天阗威胁检测与智能分析系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
辅助处理辅助处理-固化处理流程
使用工具 详细口令
A.确认存在安全威胁 确认存在安全威胁 B.根据确认结果对事件进 根据确认结果对事件进 行分类
具体步骤 对事件处理方法的记录, 对事件处理方法的记录, 批处理同类事件
4 记录 3 处理 2 1 分析 确认
事件处理流程化并可积累处理经验! 事件处理流程化并可积累处理经验!
事件频发,该优先处理哪些? 事件频发,该优先处理哪些? 哪些地址需要重点关注? 哪些地址需要重点关注?
29
多维关联分析-处理结果如何
事件环比分析 :本期工作成效
事件处理分析
:本期工作数量
事件发展分析
:本期事件趋势
攻击者分析
:是外界攻击者加强 导致事件变多还是工 作忽视?
30
多维关联分析 一次典型决策判断过程
5
安全必须与环境结合
环境
哪些事件值得关注? 哪些事件值得关注? 这些事件如何确认? 这些事件如何确认? 措施有效吗? 措施有效吗?
事件
只有在实际网络环境结合分析安全事件才有意义。 只有在实际网络环境结合分析安全事件才有意义。
6
智能分析让威胁可视化
威胁可视化使得管理员提供 宏观信息,并能迅速直观发 现重点关注事件,还能能提 供辅助分析处理手段。
确定存在安全威胁 调整显示方式 自动处理同类事 件
抑制显示 处理事件
根据事件动态自动处理事件! 根据事件动态自动处理事件!
21
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
多维关联分析提供可决策的报告
• 频发事件
– 对于蠕虫类等海量链 接事件,通过历史趋 势来判断威胁程度
• 突发事件
– 对于新出现的威胁事 件,往往意味着威胁 形式发生了变化
根据发生频率判断是否出现新的威胁,或者已知威胁在变化。 根据发生频率判断是否出现新的威胁,或者已知威胁在变化。
11
智能分析智能分析-威胁能力维度分析事件
初级黑客 爱好者 有经验的黑 客爱好者 高级黑客 爱好者 职业黑客 攻击机器人
13
事件智能分析呈现重点事件
当日重点事件 页数: 页数:1 条数: 条数:9
VS
一个月发生事件 页数: 页数:19966 条数: 条数:3993220
仅突出需要关注的重点事件,使需处理事件降低4个数量级! 仅突出需要关注的重点事件,使需处理事件降低4个数量级!
14
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
从三维空间到多维空间 每增加一个维度,对世界 的认知就进一步扩展 传统 IDS
IDS报告=(事件分类,时间)仅两个维度
事件分类 • 威胁事件、流量事件
时间
• 指定时间段
天阗 TDS
IDS报告=(事件分类,时间,使用者、威胁程度,网络空 间,业务系统)
使用者 • 技术人员、技术管理者,行政管理者
网络空间 • 区域,整网来自15辅助处理让事件更易处理
• 事件解释 哪里出了问题,出了什么问题,紧急程度 事件解释-哪里出了问题,出了什么问题, 哪里出了问题
威胁 来源、等级、 来源、等级、流行程度 主体 时间 状态 紧急程度、 短期监测 紧急程度、长/短期监测 环境 网络设备、应用系统、 网络设备、应用系统、终端 客体 关键/非关键资产 关键 非关键资产
根据攻击手法判断攻击者水平,进一步判断事件性质。 根据攻击手法判断攻击者水平,进一步判断事件性质。
12
智能分析智能分析-攻击流行维度分析事件
流行事件 非流行事件 非流行事件
知识传播程度
操作系统分布比例
工具传播程度
漏洞发现时间
攻击复杂度
工具自动化程度
流行事件 较强威胁
较弱威胁
根据攻击流行程度来判断事件威胁的强弱。 根据攻击流行程度来判断事件威胁的强弱。
• 技术人员:事 是 • 技术管理人员:业务是 • 行政管理人员: 网
,
以用户为中心的数据分析报告! 以用户为中心的数据分析报告!
25
多维关联分析多维关联分析-哪里出问题了
哪些地址出事件了? 哪些地址出事件了? 地址出事件了
哪些地址在尝试攻击? 哪些地址在尝试攻击?
哪些系统被影响了? 哪些系统被影响了?
威胁检测与智能分析突出用户价值
多维关联分析
智能分析 辅助处理
自动执行
威胁检测与智能分析减少用户工作量,突出重点事件。 威胁检测与智能分析减少用户工作量,突出重点事件。
8
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
洞,自己开发的系统漏洞更是防不胜 防。
• 攻击工具自动生成
– 只需要点击鼠标,就能自动生成独
一无二攻击工具。
管理员面临巨大的压力来处理大量、复杂的安全事件! 管理员面临巨大的压力来处理大量、复杂的安全事件!
3
网络事件数量巨大
相同情况下,PC越多,事件数 量越多。
事件数
同一个网络中,多一种应用 会导致事件多一倍。
智能分析呈现重点事件
海量事件 智能分析引擎 智能分 析算法
威胁能力 发生频率 流行程度 用户关注度 资产属性
重点事件
001011010100100010001
攻击者分析
攻击过程分析
被攻击者分析
从多个维度对事件进行分析,突出重点事件。 从多个维度对事件进行分析,突出重点事件。
10
智能分析智能分析-时间维度分析事件
哪些设备被影响了? 哪些设备被影响了? 可获得的信息:受影响的业务系统是哪些,哪些区域有问题的比例大?
26
多维关联分析多维关联分析-出了什么问题
具体都是什么情况? 具体都是什么情况?
哪些才是问题? 哪些才是问题?
• 需关注的事件是那些增幅大、级别高的事件
蠕虫或突发事件,会给网络带来实质性损害的事件 27
事件数
PC数 PC数
应用
X
事件数
网络规模
网络规模越大,PC数和应用都会增加,导致事件成指数增长。 一个500台PC的网络每周大约产生500万条事件!
当事件数量激增时, 当事件数量激增时,网络管理员已经无法有足够的时间和资源来处理 !
4
管理员工作量分析
确认需关注事件
排除垃圾事件 找出重点事件
事件分析
智能分析结合事件特性、发 生频率、攻击手法等信息评 估事件是否为重点威胁 针对不同类型事件,采用特 征匹配、专有算子、异常算 法,实现精确检测。 溢出攻击 P2P 端口访问
重点威胁事件 智能 分析 模块 待观察事件
抗躲避 扩充 能力 变形 识别
精确度
7
新攻击
柔性检测为基础,智能分析为核心, 实现威胁可视化
发现蠕虫
蠕虫影响 某子网
结论:子网边界防护不
一段时间后, 其他子网也爆发 该蠕虫
清晰,需重新调整策略
发现其他子网 蠕虫源头是起始 子网
31
管理员工作量分析
确认需关注事件
排除垃圾事件 找出重点事件
事件分析
分析事件 排除误报
事件处理
修复加固系统 调整安全策略
统计汇报
量化数据 辅助宏观决策
管理员工作量分析
抑制显示, 抑制显示,降低 无效事件
B=待分析事件 待分析事件
待观察事件库
C=威胁事件 威胁事件
重点威胁事件库
沉淀使用者处理经验,无须重复劳动! 沉淀使用者处理经验,无须重复劳动!
20
智能执行智能执行-自动处理同类事件
偶尔发生的非攻击事 件
短时间大量发生的事 件
提高事件级别 自动处理同类事 件
不存在安全威胁
多维关联分析-有什么影响
事件的具体影响? 事件的具体影响? 事件的宏观影响? 事件的宏观影响?
• 事件的影响取决于目标和具体事件
业务系统面临高风险事件,且近期呈现事件频发趋势, 说明需要对业务系统的防护做调整
28
多维关联分析-如何处理
该重点处理哪些? 该重点处理哪些? 该如何处理? 该如何处理?
1
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
网络安全面临挑战
• 网络用户迅速增长
– 互联网用户每年增长率在20%左右,
大量的用户暴露在威胁下。
• 系统漏洞层出不穷
– 广泛应用的软件系统出现几千种漏
24
多维关联分析提供可决策的报告
哪里出事了?
事 件 处 理 流 程
出了什么事? 有什么影响? 处理? 处理 ?
• 技术人员:哪个地址出事了? • 技术管理人员:是不是在关键业务处出事了? • 行政管理人员:是全网出事了还是某个区域出事了? • 技术人员:XX病毒、XX木马发生了 • 技术管理人员:业务系统面临的是攻击行为还是可疑行为? • 行政管理人员:各区域都面临哪些类威胁? • 技术人员:窃取口令,堵塞网络 • 技术管理人员: 不 影响业务的 ? • 行政管理人员: 个网络 影响么?还是区域 影响? • 技术人员: ? • 技术管理人员:处理 • 行政管理人员:不关 ?
采用免费工具,不具备专业入侵知识,学习工具有效性,无攻击 目标,一般不会造成破坏。 采用专业工具,具备一定的专业入侵知识,攻击目的以学习入侵 知识为主,有一定的破坏力。 采用个性化工具或者手工攻击,深入了解入侵知识,并具备工具 开发能力,有针对性攻击,破坏力比较强。 自创攻击手法以及攻击工具,具备发现新型攻击途径以及独创入 侵工具能力,通常是有利益驱使下的有针对性攻击,破坏力很强 大量攻击行为并发产生,主要是蠕虫、僵尸网络、木马等能自动 发起攻击并能自动传播的攻击,破坏力很强,影响范围广。
分析事件 排除误报
事件处理
修复加固系统 调整安全策略
统计汇报
量化数据 辅助宏观决策
工作量约占30% 工作量约占30%
须关注事件量减 低到百条以内
工作量约占30% 工作量约占30%
确认事件量在 几十条
工作量约占20% 工作量约占20%
记录事件处理过 程
工作量约占20% 工作量约占20%
形成报告
管理员的绝大部分工作量都在分析识别非重点关注事件。 管理员的绝大部分工作量都在分析识别非重点关注事件。
技术管理人员:
区域关联事件显示,相关威胁统计信息 关键事件排序和 处理结果查看和度量
行政管理人员:
结合网络状况(节点、业务、资产)的整 (区域、关键资产)威胁状况,历史同期情 况对比。 事件影响的整体统计以及处理结果统计
最合适的分析模型为每类用户提供关心的数据! 最合适的分析模型为每类用户提供关心的数据!
辅助处理模块提供与业务相关的信息,将处理步骤结构化! 辅助处理模块提供与业务相关的信息,将处理步骤结构化!
16
辅助处理辅助处理-提供事件全方位信息
事件处理状态
事件发生定位
事件影响范围 事件后果分析
事件长/短期状 态监测
辅助分析让使用者更容易判断事件的性质! 辅助分析让使用者更容易判断事件的性质!
17
18
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
智能执行降低用户工作量
A事件 B事件 C事件
系统分析
事件流行程度 影响范围 监控态势 。。。 处理方法历史记录 自动批处理同类事件
分析结论
A=误报事件 误报事件
天阗7将极大降低用户工作量,使工作轻松完成! 天阗7将极大降低用户工作量,使工作轻松完成!
32
• 从入侵到威胁 • 从量到质:突出重点事件 • 从难到易:事件辅助处理 • 从易到无:智能执行动作 • 从一到多:多维智能分析 • 体系结构
• 事件处理向导 如何科学地处理 事件处理向导-如何科学地处理
分 确 处 记 1 2 3 4 析 认 理 录
对威胁的全面解释供运维人员分析 根据IDS提供的方法,确认威胁是否真实存在 提供的方法, 根据 提供的方法 参照操作步骤,对威胁进行处理 参照操作步骤, 处理过程和措施进行记录,同样事件批次处理 处理过程和措施进行记录,
安全 威胁 程度
业务系 统
• 威胁,初级黑客,具备一定水平的黑 客,高水平黑客
• 浏览器、Web服务器、邮件服务器
突破事件分类统计局限,从多个维度进行分析! 突破事件分类统计局限,从多个维度进行分析!
23
多维关联分析提供可决策的报告
天阗TDS分析模型
技术人员:
事件列举、排序、统计、对比 处理结果的统计和对比 内部外部地址信息
工作量约占60% 工作量约占60%
管理员可以把工 作量集中在事件 处理上。 处理上。
工作量约占10% 工作量约占10%
天阗7 天阗7的智能分析 大幅降低非关注 事件数量
工作量约占20% 工作量约占20%
天阗7 天阗7的辅助处理 为管理员提供足 够的信息识别误 报
工作量约占10% 工作量约占10%
多维分析提供可 决策的报告