360天眼产品

解决方案
价值
➢ 解决APT检测难的问题 ➢ 提升对于攻击者分析的视野和维度 ➢ 解决安全事件难溯源的问题 ➢ 提升应对高级威胁事件处置的综合能力
典型用户
THANKS
360.net
基于规则的网络入 侵检测
基于人工智能机器 自学习的入侵检测
nbt引擎
检测结果
产生准确的入侵告警
告警信息存入分析平台， 与威胁情报告警信息相 辅助，作为攻击取证及 快速溯源的数据支撑
文件威胁鉴定器
• 多种不同引擎，多维度检测威胁 • 已知检测与未知检测相互补充 • 静态检测与动态监测相辅相成 • 准确的评分机制降低误报与漏报
天眼文件威 胁鉴定
360云端大数据平台 威胁情报中心
威 胁 情 报
准确的威胁检测告警
全面的采集网络及主机日志
终 端
完整还原文件并进行深度分析
日
志 引入360强大的威胁情报
通过轻量化的大数据平台分析威胁
天眼组合方案
组件
高级威胁检测方 案
✓天眼传感器 ✓天眼分析平台 ✓天眼文件威胁鉴定器（可选）
方案说明
➢ 基于人工智能机器自学习的入 侵检测nbt引擎
优势3——海量数据的运算和检索能力
• 高性能
⎻ 为更广泛的监控能力提供支撑 ⎻ 为快速的响应分析提供保障 ⎻ 为更加复杂的分析提供可能 ⎻ 为不断发展的业务提供未来
• 高可用
• 不因为技术复杂而增加使用复杂度 • 不因为性能高而不考虑可扩展性 • 不因为技术新而不考虑可靠性
PART / 02
场景问题
高级持续定向攻击
各类高级威胁的危害： 窃密机密、隐私泄露、关键设施破坏、敲诈勒索……
• APT攻击事件：摩诃草事件、蔓灵花行动…… • 僵尸网络类、后门、间谍软件…… • 窃密木马、勒索病毒…… • 服务器高级漏洞攻击类……
当前安全威胁处置的困局
检测 ➢ 传统的检测手段使用基于签名的技术无法检测高级威胁 ➢ 基于签名的检测会产生大量无用告警影响对于入侵攻击的判断 响应 ➢ 发现威胁后，缺少有效的联动防御机制予以响应 ➢ 缺少专业的安全人员提供针对安全事件进行快速的调查分析与应
急响应能力 ✓提高安全事件的溯源能力
PART / 04
优势特点
优势1——国内首屈一指的威胁情报平台
每天从900万个新增样本、300万新增域名、上亿恶意URL，以及结合多方社区、组织、第三方报告 等资源，进行情报搜集和挖掘，每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到 客户侧的产品、服务、平台，以及与第三方安全组织进行情报交换共享。
优势2——精准的高级威胁发现能力
分析平台&威胁情报
➢ 利用可机读IOC与本地流量 日志及终端日志进行关联匹 配，准确发现失陷主机；
文件威胁鉴定器
➢ 采用虚拟环境模拟方法，全面 分析恶意代码恶意行为，细粒 度检测漏洞利用和恶意行为；
流量传感器
➢ 基于双向会话WebIDS检测引 擎，只对攻击成功进行告警；
360网神天眼产品
CONTENTS / 目录
PART / 01
集团介绍
PART / 02
场景问题
PART / 03
功能价值
PART / 04
优势特点
PART / 05
形态部署
PART / 06
成功案例
PART / 01
集团介绍
360公司的创立与发展
2005-公司成立 2006-
2009-
2012-二次创业 搜索引擎、智能硬件、智能手机、企业安全
判
天眼体系架构
云端 威胁情报
文件威胁 鉴定器
静态检测
沙箱
威胁感知系统
日志检索
数据引擎
分析平台
分析平台扩展 数据引擎
传感器1
传感器2
……
流量传感器
✓ 域名解析 ✓ TCP/UDP流量 ✓ Web访问 ✓ 文件传输 ✓ LDAP行为 ✓ 登录动作 ✓ 邮件行为 ✓ 数据库操作 ✓ SSL加密协商……
传感器n
对于攻击威胁的信息，可以让ห้องสมุดไป่ตู้们了解高级威胁的全貌，并可以被抽象成可机读威胁情报（MRTI），用来
进行应对决策，并对威胁进行响应。
攻击特点
外链URL
云端大数据
攻击背景
攻击组织者
发现高级网络攻击：
➢ 海莲花
恶意IP
威胁情报
攻击目的
➢ 摩诃草事件 ➢ 蔓灵花行动
恶意域名
行业覆盖度
➢ WannaCry勒索
样本MD5
安装恶 意软件
远程通 信
横向渗 透/泄密
天眼数 据采集
传感器捕 回溯路径
获行为
天擎捕获行为
回溯传路感径器捕获行为
发现问 题
天眼强大的数据采集能力可以保证在攻击链条任何一个地方发现威 胁后，都可以完整回溯整个攻击发生全过程
PART / 05
形态部署
天眼典型部署
天眼 采集器
天眼 分析平台
流量 日志
样本 日志
天擎终端
天擎
✓ U盘日志 ✓ 邮件日志 ✓ IM文件传输 ✓ 进程网络行为 ✓ 进程DNS……
威胁情报
• 威胁情报（Threat Intelligence）是一种基于证据的描述威胁的一组关联的信息，包括威胁相关的环境信
息、采用的手法机制、指标、影响，以及行动建议等。与传统的单点的病毒或信誉等信息不同，这一系列
……
天眼 分析平台
……
活跃程度
……
分析平台
App
威 胁
威胁事件视 受害主机视
图
图
日
告警日志
志
报
告警报表
管
表
理
感 知
受害服务器 受害用户器
视图
视图
检
索
网络日志
终端日志
管
理
日志报表
功 能
大
数
据
智能检索引擎
分
SecSearch
析
流式计算引擎 SecStream
统计分析引擎
报表服务
可视化分析引擎
关联分析引擎 SecCEP
2016-业务重组
个人业务 互联网模式
共享 品牌、专利、数据
政企业务 产品+服务模式
360科技集团
360企业安全集团
全球唯一一家脱胎于互联网公司的专业安全公司 1
全方位保护政企级网络安全
360 企业安全集团以“数据驱动安全”的 创新方法论为依托，建立了大数据时代的 协同联动防御体系，全方位提升中国政企 客户的安全防护能力和水平，与全社会一 起构建安全命运共同体。
背景
国内某能源行业的巨头企业，通过部署360天眼新一代威胁感知系统采集全流量数据以及威胁情报，并结合360安全服务 人员基于攻防思路构建的分析模型，为用户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的 周期性检测、发现、响应服务，提升了发现和防御未知威胁的能力。
需求
➢ 高级威胁自动化检测需求 ➢ 安全问题追踪溯源需求 ➢ 重大安全事件的响应和处置需求
恶意 文件
静态检测 引擎
动态检测 引擎
✓ 恶意代码检测 ✓ 文件格式检测 ✓ 启发式检测 ✓ 人工智能引擎检测 ✓ 云查检测
✓ 虚拟执行检测文件
恶意 行为 分析
高危 高危事件 中危 可疑事件 低危 疑似事件
价值
✓满足新等保的合规要求 ✓提升用户对高级威胁发现能力 ✓帮助安全团队提升重大安全事件的应
mysql
360天眼
ESES
数据量 查询速度 入库性能 存储备份 数据恢复 关联分析 数据采集
传统 10亿 分钟 一般 缺失 缺失 3000eps 单点10000eps
ES架构 千亿 秒 一般 有 有
20000eps 单点50000eps
优势4——完整的事件溯源能力
威胁生 命周期
进入网 络
漏洞利 用
急响应 溯源 ➢ 缺少原始网络行为日志和原始主机行为日志，不利于安全溯源分
析 ➢ 海量日志存储和快速检索技术难度大 ➢ 缺乏高价值的威胁情报，无法有效发现定向攻击并对网络攻击进
行有效的背景分析
国家政策要求
等保2.0的《网络安全等级保护基本要求 第1部分：安全通用要求》的第七章“第三级安全要 求”中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。
传感器捕获行为
分析平台 根据威胁 情报发现
传感器根 据特征发 现
传感器根 据特征发 现
天眼功能介绍
检测
响应
✓ 威胁情报 ✓ 文件威胁鉴定 ✓ IDS检测 ✓ WebIDS检测 ✓ WebShell检测
✓ 告警处置 ✓ 终端联动 ✓ 网关联动 ✓ 专家服务
溯源
✓ 流量采集 ✓ 终端日志关联 ✓ 日志存储及检索 ✓ 基于情报的背景研
天
特种木马类
眼
检
测
能
高级漏洞攻击类
力
可以通过特征检测的威胁
天眼的检测能力
覆盖威胁的全生命周期的本地检测能力
威胁
生命
进入
周期
网络
漏洞 利用
安装恶 意软件
远程 通信
横向渗 透/泄密
天眼 数据 采集
天眼 威胁 检测
传感器捕 获行为
天擎捕获行为
传感器多种引擎可以检测的入侵
传感器可以检 测PHP脚本
文件威胁鉴定可以发现问题
数据服务总线
威胁情报
存
储
ES 索引文件
SQL
分析语义统一
预处理
数据采 集
流量数据
归一化、数据抽取、转换、富化
终端数据
威胁情报数据
威胁情报 中心
流量传感器
流量采集
流 量 采 集
协议分析
DNS FTP HTTP SSL SMB
……
检测引擎
基于沙箱的webshell上 传检测
基于双向会话分析的 Web入侵检测
1.检测发现传统防护手段漏过的未知威胁 2.有效发现未知恶意文件 3.对企业内的海量数据进行安全分析 4.对企业内已发现的问题进行攻击回溯
文件威胁检测方 案
✓天眼传感器 ✓天眼文件威胁鉴定器（可选）
1.检测发现传统防护手段漏过的未知威胁 2.有效发现未知恶意文件
PART / 06
成功案例
天眼行业成功案例之能源/央企篇
《网络安全等级保护测评要求 第1部分：安全通用要求》中也明确提出了在等保三级评测时测 评对象需具有抗APT攻击设备
PART / 03
功能价值
天眼TSS新一代威胁感知系统
天眼TSS定位：为客户提供针对网络高级威胁的检测、响应、溯源的一体化解决方案。
威
胁
金
高级
字
威胁
塔
已知威胁
数据中心环境
办公网环境
APT