360天眼未知威胁检测系统V1.1(1).ppt

360天眼未知威胁检测系统稳定可靠 专业易用 优质服务近年重大信息安全事件伊朗核电站遭受蠕虫病 毒攻击（军工）CSDN用户信息泄漏多个 网站遭遇类似情况（IT）韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失（金融）全球百所大学被黑客入侵 12 万账户信息被窃取（教育）美国电子商务网站 Zappos遭黑 2400万用 户信息被窃（互联网）索尼PSN平台7700万用户 数据泄漏（制造业）信息安全事故后果重大经济损失重大社会影响危及国家安全信息泄露数据丢失影响业务商誉受损用户隐私泄露隐私危机国家安全新型威胁的特点恶作剧商业利益个人团伙/组织普通病毒木马APTCompany Logo漏洞未知APTAET未知 木马0day手段隐蔽危害严重技术未知传统安全防御体系全面失效IDS 已死：早在2003年，Gartner 就已发表《IDS is dead》FW 作用有限：网络安全早已不是访问控制这么简单的工作AV 力不从心：未知病毒、恶意代码每天百万级的速度出现APT 肆虐 ü 针对伊朗核设施的“震网事件” ü 针对跨国公司的“叶龙攻击” ü 针对Google的“极光攻击” ü 针对各国的“暗鼠攻击”军事化信息战硝烟弥漫传统安全防御体系的缺陷观念：过于迷信安全产品普遍观念：安全 = 安全产品 + 安全服务问题：有防盗门就一定能够防盗？体制：安全体系缺乏“管理”普遍观念：安全管理 = 安全产品 + 安全制度问题：安全制度不被遵守怎么办？产品：安全产品技术落后基于单一特征匹配的传统安全产品在未知攻击面前形同虚设基于“黑名单”技术的传统安全产品在采用多种AET技术的复杂攻击面前轻松被绕过新一代安全防护体系如何搭建新安全观念：产品 + 管理 + 服务产品为基础、管理为保障、服务为补充新安全技术：动静结合应对未知威胁机器学习、虚拟沙箱、内存跟踪有效防御APT新安全管理：产品代替惩罚产品驱动管理，安全制度自动执行服务管理产品APT防御目标锁定 信息采集渗透对抗、攻击技术上难防范，需要在管理制度上解决落地前检测：网络边界检测落地检测：终端检测运行时检测：终端检测Ø 运行时主动防御Ø 异常网络访问行为控制Ø 大数据挖掘发现可疑通信APT 攻击过程防御手段美国采用 的技术FireeyeBit9+中国的Fireeye： 360天眼未知威胁检测系统p 完全覆盖Fireeye的所有检测能力p 利用了更多、更有效的检测技术p 动静结合技术能够更有效检测绕过沙箱的智能蠕虫p 动静结合技术能够提前过滤安全样本，极大提高系统性能360天眼产品框架360天眼检测流程图文件还原文档 PDF 脚本程序云引擎攻击感知引擎攻击 指令库360云安全 中心沙箱QVMQVM 启发 模型沙箱沙箱沙箱Ø 未知恶意代码检测 Ø 0day漏洞利用发现流量侦听360大数据分析平台： 完整回溯APT攻击过程p 通过时间序列完整关联分析历史数据p 回归检测历史数据，发现当时漏检的攻击行为p 挖掘发现APT对抗、攻击阶段的隐蔽信道p 挖掘行为模型，发现异常可疑行为p 关联挖掘长期历史数据，完整回溯APT攻击过程360大数据分析平台工作流程网络流 量侦听终端日 志获取设备日 志获取大数据 存储大数据挖 掘计算网络行为 模型提取行为 模型库历史数据 行为分析漏洞利用 攻击隐蔽 信道可疑 行为APT 过程直观展示检测结果全面检测——文件、行为、邮件强大的分析能力-告警基于检测到的大量异常告警信息，天眼可以对未知威胁进 行全面地分析，有效定位强大的分析能力-关联分析强大的分析能力-攻击源基于已检测到的 大量异常告警信 息，还可对未知 威胁的攻击来源 进行判定，使企 业可以及时采用 相应的防护策略丰富的日志报表灵活的用户管理全面的系统配置感谢聆听 Q&A。