天眼未知威胁检测系统V.ppt

360 天眼未知威胁检测系统 稳定可靠 专业易用 优质服务 近年重大信息安全事件 伊朗核电站遭受蠕虫病 毒攻击（军工） CSDN 用户信息泄漏多个 网站遭遇类似情况（ IT ） 韩国农协银行遭遇攻击导 致系统长时间瘫痪及大量 交易数据丢失（金融） 全球百所大学被黑客入侵 12 万账户信息被窃取（教育） 美国电子商务网站 Zappos 遭黑 2400 万用 户信息被窃（互联网） 索尼 PSN 平台 7700 万用户 数据泄漏（制造业） 信息安全事故后果 新型威胁的特点 漏洞未知 APT AET 未知 木马 0day 手段隐蔽 危害严重 技术未知 传统安全防御体系全面失效 IDS 已死 ：早在 2003 年， Gartner 就已发表《 IDS is dead 》 FW 作用有限 ：网络安全早已不是访问控制这么简单的工作 AV 力不从心 ：未知病毒、恶意代码每天百万级的速度出现 APT 肆虐 ? 针对伊朗核设施的“震网事件” ? 针对跨国公司的“叶龙攻击” ? 针对 Google 的“极光攻击” ? 针对各国的“暗鼠攻击” 军事化信息战硝烟弥漫 传统安全防御体系的缺陷 观念 ： 过于迷信安全产品 普遍观念：安全 = 安全产品 + 安全服务 问题：有防盗门就一定能够防盗？ 体制 ： 安全体系缺乏“管理” 普遍观念：安全管理 = 安全产品 + 安全制度 问题：安全制度不被遵守怎么办？ 产品 ： 安全产品技术落后 基于单一特征匹配的传统安全产品在未知攻击 面前形同虚设 基于“黑名单”技术的传统安全产品在采用多 种 AET 技术的复杂攻击面前轻松被绕过 新一代安全防护体系如何搭建 新安全观念： 产品 + 管理 + 服务 产品为基础、管理为保障、服务为补充 新安全技术： 动静结合应对未知威胁 机器学习、虚拟沙箱、内存跟踪有效防御 APT 新安全管理： 产品代替惩罚 产品驱动管理，安全制度自动执行 APT 防御 目标锁定 信息采集 渗透 对抗、攻击 技术上难防范，需要在管理 制度上解决 落地前检测：网络边界检测 落地检测：终端检测 运行时检测：终端检测 ? 运行时主动防御 ? 异常网络访问行为控制 ? 大数据挖掘发现可疑通信 APT 攻击过程 防御手段 美国采用 的技术 Fireeye Bit9 + 中国的 Fireeye ： 360 天眼未知威胁检测系统 ? 完全覆盖 Fireeye 的所有检测能力 ? 利用了更多、更有效的检测技术 ? 动静结合技术能够更有效检测绕过沙箱的智能蠕虫 ? 动静结合技术能够提前过滤安全样本，极大提高系 统性能 360 天眼产品框架 360 天眼检测流程图 文件还原 文档 PDF 脚本 程序 云引擎 攻击感知引擎 攻击 指令库 360 云安全 中心 沙箱 QVM QVM 启发 模型 沙箱 沙箱 沙箱 ? 未知恶意代码检测 ? 0day 漏洞利用发现 流量侦听 360 大数据分析平台： 完整回溯 APT 攻击过程 ? 通过时间序列完整关联分析历史数据 ? 回归检测历史数据，发现当时漏检的攻击行为 ? 挖掘发现 APT 对抗、攻击阶段的隐蔽信道 ? 挖掘行为模型，发现异常可疑行为 ? 关联挖掘长期历史数据，完整回溯 APT 攻击过程 360 大数据分析平台工作流程 网络流 量侦听 终端日 志获取 设备日 志获取 大数据 存储 大数据挖 掘计算 网络行为 模型提取 行为 模型库 历史数据 行为分析 漏洞利用 攻击 隐蔽 信道 可疑 行为 APT 过程 直观展示检测结果 全面检测——文件、行为、邮件 强大的分析能力 - 告警 基于检测到的大量异常告警信息，天眼可以对未知威胁进 行全面地分析，有效定位 强大的分析能力 - 关联分析