日期:2019-11-12 點擊: 關鍵詞:網絡安全,等級保護
網絡安全問題是信息時代最重要的問題,保護網絡安全非常重要。年中,國家發布了等級保護2.0標準,將于12月1日起實行。在2.0的標準下,首先提出了“威脅情報系統檢測”的要求,這是什么東西呢?下面就來簡單談談。
(網絡安全)
威脅情報檢測系統是一類網絡安全基礎設施,對網絡流量和終端進行實時監控、分析,應用威脅情報,機器學習,沙箱等多種檢測方法,發現隱藏在海量流量和終端日志中的可疑活動與安全威脅,幫助企業安全團隊精準檢測失陷(被控)主機 ,追溯攻擊鏈,定位當前攻擊階段 ,防止攻擊者進一步破壞系統或竊取數據。
威脅情報檢測系統已被證實在日常安全運維和重保活動 中發揮了關鍵作用。
從系統架構上講,威脅情報檢測系統與傳統的基于規則的檢測系統相比,有很大變革,至少需要具備如下八個模塊:
一、全流量的日志、文件提取與報警pcap存儲:對網絡全流量進行協議還原,提取網絡流量日志與流量中的文件,對所有報警和可疑網絡行為保存pcap以供后續分析,并提供可視化能力對機器的網絡行為進行深度分析;
二、威脅情報檢測模塊:分鐘級別同步最新的專業威脅情報數據,并用于實時流量檢測,情報包不只包含基礎的失陷指標IOC,還應包含黑客團伙情報信息;
三、機器學習模型檢測模塊:應用各類機器學習算法對傳統統計規則、威脅情報無法發現的網絡威脅進行檢測,如數據竊取行為、隧道通信行為、DGA域名等;
四、惡意文件檢測引擎模塊:對流量中提取的文件應用本地的文件檢測引擎,進行高效率的惡意文件識別;
五、沙箱檢測模塊:對本地可疑文件,應用本地或者云端沙箱技術進行判定;
六、內網橫向移動檢測模塊:支持接入內網流量發現內部橫向移動行為;
七、自定義情報檢測模塊:支持提供自定義情報功能,并應用于實時流量檢測;
八、攻擊鏈回溯分析模塊:對所有發現的各類威脅告警可以按照攻擊鏈進行關聯,完整回溯攻擊過程。
企業通訊
