中睿天下APT高级持续威胁溯源方案_睿眼网络攻击溯源系统

中睿天下APT高级持续威胁溯源方案

中睿天下APT高级持续威胁溯源方案以全流量检测与分析技术为核心，对外网、内网安全场景建模与跨网防护的流量检测溯源方案。通过基于白名单的资产访问关系梳理，基于攻击者视角自动绘制单一资产与跨网、跨域资产的访问行为，有效识别非法用户的合法使用问题。基于业务场景、访问关系与攻击行为建模，实现异常行为的自动化监测与预警。

立即咨询

首页 > 产品中心 > 网络安全 > 中睿天下APT高级持续威胁溯源方案

攻击四股势力

国家级APT一体化解决方案 icon

网络侧方案 # web攻击溯源 icon

网络侧方案 # 网络流量高级威胁检测、取证溯源 icon

跨网/跨域安全防护
通过基于白名单的资产访问关系梳理，基于攻击者视角自动绘制单一资产与跨网、跨域资产的访问行为，有效识别非法用户的合法使用问题。基于业务场景、访问关系与攻击行为建模，实现异常行为的自动化监测与预警

内网安全场景建模
基于安全流量自学习与白名单建模，对比当日数据与纯净数据的新增与消亡，有效筛选精准告警全面接入广域网流量，通过流量监控、旁路阻断、蜜罐诱捕的方式检测广域网/城域网监控与处置

攻击事件纵向/横向溯源
内网场景建模与跨网防护流量监控方案

网络侧方案 # 网络流量精准模型分析 icon

将攻击链视角和业务区域相结合，构建的链路回溯，站在安全运营的视角把控不同网域的安全态势基于攻击者视角构建“威胁检测模型”，在特征检测的基础上，以围绕攻击链的黑客行为作为“威胁建模”，将 IP分为6区，在6个区域之间的活动轨迹分为5重，站在攻击者视角完整回溯攻击过程，运用安全运营视角把控不同网域的安全态势。

网络侧方案 # 全流量回溯分析 icon

流量元数据取证能力
可以将攻击告警日志和对应的流量日志关联，补充丰富的流量上下文信息。例如http请求的头部字段，请求提交的数据，http响应的头部字段，http响应的内容体。

文件取证能力
可以将网络中传输的文件/样本进行还原。基于文件还原，对攻击的样本进行取证，对泄露的文件数据进行取证。文件取证能力上千种协议识别细粒度迭代检索智能威胁建模

Pcap包取证能力
可以将攻击相关的完整的原始流量保存下来。对攻击流量进行pcap取证，进行攻击回放。

网络侧方案 # 网络加密流量解密系统 icon

解密能力

通过客户上传证书和密钥的方式进行解密，检查可能构成威胁的所有 “入站”的SSL流量，支持大多数加密协议；

透明化能力

睿眼SSL流量解密系统采用“中间人”技术，以透明的方式部署到业务网络中，并且对端系统和中间网络元素完全透明；

BYPASS能力

串联部署在客户网络中，提供实时解密能力。Bypass接口支持，保障客户网络环境，增加设备可用性，设备故障时不会成为客户网络中的故障点

数据兼容能力

设备解密后的明文会重新生成有效的 TCP流传送到连接的安全设备，该流会复用原始SSL流中的五元组信息，确保睿眼SSL流量解密系统和现有的安全设备的兼容性；

明文转发能力

睿眼SSL流量解密系统可将一次解密后流量镜像至一或多台威胁监测设备，增强安全监测设备的能力；

可视化能力

全局预览对各项重要数据进行了统计，有效的管理了复杂的数据，展示运行现状及其联系和发展规律，有利于用户全面了解系统状况。

网络侧方案 # 邮件高级威胁监测、溯源 icon

网络侧方案 # 邮件高级威胁检测分析 icon

网络侧方案 # 邮件高级威胁提取展示 icon

通过攻击溯源技术，对邮件攻击因子与溯源因子进行提取分析：

解决钓鱼邮件监测与账号安全监测问题；

补充发现绕过邮件网关的高级邮件攻击；

将单个攻击者的所有攻击邮件进行自动化溯源分析与攻击者身份追溯。

终端侧方案 # 终端主机—深度攻击痕迹取证溯源 icon

主机威胁，入侵痕迹全面搜寻
检测范围全面和深入，涵盖主机系统各个方面，并对每种模块采用针对性的检测规则和模型

威胁检测，痕迹关联分析
内置多种威胁检测模型，精准有效发现终端 APT威胁；自动化将采集的各项数据关联分析，还原攻击过程

数据存储，报告一键生成
全量存储各项取证数据，并结合威胁情报、大数据分析、攻击溯源等自动分析与评估，一键生成威胁取证报告

终端侧方案 # 终端主机—基线模型深度分析 icon

终端侧方案 # 终端主机溯源系统部署方案 icon

终端侧方案 # 内存取证系统 icon

基于DMA通道直接操作物理内存，恶意软件无感，让APT攻击真正做到无处隐藏。

终端侧方案 # 动态沙箱（windows、linux、andriod） icon

平台侧方案 # 态势感知云平台 icon

平台侧方案 # 态势感知云平台 icon

平台侧方案 # 态势感知云平台 icon

平台侧方案 # 态势感知云平台 icon

安全服务

应急响应服务
提供包括抑制止损、事件分析、业务损失评估、系统加固、事件溯源的应急响应服务

安全运维服务
重保安全监控服务：辅助信息安全责任单位或部门防范重大网络安全事件的发生；日常安全巡检服务：协助安全运维人员进行事件响应，最终出具安全巡检分析报告等

安全溯源服务
网络溯源服务

APT溯源服务

安全专项服务
风险监测：互联网暴露面监测、敏感信息泄漏监测、网站安全监测、渗透测试；邮件安全：邮件钓鱼演练、邮件安全运营托管、邮件溯源服务；主机威胁检查：PC/服务器安全检查取证、底层固件安全检查取证

安全培训服务
攻防技术培训服务：红队课程、蓝队课程

支持资源

安全部某局，全国共34个省级行政区，除了香港、澳门及个别省份外，均采购了大量中睿的APT流量监测设备，部署在关键基础设施单位，并在2021、2022、2023连续三年进入部“网络全流量回溯设备”集中带量采购名录。中国信息安全测评中心（xx部），拥有全国大量重点单位网络流量，网络监测平台由我司建立。国家互联网应急响中心（cncert），我司是技术支撑单位，为网安x处与网安x处提供网络流量监测设备与相关的技术支撑服务。WJ多个部门的均采购了大量中睿相关产品。国家信息中心（发改委直属单位）；地方网信办；政府、能源、金融部署了大量中睿网络流量类监测设备。

国家电网案例 # 网络安全分析监控中心 icon

业务痛点
业务覆盖全国，信息网络覆盖范围广、用户类型广泛、业务交互复杂、技术更新迅速、管理难度较大。网络安全工作缺乏有效的攻击行为监测与溯源手段，威胁发现能力不足（尤其是0Day、APT等高级威胁）

解决方案
集团统筹规划，在总部及各子公司统一部署睿眼攻击溯源系统，并在总部建设针对集团重要业务应用系统的统一监测平台。国网信通总部全面部署；全面覆盖27个网省公司的信息内、外网；对关键直属单位信息内、外网进行重点布控

用户价值
提升安全自动监控水平

提高威胁分析研判能力

加快应急事件响应速度

实现联动联防快速处置

加强公司整体安全防护

中国长江三峡集团案例 # 威胁监测+事件响应运营 icon

资产异常行为发现完成基于流量行为分析资产指纹属性收集并进行属性异动实时检测模型建设，可快速发现资产变动情况，为主机健康状态评估提供有效数据支撑。

行业威胁情报库完成基于数据流分析和识别域间的网络异常行为监测模型建设，结合日常业务工作内容，开展恶意威胁检测与黑客溯源，为网络安全加固工作提供参考依据。

结合公司业务特性，完成对外部威情报收集，对内部信息关联分析，沉淀公司内部行业级威胁情报。攻击行为发现与溯源分析邮件安全监测从邮箱账号安全、恶意邮件钓鱼两方面着手，完成基于邮件通信行为、邮件头、邮件链接、邮件正文、邮件附件等部分的语义分析、病毒扫描、规则检测、关联分析等深度检测服务，有效发现零日攻击和未知攻击。

农信银 # 运用攻击溯源建设安全大脑 icon

一是容易产生漏告警，基于特征值检测原理的检测体系难以发现“多态”“变形”等高级威胁，存在安全隐患；二是事件关联分析能力弱，风险预警以单一事件告警方式展现，难以准确告知攻击过程并判断攻击结果；三是缺乏攻击溯源能力，现有检测体系仅能告知攻击事件发生，无法针对攻击行为进行溯源。加强攻击检测能力通过检测旁路镜像流量，在确保不影响业务正常运行的前提下，实时监控中心资产，为业务运行保驾护航。完整还原攻击过程综合分析流量中的攻击行为特征，以安全事件角度为核心，完成对攻击行为结果的研判，降低告警误报率。同时关联分析各类事件，完整还原攻击行为。实现攻击者画像与溯源通过大数据分析技术，结合威胁情报，完成攻击者的识别与画像，为追溯攻击者提供有效的信息。另外。利用可视化手段，实现攻击事件及攻击者等信息的立体展示。