360天眼产品专题培训课件

2016-业务重组
个人业务 互联网模式
共享 品牌、专利、数据
政企业务 产品+服务模式
360科技集团
360企业安全集团
全球唯一一家脱胎于互联网公司的专业安全公司 1
全方位保护政企级网络安全
360 企业安全集团以“数据驱动安全”的创 新方法论为依托，建立了大数据时代的协同 联动防御体系，全方位提升中国政企客户的 安全防护能力和水平，与全社会一起构建安 全命运共同体。
PART / 02
场景问题
高级持续定向攻击
各类高级威胁的危害： 窃密机密、隐私泄露、关键设施破坏、敲诈勒索……
• APT攻击事件：摩诃草事件、蔓灵花行动…… • 僵尸网络类、后门、间谍软件…… • 窃密木马、勒索病毒…… • 服务器高级漏洞攻击类……
当前安全威胁处置的困局
检测 传统的检测手段使用基于签名的技术无法检测高级威胁 基于签名的检测会产生大量无用告警影响对于入侵攻击的判断 响应 发现威胁后，缺少有效的联动防御机制予以响应 缺少专业的安全人员提供针对安全事件进行快速的调查分析与应急
天擎终端
天擎
U盘日志 邮件日志 IM文件传输 进程网络行为 进程DNS……
威胁情报
• 威胁情报（Threat Intelligence）是一种基于证据的描述威胁的一组关联的信息，包括威胁相关的环境信
息、采用的手法机制、指标、影响，以及行动建议等。与传统的单点的病毒或信誉等信息不同，这一系列
文件威胁鉴定可以发现问题
分析平台 根据威胁 情报发现
传感器根 据特征发 现
传感器根 据特征发 现
天眼功能介绍
检测
威胁情报 文件威胁鉴定 IDS检测 WebIDS检测 WebShell检测
响应
告警处置 终端联动 网关联动 专家服务
溯源
流量采集 终端日志关联 日志存储及检索 基于情报的背景研判
急响应能力 提高安全事件的溯源能力
PART / 04
优势特点
优势1——国内首屈一指的威胁情报平台
每天从900万个新增样本、300万新增域名、上亿恶意URL，以及结合多方社区、组织、第三方报告等 资源，进行情报搜集和挖掘，每天形成超过百份的威胁及漏洞情报，通过在线或离线方式推送到客户侧 的产品、服务、平台，以及与第三方安全组织进行情报交换共享。
存
储
ES 索引文件
SQL
分析语义统一
预处理
数据采 集
流量数据
归一化、数据抽取、转换、富化
终端数据
威胁情报数据
威胁情报 中心
流量传感器
流量采集
流 量 采 集
协议分析
DNS FTP HTTP SSL SMB
……
检测引擎
基于沙箱的webshell上 传检测
基于双向会话分析的 Web入侵检测
基于规则的网络入 侵检测
……
分析平台
App
威 胁
威胁事件视 受害主机视
图
图
日
告警日志
志
报
告警报表
管
表
理
感 知
受害服务器 受害用户器
视图
视图
检
索
网络日志
终端日志
管
理
日志报表
功 能
大
数
据
智能检索引擎
分
SecSearch
析
流式计算引擎 SecStream
统计分析引擎
报表服务
可视化分析引擎
关联分析引擎 SecCEP
数据服务总线
威胁情报
天眼体系架构
云端 威胁情报
文件威胁 鉴定器
静态检测
沙箱
威胁感知系统
日志检索
数据引擎
分析平台
分析平台扩展 数据引擎
传感器1
传感器2
……
流量传感器
域名解析 TCP/UDP流量 Web访问 文件传输 LDAP行为 登录动作 邮件行为 数据库操作 SSL加密协商……
传感器n
天
特种木马类
眼
检
测
能
高级漏洞攻击类
力
可以通过特征检测的威胁
天眼的检测能力
覆盖威胁的全生命周期的本地检测能力
威胁 生命 周期
进入 网络
漏洞 利用
安装恶 意软件
远程 通信
横向渗 透/泄密
天眼 数据 采集
天眼 威胁 检测
传感器捕 获行为
天擎捕获行为
传感器捕获行为
传感器多种引擎可以检测的入侵
传感器可以检 测PHP脚本
响应 溯源 缺少原始网络行为日志和原始主机行为日志，不利于安全溯源分析 海量日志存储和快速检索技术难度大 缺乏高价值的威胁情报，无法有效发现定向攻击并对网络攻击进行
有效的背景分析
国家政策要求
等保2.0的《网络安全等级保护基本要求 第1部分：安全通用要求》的第七章“第三级安全要求” 中明确提出了要具有检测和分析未知的新型网络攻击的技术措施。
基于人工智能机器 自学习的入侵检测
nbt引擎
检测结果
产生准确的入侵告警
告警信息存入分析平台， 与威胁情报告警信息相 辅助，作为攻击取证及 快速溯源的数据支撑
文件威胁鉴定器
• 多种不同引擎，多维度检测威胁 • 已知检测与未知检测相互补充 • 静态检测与动态监测相辅相成 • 准确的评分机制降低误报与漏报
对于攻击威胁的信息，可以让我们了解高级威胁的全貌，并可以被抽象成可机读威胁情报（MRTI），用来
进行应对决策，并对威胁进行响应。
攻击特点
云端大数据 外链URL
攻击背景
攻击组织者
发现高级网络攻击：
海莲花
恶意IP
恶意域名 样本MD5
……
威胁情报
天眼 分析平台
攻击目的 行业覆盖度
活跃程度
……
摩诃草事件 蔓灵花行动 WannaCry勒索
《网络安全等级保护测评要求 第1部分：安全通用要求》中也明确提出了在等保三级评测时测评 对象需具有抗APT攻击设备
PART / 03
功能价值
天眼TSS新一代威胁感知系统
天眼TSS定位：为客户提供针对网络高级威胁的检测、响应、溯源的一体化解决方案。
威
胁
金
高级
字
威胁
塔
已知威胁
数据中心环境
办公网环境
APT
恶意 文件
静态检测 引擎
动态检测 引擎
恶意代码检测 文件格式检测 启发式检测 人工智能引擎检测 云查检测
虚拟执行检测文件
恶意 行为 分析
高危 高危事件 中危 可疑事件 低危 疑似事件
价值
满足新等保的合规要求 提升用户对高级威胁发现能力 帮助安全团队提升重大安全事件的应
360天眼产品
CONTENTS / 目录
PART / 01
集团介绍
PART /ቤተ መጻሕፍቲ ባይዱ02
场景问题
PART / 03
功能价值
PART / 04
优势特点
PART / 05
形态部署
PART / 06
成功案例
PART / 01
集团介绍
360公司的创立与发展
2005-公司成立
2006-
2009-
2012-二次创业 搜索引擎、智能硬件、智能手机、企业安全