下一代網絡威脅智能檢測分析系統(以下略稱:OmniX)是我公司自主研發,具有完全自主知識產權的一款對網絡威脅進行有效檢測與發現的新一代威脅檢測產品。它基于多維度海量互聯網數據,進行自動化挖掘與云端關聯分析,提前洞悉各種安全威脅,并向客戶推送定制的專屬威脅情報。同時結合部署在客戶本地的軟、硬件設備,系統能夠對未知威脅的惡意行為實現早期的快速發現,并可對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源。
產品采取旁路部署,全流量監控、整合靜態檢測、動態分析等多項獨創專利技術,實現對網絡中流量深度分析,對未知威脅的早期快速發現與高精度檢測;對受害目標和攻擊源頭進行精準定位,威脅入侵途徑回溯,幫助企業防患于未察。
OmniX采用B/S、分布式部署管理架構,通過日志/網絡流量采集、威脅檢測、系統管理、存儲通信的模塊化設計,整合威脅情報分析、安全分析工具以及通過自動化集成響應安全事件,實現了一套易于使用、擴展性強的產品架構。
產品架構如下圖所示:
? 分布式傳感器(Beat Sensor)
分布式傳感器是OmniX系統的數據采集模塊,承擔日志及網絡流量的采集和威脅檢測過程。傳感器可以靈活分布部署,各自獨立采集及威脅分析,并將結果傳回OmniX管理平臺。傳感器的分析支持幾十種應用協議,嚴格標準的硬件設計標準可以輕松部署到IT/OT/IoT生產環境。
? 威脅情報數據庫(IOC)
威脅情報數據庫是OmniX系統的核心模塊,承擔對惡意病毒、攻擊行為、漏洞利用等多樣攻擊的檢測過程。1998年成立以來,在全球超過70多個國家的威脅情報收集傳感器部署、實時監控黑客的活動、追蹤病毒及傳染路徑、監控分析暗網活動等形成了威脅數據采集分析生態系統。通過威脅情報生態系統,實現了分鐘級數據更新,并可以實現對垃圾郵件、惡意代碼,木馬蠕蟲、釣魚攻擊、比特幣挖礦、勒索病毒、未知惡意代碼、已知漏洞利用(Nday)、未知漏洞利用(0day)等攻擊行為的檢測與回溯。
? 威脅資產管理(Threat Asset Management)
威脅資產管理(Threat Asset Management, 簡稱TAM)是OmniX系統的資產管理模塊,承擔識別來自內部網絡的IP地址,并為使用者提供編輯,配置資產信息的界面。通過資產管理,可以快速鎖定受到攻擊威脅的主機信息、用戶信息及設備信息。
? 數據庫&Web Server
數據庫和Web Server是OmniX內部的關鍵應用服務,提供存儲、管理與通信數據的基礎服務。其中,Web Server是OmniX與外部系統接口、提供外部管理的核心支撐服務,數據庫是為OmniX提供存儲與查詢能力的核心服務。這兩個應用服務是關鍵基礎設施。
? 惡意軟件分析沙箱
OmniX系統可以高度無縫與第三方惡意軟件分析沙箱結合。通過充分整合,可以將可疑文件或者URL在隔離的環境中運行分析,可以獲得可疑軟件的詳細行為信息,例如進程創建、調用函數、下載的文件以及請求的網絡流量等等,進而對惡意軟件進行深度判定。
漏洞利用攻擊檢測,其中包含對未知漏洞利用(0day)的檢測
與威脅情報數據聯動,能夠有效進行惡意流量的檢測,其中包括對未注冊的可疑惡意域名及未知惡意代碼的檢測
結合惡意軟件分析沙箱,深度判定威脅詳細信息
t 僵尸網絡
t 勒索病毒
t 釣魚郵件
t 垃圾廣告
t 比特幣挖礦
t 信息泄露
t 信用卡盜竊
t 系統漏洞
t 網站應用攻擊
t 權限獲取
t 密碼破解
t 網絡犯罪
t 木馬蠕蟲
t 惡意域名
t 惡意代碼
t IP黑名單
t 0Day攻擊
t DGA(域名生成算法)
t 威脅報警
OmniX在檢測到攻擊之后,將在監控頁面上產生實時報警,為了便于監控人員對報警進行快速分析,OmniX報警界面提供了豐富、詳細的報警內容,包括:攻擊是從哪里來的(攻擊的源IP)、哪里受到了攻擊(攻擊的目的IP)、攻擊是什么時候發生的(攻擊時間)、攻擊類別、危險程度等攻擊詳細信息。
t 威脅分析
報表、日志、惡意網絡流量提取、專業分析服務。
t 威脅響應
內置SIEM聯動
2 產品特點
l 網絡威脅的精確檢測
系統使用互聯網數據檢測網絡中的威脅,利用多種先進檢測技術(如:威脅情報、行為分析等)對流量進行深入分析,具有出色的精確檢測效果。
l 易于部署,易于使用
系統采用支持流量鏡像和日志導入等多種部署方式。無需進行復雜的配置,即插即用,快速的發現問題。
分析結果簡單直觀,同時提供問題的建議解決方案,不但快速發現問題,而且快速解決問題。
l 模塊化設計,易于擴展
系統采用模塊化設計,可以根據客戶的情況選擇不同的功能模塊,如不同威脅情報
庫的選擇,威脅檢測工具的選擇等。
l 數據回溯性分析
檢測系統不但可以實時監控分析網絡流量,同時可以存儲原始數據,對網絡問題進行事后分析,以及威脅事件的溯源等。
l 便攜式設計
檢測系統有便攜式和機架式設計。便攜式產品易于在網內不同節點移動,解決內網檢測的問題。
3 部署方案
OmniX系統采用旁路部署的方式,接入到所監控網絡的交換機鏡像端口處,由于采用旁路接入的方式,不會改變現有網絡結構,也不會對現有網絡的運行產生任何影響,其典型部署方式如下:
1)客戶提供內1個內網IP,用于內網網管pc 遠程登錄設備,進行ping 測試,確保網管PC 到網絡威脅檢測設備可達。
2) 將核心交換內網到互聯網出口流量及客戶內網DNS 流量做鏡像到網絡威脅檢測設備。
3)如果檢測系統可連接互聯網則采取自動升級功能從互聯網上獲取威脅情報,如果檢測系統不能連接互聯網則采取離線方式獲取威脅情報升級包