日期:2019-11-12 点击: 关键词:网络安全,等级保护
网络安全问题是信息时代最重要的问题,保护网络安全非常重要。年中,国家发布了等级保护2.0标准,将于12月1日起实行。在2.0的标准下,首先提出了“威胁情报系统检测”的要求,这是什么东西呢?下面就来简单谈谈。
(网络安全)
威胁情报检测系统是一类网络安全基础设施,对网络流量和终端进行实时监控、分析,应用威胁情报,机器学习,沙箱等多种检测方法,发现隐藏在海量流量和终端日志中的可疑活动与安全威胁,帮助企业安全团队精准检测失陷(被控)主机 ,追溯攻击链,定位当前攻击阶段 ,防止攻击者进一步破坏系统或窃取数据。
威胁情报检测系统已被证实在日常安全运维和重保活动 中发挥了关键作用。
从系统架构上讲,威胁情报检测系统与传统的基于规则的检测系统相比,有很大变革,至少需要具备如下八个模块:
一、全流量的日志、文件提取与报警pcap存储:对网络全流量进行协议还原,提取网络流量日志与流量中的文件,对所有报警和可疑网络行为保存pcap以供后续分析,并提供可视化能力对机器的网络行为进行深度分析;
二、威胁情报检测模块:分钟级别同步最新的专业威胁情报数据,并用于实时流量检测,情报包不只包含基础的失陷指标IOC,还应包含黑客团伙情报信息;
三、机器学习模型检测模块:应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测,如数据窃取行为、隧道通信行为、DGA域名等;
四、恶意文件检测引擎模块:对流量中提取的文件应用本地的文件检测引擎,进行高效率的恶意文件识别;
五、沙箱检测模块:对本地可疑文件,应用本地或者云端沙箱技术进行判定;
六、内网横向移动检测模块:支持接入内网流量发现内部横向移动行为;
七、自定义情报检测模块:支持提供自定义情报功能,并应用于实时流量检测;
八、攻击链回溯分析模块:对所有发现的各类威胁告警可以按照攻击链进行关联,完整回溯攻击过程。
企业通讯
