长亭科技流量分析预警系统_APT网络攻击-云巴巴

长亭流量分析预警系统

通过网络流量深度分析，有效实现对APT新型网络攻击的检测和响应，开箱即用，提升企业防护高级威胁攻击的能力，快速建立联防联动的自动化处置方案。

产品背景

当前，在不断演化的网络安全领域，攻击者的攻击技术不断演进，攻击方式不断更新，越来越多的采用 APT 新型高级攻击技术的攻击组织被披露。据CNCERT（国家应急响应中心）2019 年 4 月发布的《2018 年我国互联网网络安全态势综述》1报告，2018 年，全球专业的网络安全机构发布了各类高级威胁研究报告 478 份，同比增长约 3.6 倍，受攻击领域也从主要的军队国防、政府、金融、外交和能源，扩展到医疗、传媒、电信等涉及国家服务性行业领域。CNCERT预测，未来有特殊目的的针对性更强的网络攻击会越来越多，而随着关键基础设施承载的信息价值越来越大，针对国家关键信息基础设施的网络攻击将会愈演愈烈。
同时，2019 年 5 月 10，等保 2.0（GBT22239-2019 信息安全技术网络安全等级保护基本要求）正式发布，用于替代等保1.0（GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求），于 2019 年 12 月 1 日正式实施。在等保 2.0 中新增的要求条款中，便有专门针对上述这类APT新型网络攻击行为的要求，要求三级和四级系统采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析。因此，不管从网络安全的攻防角度还是合规层面，都需要有具体的措施来对抗APT新型网络攻击。

网络攻击监测痛点

恶意文件检测难

失陷主机发现难

隐蔽信道察觉难，复杂性攻击分析难

产品简介

长亭流量分析预警系统，是一款通过网络流量深度分析实现 APT 新型网络攻击检测和响应的软硬件一体化产品，该产品旁路部署在网络出口处采集网络通信数据，产品采用大数据处理架构，集合机器学习、沙箱、隐蔽信道检测和攻击行为建模分析等新一代 AI 技术，针对各种网络入侵攻击、恶意代码传播、黑客控制及渗透攻击等，尤其是新型网络攻击、隐蔽黑客控制、APT 攻击等高级网络攻击，对攻击中广泛采用的 0day/Nday 漏洞、特种木马、渗透入侵等技术进行深度分析，挖掘网络空间中的已知和未知攻击威胁。结合威胁情报大数据平台，识别已知/未知高级威胁，并对威胁进行追踪和定位，判断木马家族、来源国家、制作组织，弥补了传统的基于特征库的被动防御体系的检测缺陷，能自动识别高级威胁攻击，并可与防火墙、入侵防御、网闸等串行网络安全设备联动，提升防护高级威胁攻击的能力，帮助用户建立联防联动的自动化处置方案。

产品简介

关键技术

沙箱检测

沙箱检测

基于机器学习的恶意文件检测

文件检测

基于机器学习的DGA域名检测

域名检测

产品架构

硬件：标准 X86 架构，根据用户的流量大小，会有不同的硬件配置。
操作系统：系统采用了经过裁剪和定制化的 CentOS7.3 版本，去掉了不必要模块和服务，增加了安全防护策略，确保底层系统平台自身的安全性。
流量还原：负责采集原始的镜像流量，并还原为协议会话和文件，作为检测引擎输入。

检测引擎：负责检出流量和文件中的攻击行为，从来源可分为流量检测和文件检测，两个检测方向由不同的子检测引擎构成，如漏洞流量特征检测用于检出流量中的远程漏洞攻击行为；木马流量特征检测用于检出流量中的木马通信行为。所有的检测引擎为上层的威胁检测提供输入，一个威胁检测引擎可能同时为多个威胁检测功能服务。可视化分析：对告警事件进行图形化的可视化分析，如时间序列、kill chcain序列。
展示输出：负责对分析和数据进行 Web 展示、告警和输出给第三方设备进行联动。

工作流程

根据系统数据处理流程，长亭流量分析预警系统分为：流量采集、威胁检测、攻击分析、联动联防和安全运营五个模块。

工作流程

产品功能

产品功能
流量采集及文件还原	流量采集及文件还原
高级入侵植入检测	web 攻击检测
	远程漏洞攻击检测
	邮件攻击检测
	挂马攻击检测
	恶意文件检测
高级远程控制检测	主机控制检测
	网站控制检测
	黑客工具检测
	异常通信检测
	隐蔽信道检测
	DGA 域名检测
可视化分析与预警	Kill Chain 分析
	时间序列分析
	安全态势感知
	重点资产监控
报表管理	报表管理

产品特性

未知威胁检测

多点检测模式

攻击可视化

产品优势

多阶段“断链式”检测，更全面的APT攻击预警能力

系统采用了静态特征、动态行为、威胁情报和机器学习等多种检测手段，从Kill Chain 的多阶段进行“断链式”检测 APT 攻击，其中：侦查阶段，采用特征匹配方式识别口令爆破、端口扫描、漏洞探测。投递阶段，采用动静态结合检测技术，检测如邮件攻击、水坑攻击等典型 APT 攻击；安装植入和利用阶段，利用特征检测和行为检测技术识别恶意文件、0day 及 Nday 漏洞利用；控制和渗透阶段，通过主机控制检测、网站控制检测、隐蔽信道检测、DGA 域名检测等功能，检测远程控制、数据回传和内网攻击。因此，长亭流量分析预警系统相比常见的单点检测技术的产品，更容易发现网络攻击行为，具有更全面的 APT 攻击预警能力。

沙箱引擎和反逃逸技术，更强的未知恶意文件发现能力

沙箱引擎可模拟一个运行环境和通过监测文件的行为如件操作、漏洞利用方式、API 调用序列、网络行为等来识别恶意文件，但在攻防的博弈中，现阶段高级的恶意软件除了采用免杀技术来逃避杀软检测外，也会判断是否运行在沙箱引擎中，如果是，则进行正常的行为操作，以此来躲避沙箱引擎的检测，这类判断运行环境与真实系统之间差异来躲避沙箱检测的技术被称沙箱逃逸。因此，判断沙箱的检测能力之一，便是反逃逸技术能力。长亭流量分析预警系统的沙箱引擎从用户交互差异性、运行环境差异性、业务逻辑差异性三方面实现了 200 种以上的反逃逸技术，如替换操作系统所有和虚拟机有关的指纹、模拟网络、模拟用户对系统的使用痕迹等。采用反逃逸的沙箱引擎，相比普通沙箱，不仅能提升发现未知恶意的能力，还能识别出高级恶意软件的逃逸行为。

多种木马通信识别技术，更强的木马检测和追踪能力

木马是一种基于远程控制的黑客工具，通常包括客户端和控制中心两部分，客户端运行在受害者的主机上，控制中心运行在攻击者的控制主机上，可能是服务器也可能是 PC 主机。客户端和控制中心通过网络通信的方式来传输窃取数据、控制屏幕等操作。长亭流量分析预警系统采用了木马通信特征、威胁情报、DGA域名、隐蔽信道和异常通信行为共五种技术手段来识别木马的通信流量并定位失陷主机，这五种技术技术中木马通信特征、威胁情报用于识别已知木马通信，DGA 域名、隐蔽信道和异常通信行为用于识别未知木马通信。因此，相比当前大多数采用单一的木马通信特征检测技术的安全设备，长亭流量分析预警系统具有更强的的木马检测和追踪能力，不仅可检测已知木马通信，也可检测新型攻击中未知的木马通信。

产品价值

持续威胁检测，及时预警APT攻击

长亭流量分析预警系统持续采集和还原镜像流量，并利用多种检测技术来识别已知和未知网络攻击和恶意文件的能力，可发现常见安全设备难以发现的 APT攻击，同时将发现的网络攻击事件通过态势监控页面、邮件告警方式通知用户，或利用 SYSLOG 的方式的发送给用户指定平台，可帮助用户及时预警APT事件，缩短 APT 事件发现和处置时间。

集成态势感知，提升网络攻击的感知能力

长亭流量分析预警系统在流量和文件的多种检测技术基础上，融入了最新威胁情报数据和安全可视化技术，可“最大化”的持续监测各类网络攻击，并从多维度呈现网络攻击的态势，帮助提升实现感知网络攻击的能力，避免对总体安全状况不了解从而无从下手的“灯下黑”状况。

安全可视化，提升用户的分析效率

长亭流量分析预警系统采用的 Kill chain 分析、时间序列分析、重点资产监控等安全可视化技术，将大量的告警进行可视化分析展示，并辅助以搜索和筛选功能，可帮助用户快速识别攻击发生的过程、攻击当前所处的阶段，提升分析效率。

践行国家《网络安全法》，满足等级保护合规要求

《国家网络安全法》、等级保护等政策，明确要求重要的单位建立健全网络威胁监测和通报机制，要求对新型网络攻击提供解决手段。本系统通过对已知的网络攻击和未知的新型网络攻击进行持续的实时监测和预警，可有效的发现和预警APT攻击，并提供可视化分析溯源手段，切实加强安全动态对抗能力，提升用户在网络边界中的合规程度。

丰富的应用场景