360天眼未知威胁检测系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
普通病毒木马
商业利益 团伙/组织
APT
危害严重
传统安全防御体系全面失效
IDS 已死:早在2003年,Gartner 就已发表《IDS is dead》 FW 作用有限:网络安全早已不是访问控制这么简单的工作 AV 力不从心:未知病毒、恶意代码每天百万级的速度出现
APT 肆虐
? 针对伊朗核设施的“震网事件” ? 针对跨国公司的“叶龙攻击” ? 针对Google的“极光攻击” ? 针对各国的“暗鼠攻击”
基于“黑名单”技术的传统安全产品在采用多 种AET技术的复杂攻击面前轻松被绕过
新一代安全防护体系如何搭建
新安全观念:产品 + 管理 + 服务
产品为基础、管理为保障、服务为补充
服务
管理
新安全管理:产品代替惩罚
产品驱动管理,安全制度自动执行
产品
新安全技术:动静结合应对未知威胁
机器学习、虚拟沙箱、内存跟踪有效防御APT
攻击感知引擎 QVM 云引擎
文件还原 流量侦听
Βιβλιοθήκη Baidu
QVM 启发 模型
文档 PDF 脚本 程序
360大数据分析平台: 完整回溯APT攻击过程
? 通过时间序列完整关联分析历史数据 ? 回归检测历史数据,发现当时漏检的攻击行为 ? 挖掘发现APT对抗、攻击阶段的隐蔽信道 ? 挖掘行为模型,发现异常可疑行为 ? 关联挖掘长期历史数据,完整回溯APT攻击过程
强大的分析能力-关联分析
强大的分析能力-攻击源
基于已检测到的 大量异常告警信 息,还可对未知 威胁的攻击来源 进行判定,使企 业可以及时采用 相应的防护策略
丰富的日志报表
灵活的用户管理
全面的系统配置
感谢聆听 Q&A
全球百所大学被黑客入侵 12 万账户信息被窃取(教育)
索尼PSN平台7700万用户 数据泄漏(制造业)
信息安全事故后果
信息泄露
数据丢失
用户隐私泄露
影响业务
商誉受损
隐私危机
国家安全
重大经济损失 重大社会影响 危及国家安全
新型威胁的特点
技术未知
漏洞未知
0day
未知 木马
AET
手段隐蔽
APT
恶作剧 个人
稳定可靠 专业易用 优质服务
360 天眼未知威胁检测系统
近年重大信息安全事件
伊朗核电站遭受蠕虫病 毒攻击(军工)
CSDN用户信息泄漏多个 网站遭遇类似情况(IT)
韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失(金融)
美国电子商务网站 Zappos遭黑 2400万用 户信息被窃(互联网)
网络流 量侦听
终端日 志获取
设备日 志获取
360大数据分析平台工作流程
大数据 存储
大数据挖 掘计算
历史数据 行为分析
网络行为 模型提取
行为 模型库
漏洞利用 攻击
隐蔽 信道
可疑 行为
APT 过程
直观展示检测结果
全面检测——文件、行为、邮件
强大的分析能力-告警
基于检测到的大量异常告警信息,天眼可以对未知威胁进 行全面地分析,有效定位
? 完全覆盖Fireeye的所有检测能力 ? 利用了更多、更有效的检测技术 ? 动静结合技术能够更有效检测绕过沙箱的智能蠕虫 ? 动静结合技术能够提前过滤安全样本,极大提高系
统性能
360天眼产品框架
360天眼检测流程图
沙箱
沙箱
沙箱
沙箱
? 未知恶意代码检测 ? 0day漏洞利用发现
攻击 指令库
360云安全 中心
APT 攻击过程
目标锁定 信息采集
渗透
对抗、攻击
APT防御
防御手段
美国采用 的技术
技术上难防范,需要在管理 制度上解决
落地前检测:网络边界检测 落地检测:终端检测
运行时检测:终端检测
? 运行时主动防御 ? 异常网络访问行为控制 ? 大数据挖掘发现可疑通信
Fireeye
+
Bit9
中国的Fireeye: 360天眼未知威胁检测系统
军事化信息战硝烟弥漫
传统安全防御体系的缺陷
观念:过于迷信安全产品
普遍观念:安全 = 安全产品 + 安全服务 问题:有防盗门就一定能够防盗?
体制:安全体系缺乏“管理”
普遍观念:安全管理 = 安全产品 + 安全制度 问题:安全制度不被遵守怎么办?
产品:安全产品技术落后
基于单一特征匹配的传统安全产品在未知攻击 面前形同虚设
商业利益 团伙/组织
APT
危害严重
传统安全防御体系全面失效
IDS 已死:早在2003年,Gartner 就已发表《IDS is dead》 FW 作用有限:网络安全早已不是访问控制这么简单的工作 AV 力不从心:未知病毒、恶意代码每天百万级的速度出现
APT 肆虐
? 针对伊朗核设施的“震网事件” ? 针对跨国公司的“叶龙攻击” ? 针对Google的“极光攻击” ? 针对各国的“暗鼠攻击”
基于“黑名单”技术的传统安全产品在采用多 种AET技术的复杂攻击面前轻松被绕过
新一代安全防护体系如何搭建
新安全观念:产品 + 管理 + 服务
产品为基础、管理为保障、服务为补充
服务
管理
新安全管理:产品代替惩罚
产品驱动管理,安全制度自动执行
产品
新安全技术:动静结合应对未知威胁
机器学习、虚拟沙箱、内存跟踪有效防御APT
攻击感知引擎 QVM 云引擎
文件还原 流量侦听
Βιβλιοθήκη Baidu
QVM 启发 模型
文档 PDF 脚本 程序
360大数据分析平台: 完整回溯APT攻击过程
? 通过时间序列完整关联分析历史数据 ? 回归检测历史数据,发现当时漏检的攻击行为 ? 挖掘发现APT对抗、攻击阶段的隐蔽信道 ? 挖掘行为模型,发现异常可疑行为 ? 关联挖掘长期历史数据,完整回溯APT攻击过程
强大的分析能力-关联分析
强大的分析能力-攻击源
基于已检测到的 大量异常告警信 息,还可对未知 威胁的攻击来源 进行判定,使企 业可以及时采用 相应的防护策略
丰富的日志报表
灵活的用户管理
全面的系统配置
感谢聆听 Q&A
全球百所大学被黑客入侵 12 万账户信息被窃取(教育)
索尼PSN平台7700万用户 数据泄漏(制造业)
信息安全事故后果
信息泄露
数据丢失
用户隐私泄露
影响业务
商誉受损
隐私危机
国家安全
重大经济损失 重大社会影响 危及国家安全
新型威胁的特点
技术未知
漏洞未知
0day
未知 木马
AET
手段隐蔽
APT
恶作剧 个人
稳定可靠 专业易用 优质服务
360 天眼未知威胁检测系统
近年重大信息安全事件
伊朗核电站遭受蠕虫病 毒攻击(军工)
CSDN用户信息泄漏多个 网站遭遇类似情况(IT)
韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失(金融)
美国电子商务网站 Zappos遭黑 2400万用 户信息被窃(互联网)
网络流 量侦听
终端日 志获取
设备日 志获取
360大数据分析平台工作流程
大数据 存储
大数据挖 掘计算
历史数据 行为分析
网络行为 模型提取
行为 模型库
漏洞利用 攻击
隐蔽 信道
可疑 行为
APT 过程
直观展示检测结果
全面检测——文件、行为、邮件
强大的分析能力-告警
基于检测到的大量异常告警信息,天眼可以对未知威胁进 行全面地分析,有效定位
? 完全覆盖Fireeye的所有检测能力 ? 利用了更多、更有效的检测技术 ? 动静结合技术能够更有效检测绕过沙箱的智能蠕虫 ? 动静结合技术能够提前过滤安全样本,极大提高系
统性能
360天眼产品框架
360天眼检测流程图
沙箱
沙箱
沙箱
沙箱
? 未知恶意代码检测 ? 0day漏洞利用发现
攻击 指令库
360云安全 中心
APT 攻击过程
目标锁定 信息采集
渗透
对抗、攻击
APT防御
防御手段
美国采用 的技术
技术上难防范,需要在管理 制度上解决
落地前检测:网络边界检测 落地检测:终端检测
运行时检测:终端检测
? 运行时主动防御 ? 异常网络访问行为控制 ? 大数据挖掘发现可疑通信
Fireeye
+
Bit9
中国的Fireeye: 360天眼未知威胁检测系统
军事化信息战硝烟弥漫
传统安全防御体系的缺陷
观念:过于迷信安全产品
普遍观念:安全 = 安全产品 + 安全服务 问题:有防盗门就一定能够防盗?
体制:安全体系缺乏“管理”
普遍观念:安全管理 = 安全产品 + 安全制度 问题:安全制度不被遵守怎么办?
产品:安全产品技术落后
基于单一特征匹配的传统安全产品在未知攻击 面前形同虚设