内网威胁感知与***溯源系统（网络攻击溯源技术）

内网威胁感知与***溯源系统（网络攻击溯源技术）

一、现状与问题

随着《网络安全法》正式成为法律法规，等级保护系列政策更新，“安全” 对于大部分企业来说已成为“强制项”。然而，网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发，对企业的正常工作，造成巨大影响。高级持续性威胁(APT***)、鱼叉***、内部员工和外包人员的越权操作，也在不断的威胁着企业核心数据安全。

威胁一直存在，但企业安全管理人员却没有相应的技术手段和工具发现问题、定位***源。

二、解决方案

针对以上问题，现在企业的网络安全思维要有所转变，企业网络安全不仅要有优秀的防御能力，更要有主动的安全溯源和应急响应能力。面对边界网络安全设备不能保证100%网络安全的现状，能帮助企业准确发现威胁、快速定位威胁、有效控制威胁扩散的工具越来越重要。

本系统通过“虚拟仿真”技术，在***必经之路上布置陷阱、诱敌深入，可实现对APT***事件、蠕虫病毒（勒索病毒）传播、异常操作事件的精确定位。解决内部网络***行为难以识别、难以定位、难以溯源三大问题，赋予内网全新的主动对抗能力。结合日志大数据溯源模块、流量大数据溯源模块，帮助企业溯源***身份和***意图，实现全网安全态势感知。

三、系统功能

应用“主动防御”思想，在核心服务器区，设置“虚拟仿真陷阱“，迷惑攻击者，配合安全审计，实现对APT攻击事件、蠕虫病毒（勒索病毒）传播、异常操作事件的精确定位。

1.虚拟仿真

1）系统可实现对各种系统应用（SSH，telnet）、数据库应用（mysql、oracle）、业务应用（http、https）的高仿真模拟，通过在企业内网部署高仿真应用“陷阱”，混淆***的***目标，将***隔离进沙箱系统，识别***行为，延缓***进程，并以多种方式通知管理员。

2）伪装代理，通过在企业内网真实核心服务器上部署“伪装代理”，可让“陷阱”遍布整个内网，将***针对真实服务器上“陷阱”的***流量引入本系统，提高本系统对***行为的感知率。

3）诱饵文件，系统基于Web“bug”工作原理，可在伪造的“敏感文件”中插入“追踪”代码，让窃密者感染管理员设计的“***病毒”，以帮助管理人员快速定位窃密者。

2.***识别与内网威胁情报

1）已知***识别，系统内置***检测模块，可准确识别所有针对仿真应用的***源IP和已知***事件类型。

2）未知***识别，系统详细记录针对仿真应用的各种***行为日志，基于行为分析模式，利用大数据对未知***识别引擎进行训练,可精确识别每条***源,***路径以及***手法，为管理人员提供有效的威胁感知和***定位工具。

3）内网威胁情报，系统在识别和记录***的同时，可获取***源的的详细信息，包括浏览器版本、操作系统类型、设备指纹、开放端口等，为***溯源提供内网威胁情报信息。

3.***溯源

利用内网威胁情报信息，日志大数据溯源模块和流量大数据溯源模块可进一步确定***源（病毒源）对内网核心资产的***行为，帮助运维人员快速溯源***行为、确定***范围、全面掌握内网安全态势。

4.集中管理与溯源展示

系统支持多节点分级管理，并能通过数据关联分析，以时间流的形式进行组织，可视化的呈现出安全事件的***流程。威胁情报智能仪表板提供威胁情报感知报告。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。