201505睿眼WEB攻击检测及溯源

睿眼Web攻击检测及溯源

技术交流资料

北京中睿天下信息技术有限公司

2015年6月

目 录

一、技术优势 (3)

二、产品介绍 (5)

1、产品描述 (5)

2、技术创新 (5)

3、系统架构 (5)

4、工作流程 (6)

5、智能分析引擎 (7)

6、大数据溯源基础 (9)

三、产品特点 (11)

四、工作原理 (12)

1、检测攻击威胁 (12)

2、还原攻击过程 (12)

3、攻击溯源 (13)

4、弱点分析 (13)

五、关键技术 (14)

1、以攻击模型为基础的检测技术 (14)

2、基于大数据引擎的攻击者溯源技术 (14)

3、大数据联动技术 (14)

六、功能模块 (15)

1、睿眼前端展示中心 (15)

2、睿眼攻击溯源联动中心处理设备 (16)

七、典型部署 (18)

1、核心交换单机旁路部署 (18)

八、应用领域 (19)

一、技术优势

1、业界目前使用的IDS、IPS、WAF主要依靠本地检测引擎进行分析，没有云端检测

引擎，也没有大数据分析；主要通过定时检测规则库更新来升级本地规则库。IDS、IPS、WAF只能通过匹配规则库特征码来进行检测防御，且只能检测出攻击的类型，没办法进行深度的溯源分析。IDS、IPS、WAF本地特征库检测范围有限很容易被攻击者绕过，无法检测出真正的攻击，导致重要数据丢失，更严重可能导致系统瘫痪，造成严重的后果。

2、睿眼检测威胁除了本地规则库以外，最主要的是依靠十几个云端引擎和云端大数据

对攻击者进行智能检测分析，攻击者很难绕过；并且可以分析出攻击者的攻击目的、所采用的攻击工具、攻击者的背景甚至身份。

3、睿眼云端威胁联动平台配合本地规则库，关联攻击者在互联网上其他的攻击行为。

深度预处理，高达2亿个域名进行预处理分析，打造即时的基于域名与IP的新型查杀技术；规则库更齐全不容易被绕过。

4、睿眼可根据事件的推动机制，精准的攻击者攻击事件定性，准确的攻击成功与失败

判断，告别传统的大量无效的攻击分析，大大提高误报率。

5、态势可视化，还原攻击者的攻击流程，清晰的展示出攻击者是如何一步步进行攻击

的，通过总流程可能会分析出ODAY攻击。也可通过互联网地图，时时捕获全球互联网态势。

6、事件关联性，通过把一个单独的攻击事件尽可能的关联出其曾经是否在互联网上有

过其它的攻击行为，能为分析攻击者提供更多的详细资料。

7、弱点报告生成，根据攻击者的攻击轨迹，生成系统存在的漏洞报告，及时修复漏洞，

防止受到二次攻击，二次损害。

8、睿眼只是旁路部署，不会影响到任何业务，并且程序支持大流量分析，所有架构均

采用大数据时代的标准。

二、产品介绍

1、产品描述

睿眼Web攻击溯源联动中心是以检测攻击威胁，还原攻击过程、攻击溯源、弱点分析集一身的新一代网络安全产品。本解决方案具有更强的检测能力以及最大亮点是攻击溯源。

主要解决以下四个问题：

是否遭受到攻击？

攻击者如何攻击的？

谁在攻击？

弱点报告，免遭二次攻击。

2、技术创新

基于攻击模型的威胁深度检测；

基于云端大数据的联动态势感知；

对攻击过程的完整还原；

对攻击者进行目的、背景、身份进行深度分析溯源；

3、系统架构

睿眼攻击溯源联动中心主要采用B/C/S架构，实现对web服务器的可疑数据的监控、分析、识别、预警。系统架构如下图所示：

睿眼攻击溯源联动中心网关设备通过在网络出口、核心交换设备上对流出和流进的

网络通信数据进行实时监控，发现网络中攻击行为，并及时进行预警，保障用户网络的

安全，防止木马后门窃取重要资料等行为。

如果检测到攻击行为，则会对攻击者的所有攻击过程进行可视化还原，清晰的展示

出攻击者如何一步一步对目标进行攻击的。

借助溯源中心和联动中心，对攻击者进行详细分析，分析出攻击者的目的、背景、

身份。

根据攻击者攻击成功的流程，最后生成弱点分析报告，提供给管理员，及时修复这

些漏洞，防止二次攻击。

4、工作流程

该系统通过对所有入口网络包进行深度分析，经过大数据威胁检测中心（包含多个

本地分析引擎以及云端分析引擎）进行威胁检测，通过溯源中心（云端引擎）分析攻击

者目的、背景、身份。最后生成弱点分析报告，提出解决方案。工作流程如下图所示：

5、智能分析引擎

该系统借助18个分析引擎对网络威胁全方位深度分析，联动全球互联网安全厂商的检测体系，联动云端态势感知威胁引擎，智能感知攻击行为。示意图如下：

部分引擎介绍：

（1）基础信息分析引擎，通过该引擎智能化分析大量互联网真实存在的信息，有助于

还原攻击者的身份信息。

（2）规则包处理引擎，主要针对web攻击类，检测各种web威胁，比如独有的双向

检测机制，检测web后门成功率100%。

（3）全球域名分析引擎，该引擎是实时监控记录全球所有域名信息，包括其解析记录，

对应的IP开放端口记录，注册信息记录，通过大量数据的收集并深度挖掘能对恶意

域名提前判断功能，当攻击还未进行，系统已经预知了其下一步的攻击行动和攻击

者的一些资料信息。

（4）恶意ip分析引擎，包含两部分，第一部分已知恶意IP库，通过各种方法收集的

全球恶意IP记录达到千万条，并且库中记录了该IP曾经的恶意行为和攻击事件，

该库也在持续更新中；第二部分是通过引擎智能化分析规则，对全球IP进行可疑分