.3所需带宽说明 (34)4.2.4所需通信资源说明 (34)4.2.5实施拓扑图 (35)4.2.6实施步骤说明 (35)4.3本地威胁发现方案实施部署 (36)4.3.1本地威胁发现方案说明 (36)©2015 360企业安全集团密级:XXXX4.3.2所需设备说明 (37)4.3.3所需带宽说明 (38)4.3.4所需通信资源说明 (38)4.3.5实施拓扑图 (39)4.3.6实施步骤说明 (39)5产品优势与特点 (40)©2015 360企业安全集团密级:XXXX1引言近年来,具备国家和组织背景的APT攻击日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。
360安全分析与响应平台_产品白皮书
360安全分析与响应平台产品白皮书目 录一. 引言 (4)1.1文档主题 (4)1.2适用范围 (4)二. 安全现状与挑战 (5)2.1安全现状 (5)2.2安全挑战 (5)三. 平台介绍 (7)3.1方案概述 (7)3.2方案内容 (8)3.2.1 态势感知 (8)3.2.2 仪表盘 (9)3.2.1 安全监测 (10)3.2.2 安全运营 (10)3.2.3 深度调查 (11)3.2.4 资产管理 (11)3.2.5 报告管理 (12)3.2.6 应急指挥 (12)3.2.7 情报管理 (13)3.2.8 数据规则 (13)四. 方案创新与价值 (14)4.1技术优势 (14)n城市级网络空间资产测绘 (14)n开放式数据理解技术 (14)n高级威胁情报赋能 (14)n攻击链分析推理 (15)n威胁图谱分析技术 (15)n安全编排自动化技术 (15)n高级专家协同防御 (16)4.2产品价值 (16)n安全大数据分析能力 (16)n智能敏捷安全运营能力 (17)n高级威胁情报监测能力 (17)n融合安全运营服务 (17)版权声明版权所有 ©2020 奇虎360公司版权所有。
本文档的内容,所有文本全部或部分均受版权保护,三六零安全科技股份有限公司是本文档所有版权作品的拥有者。
除非预先得到本公司的书面授权,否则严禁对本文档进行复制、改编、翻译、发布等等。
本文信息如有变动,恕不另行通知。
本文包含的信息代表目前三六零安全科技股份有限公司对本文所述内容的观点。
由于用户需求、市场和产品状况的不断变化,本文中的信息不代表三六零安全科技股份有限公司未来的观点,且不能保证本文的内容在未来时间的有效性。
三六零安全科技股份有限公司会根据需要不定期发布本文档的更新与修订本。
商标声明为三六零安全科技股份有限公司的商标。
本文中所提到的有关产品或公司的名称均可能为相关公司或机构的(注册)商标。
注意除非特别说明,本文档中出现的安全分析与响应平台的名称在本文档中均代表三六零安全科技股份有限公司一.引言1.1文档主题本文档主要介绍了360安全分析与响应平台的建设背景、平台概述、产品特点等几个方面内容,并对平台功能也进行了详细的介绍,以帮助读者对360安全分析与响应平台达到快速和全面的了解。
360发布威胁情报驱动的安全新品 传统网络安全面临“换芯”
防护思路无法应 对高级威胁 ,安 全建 设 的重点将从 过去 端 的安全 活动信 息 。结合 360大数据威胁情报等对 内网
的以防护 为主 ,逐 步过 渡到强检i贝0和协 同化 的响应 。
沦 陷终端进行快速 的检 索和定位 ,并提供针对 于威胁 事
360网神总裁吴 云坤解释称 ,传统安全 防护 主要 基 件 的 自动化响应和修复能力 。
代威胁 感知 系统 、新一代终 端安全 系统 、新一代 智慧 防 半 自动 化 响 应 。
火墙 。
基 于大数 据分析 的威胁情 报显 然为安 全产 品换上
新一代 安全产 品实现 了 由规 则驱 动到威胁 情报 驱 一 颗会 思考的“芯”。吴 云坤表示 ,“所谓 ‘换芯 ’就是利用
动的转变 。不仅有效利 用威胁情报技 术 ,更重要 的是 通 威胁 情报改造传统安全产业 。给传统 在大量攻击 手
新一代大数据智慧防火墙— —从过去 的访问控制或
段都可 以绕过现有 的防护手段 ,导致 传统安全手段无 法 特征检测 。演进到针对 网络流量 的复合型检测和响应 的
应对新型威胁 的挑 战。传统安全 产品 。特别是 防火墙 、入 新领域 。基于 NDR(基 于网络 的检测与响应安全体系)的
用户应对各类高级安全 威胁的能力 。
产 品 。360新产 品实现 了对传统 安全产 品的改造 ,全 面
转变 :由规则 驱动到威胁情 报驱动
提升 了应对和处置安全威胁 的能力 :
据 ((2o15数据 泄露调查 报告 》,2014年 全球 79790
新 一 代 威 胁 感 知 系 统——使 用 互 联 网数 据 发 掘
墙 。新产 品充分结 合了大数据 安全分析和威胁情报 ,大 作 战方 式完成 不 同的防护任务 ,难 以适应 当前安 全形
第七批北京市新技术新产品(服务)名单
第七批北京市新技术新产品(服务)名单
序号
1
ห้องสมุดไป่ตู้
单位名称
产品(服务)名称
型号/规格
DLS1000/600、 DLS1200/600、 DLS2000/600、 DLS3000/600
技术领域
新一代信息技术
应用领域
其他
北京凯普林光电科技股份 千瓦级直接应用半导体激 有限公司 光器子系统
2
Q100-D、Q200-D、 Q400-D、Q100-E、 同辉佳视(北京)信息技 Q-Share智能交互会议终端 Q200-E、Q400-E、 新一代信息技术 术股份有限公司 C100-A、C200-A、 C400-A 清投智能(北京)科技股 份有限公司 智能佳(北京)机器人有 限公司 北京沃富瑞德文化传播有 限公司 北京文安智能技术股份有 限公司 北京赛普乐科技有限责任 公司 神州网云(北京)信息技 术有限公司 北京华电云通电力技术有 限公司 北京沃富瑞德文化传播有 限公司 北京首冠教育科技股份有 限公司 北京智汇空间科技有限公 司 艾坦姆流体控制技术(北 京)有限公司 北京沃富瑞德文化传播有 限公司 北京沃富瑞德文化传播有 限公司 北京华电云通电力技术有 限公司 电力巡检机器人 超声波机器人 VOFRID大屏幕可视化互动 展示系统 公交客流统计智能一体机 数字集群调度系统 网镜高级威胁检测系统 电容型设备在线监测装臵 VOFRID大屏幕可视化互动 管理系统 首冠在线教育平台 北斗智能车载终端 一种新型智能电气阀定位 器 一种表面显示的浮雕照片 或图画显示屏 一种可视面可变幻出各种 场景的AR鱼缸 金属氧化物避雷器绝缘在 线监测系统 TR33W011 TR33W011-1.0 super系列 V1.0 VT-COUNT-SFB PDDS V1.0 MC2100 V1.0 V1.0 SV321 SV322 SV323 U529系列 VOFD-46 VOYG-A MC2200 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术 新一代信息技术
360天擎终端安全管理系统产品白皮书
360天擎终端安全管理系统产品白皮书(共24页)-本页仅作为预览文档封面,使用时请删除本页-360天擎终端安全管理系统产品白皮书北京奇虎科技有限公司目录一. 引言........................................................... 错误!未定义书签。
二. 天擎终端安全管理系统介绍....................................... 错误!未定义书签。
产品概述........................................................ 错误!未定义书签。
设计理念...................................................... 错误!未定义书签。
产品架构........................................................ 错误!未定义书签。
产品优势........................................................ 错误!未定义书签。
完善的终端安全防御体系........................................ 错误!未定义书签。
强大的终端安全管理能力........................................ 错误!未定义书签。
良好的用户体验与易用性........................................ 错误!未定义书签。
顶尖的产品维护服务团队........................................ 错误!未定义书签。
主要功能........................................................ 错误!未定义书签。
安全趋势监控.................................................. 错误!未定义书签。
大数据中心安全解决方案
大数据中心安全解决方案(此文档为word格式,下载后您可任意修改编辑!)1.数据中心与大数据安全方案1.1数据中心与大数据安全概述随着信息技术的迅猛发展,大数据技术在各行各业的逐步落地,越来越多的单位和组织建设数据中心、部署大数据平台,进行海量数据的采集、存储、计算和分析,开发多种大数据应用解决业务问题。
在大数据为业务带来巨大价值的同时,也带来了潜在的安全风险。
一方面,传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大。
1.2数据中心与大数据安全风险分析数据中心和大数据环境下的安全风险分析如下:合规性风险:数据中心的建设需满足等级保护或分级保护的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。
为了满足合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。
基础设施物理安全风险:物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等,保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。
边界安全风险:数据中心的边界包括接入终端、服务器主机、网络等,终端包括固定和移动终端都存在被感染和控制的风险,服务器主机存在被入侵和篡改的风险,数据中心网络存在入侵、攻击、非法访问等风险。
平台安全风险:大数据平台大多在设计之初对安全因素考虑较少,在身份认证、访问控制授权、审计、数据安全方面较为薄弱,存在冒名、越权访问等风险,需要进行全方位的安全加固。
业务安全风险:大数据的应用和业务是全新的模式,在代码安全、系统漏洞、Web安全、访问和审计等多个方面存在安全风险。
数据安全风险:由于数据集中、数据量大、数据价值大,在大数据环境下数据的安全尤为重要,数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险。
运营管理风险:安全技术和策略最终要通过安全运营管理来落实,安全运营管理非常重要,面临管理疏漏、响应不及时或力度不够、安全监控和分析复杂等风险。
360工业主机安全防护系统
360工业主机安全防护系统产品白皮书© 2019 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents一. 引言 (1)二. 工业主机安全防护系统产品介绍 (2)2.1产品概述 (2)2.2设计理念 (2)2.3产品架构 (2)2.4产品优势 (4)2.5主要功能 (5)2.6典型部署 (7)三. 客户价值 (8)3.1工业主机安全防护,减少安全隐患 (8)3.2工业资产风险分析,提高运维效率 (8)3.3自主知识产权,杜绝后门隐患 (9)四. 总结 (9)一. 引言近年来,随着工业4.0及两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受政府和企业关注。
其中,工业主机是工业控制系统安全的关键环节,工业信息安全建设也需要从主机防护开始。
工业主机相对普通的IT系统主机和终端,在安全防护方面存在以下特点:1. 工业主机生命周期长,硬件资源受限在很多细分工业行业,工业主机在投运后会运行很多年,硬件资源受限,往往不能安装杀毒软件。
2. 工业主机不会随意增加应用软件工业主机投运后,安装在主机上的软件不会随意升级或增加新的软件、插件。
3. 病毒库不能定期升级杀毒软件防病毒库需要定期升级或进行在线云查杀。
而工控系统不允许在运行期间进行系统升级,也不允许在线云查杀。
在工控系统中的防病毒库如果三个月不升级,防病毒效果会大大降低。
4. 普通杀毒软件误杀关键进程目前非工控专用杀毒软件没做过与工业软件的兼容性测试,在国内外都发生过非工控专用杀毒软件误杀工业软件进程,造成工控系统运行异常的事件。
误杀进程在工业控制系统中是致命的。
5. 查毒、杀毒造成工业软件处理延时杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀,可能会造成工业软件的处理延时。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
360天眼新一代威胁感知系统产品技术白皮书█文档编号█密级█版本编号█日期©2015 360企业安全集团密级:XXXX █ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
█ 适用性说明本模板用于撰写360企业安全集团中各种正式文件,包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
█ 版本变更记录目录目录 (2)1引言 (1)2产品综述 (2)2.1产品设计目标 (2)2.1.1产品价值 (2)2.2产品原理介绍 (3)2.2.1产品关键技术 (3)2.2.2关键技术实现的效果 (16)2.3产品组成与架构 (17)2.3.1威胁情报 (18)2.3.2分析平台 (18)2.3.3传感器 (19)2.3.4文件威胁鉴定器 (19)2.4产品模块间数据流程描述 (20)2.5产品型号及规格说明 (21)2.5.1产品型号与硬件产品实拍 (21)2.5.2各型号的关键功能规格说明 (22)3产品性能说明(待硬件平台更换后补充) (25)3.1天眼各模块产品性能说明 (25)4实施部署说明 (27)4.1未知威胁检测及回溯方案实施部署 (27)4.1.1未知威胁检测及回溯方案说明 (27)4.1.2所需设备说明 (27)4.1.3所需带宽说明 (30)4.1.4所需通信资源说明 (30)4.1.5实施拓扑图 (30)4.1.6实施步骤说明 (31)4.2高级威胁检测方案实施部署 (32)4.2.1高级威胁检测方案说明 (32)4.2.2所需设备说明 (32)4.2.3所需带宽说明 (34)4.2.4所需通信资源说明 (34)4.2.5实施拓扑图 (35)4.2.6实施步骤说明 (35)4.3本地威胁发现方案实施部署 (36)4.3.1本地威胁发现方案说明 (36)©2015 360企业安全集团密级:XXXX4.3.2所需设备说明 (37)4.3.3所需带宽说明 (38)4.3.4所需通信资源说明 (38)4.3.5实施拓扑图 (39)4.3.6实施步骤说明 (39)5产品优势与特点 (40)©2015 360企业安全集团密级:XXXX1引言近年来,具备国家和组织背景的APT攻击日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。
从2014年至今,360公司已发现了20多起APT事件,确认为针对科技、教育、能源和交通多个领域的定向攻击,影响全国近30个省市;发现的各类免杀木马超过10种,涉及Windows、Mac OS 和Android平台。
关于APT攻击对我国造成的危害,在2015年5月360公司刚刚发布的APT攻击报告《数字海洋的游猎者持续3年的网络攻击威胁》就有非常详尽的说明。
2012年4月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
根据该组织的某些攻击特点,360公司将其命名为OceanLotus(海莲花)。
传统安全防御体系的设备和产品遍布网络2 ~ 7层的数据分析。
其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。
反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT 攻击。
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。
传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。
但依靠这种分析方式,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。
如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视屏、图片、文本等等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。
在安全形势不断恶化的今天,政府、军队、金融、大型企业等客户所处的特殊位置,经常会面临来自互联网的攻击威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。
因此企业需要在其网络中部署威胁感知产品,及时发现潜藏在其网络中的安全威胁,对威胁的恶意行为实现早期的快速发现,对受害目标及攻击源头进行精准定位,对入侵途径及攻击者背景的研判与溯源,从源头上解决企业网络中的安全问题,尽可能地减少安全威胁对企业带来的损失。
2产品综述360天眼新一代威胁感知系统(以下简称“天眼”)可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。
同时结合部署在客户本地的软、硬件设备,360天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。
2.1产品设计目标由于日益频繁的APT攻击为企业内网带来了更多的安全威胁,而现阶段企业搭建的安全防御产品对于未知威胁检测的能力明显不足,所以360天眼新一代威胁感知系统的设计目标是基于360自有的多维度海量互联网数据,通过自动化挖掘与云端关联分析,提前洞悉未知安全威胁;并通过在客户本地部署的硬件设备,进行本地流量深度分析,实现未知威胁的早期快速发现;对受害目标和攻击源头进行精准定位,实现威胁入侵途径回溯,帮助企业防患于未察。
2.1.1产品价值360天眼可以为用户带来以下几方面的价值:1、通过使用互联网数据发掘APT攻击线索,提升企业对威胁看见的能力2、以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助企业从源头上解决安全问题3、通过高效的快速搜索技术帮助企业提升数据查找的能力4、通过基于大数据挖掘分析的恶意代码智能检测技术,提升了客户检测恶意代码的能力5、通过基于轻量级沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力6、通过专业的专家运营团队和安全服务团队,全天候为企业保驾护航2.2产品原理介绍2.2.1产品关键技术为了能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,天眼使用了多种关键技术来实现这个目标。
2.2.1.1万兆网络及IPv4/IPv6网络环境下数据还原技术本技术主要是采取分光器镜像网络入口上下行数据,输入到几台实体机器做相关分析。
流量搜集和分析模块使用自定义的高性能内核和驱动程序,使用独立部署模式,可以支持最高1Gbps,以及使用集群部署模式,可以支持高达20Gbps 的线速流量搜集。
流量分析和数据还原使用自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持HTTP (网页)、SMTP/POP3(邮件)等主流协议的高性能分析,并拥有自主研发的碎片文件侦测和P2SP重组模块,可以还原通过迅雷等国内主流P2SP软件下载的文件。
传感器图1 流量还原流程图流量的还原当中使用了多种技术,包括端口匹配、流量特征检测、自动连接关联和行为特征分析。
1)端口匹配:在网络协议发展的过程当中,已经形成了一系列的标准协议规范,其中规定了不同协议使用的端口,而很多广泛使用的应用程序虽然没有别标准化,但已经形成了事实上的标准端口。
端口匹配就是根据这些标准或非标准的对应关系,根据TCP/UDP的端口来识别应用。
这种方式具有检测效率高的优点,弱点是容易被伪造,因此在端口检测的基础上,还需要增加一些特征检测的判断和分析,来进一步分析这部分数据。
2)流量特征检测:相对于端口,不同的应用程序使用的协议也存在大量的共性。
这些共性就是所谓的流量特征。
对于流量特征的识别,大致分为两种:一种是有标准协议的识别,标准协议规定了特有的消息、命令和状态迁移机制,通过分析应用层内的这些专有字段和状态,就可以精确可靠地识别这些协议;另一种是未公开协议的识别,一般需要通过逆向工程分析协议机制,直接或解密后通过报文流的特征字段来识别该通信流量。
3)自动连接关联:随着互联网应用的发展,在互联网上传输的数据越来越多,单个连接完成所有任务的模式也逐渐开始出现瓶颈,因此很多协议开始采用动态协商端口的方式进行传输,这种模式最早出现在标准的FTP协议上,后来逐渐在语音、视频和文件的传输上面被广泛使用。
为了识别这种数据,需要根据控制链接上面的报文信息,自动关联到数据传输的链接并对其进行还原,这种技术成为自动连接关联。
4)行为特征分析:针对一些不便于还原的数据流量,可以采用行为特征的方法进行分析。
这种方法不试图分析出链接上面的数据,而是使用链接的统计特征,如连接数、单个IP的连接模式、上下行流量的比例、数据包发送频率等指标来区分应用类型。
如网络电话应用通常语音数据报文长度较为稳定,发送频率较为恒定,P2P网络应用单IP 的连接数多、每个连接的端口号都不同、文件共享数据包包长大而稳定等等,都是可以利用来进行应用特征检测的特征指标。
对互联网数据的识别是上述多种技术综合运用。
流量分析和文件还原模块会使用这些技术,能够支持Web、文件、邮件等主流的协议,并能够支持具有中国本土特征的应用程序协议。
2.2.1.2规模化沙箱动态检测技术新一代威胁感知系统采用规模化动态沙箱的技术对APT攻击的核心环节“恶意代码植入”进行检测,与传统的采用基于恶意代码特征匹配的检测方法不同,新一代威胁感知系统所采用的规模化动态沙箱的方法可以对未知的恶意代码进行有效检测,这种利用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测,因为未知恶意代码是APT攻击的核心步骤,因此对未知恶意代码样本的有效检测,可以有效解决APT攻击过程的检测问题。