当前位置: 首页最新动态

看烦了biubiubiu的"泰式干枝",瞧瞧不一样的网发布时间:2017-09-22 11:10

您是否已经看厌了这样的安全态势感知产品:从传统的ISP、防火墙、WAF获取数据,再整合所谓的威胁情报,最后丢到上层可视化平台,展示给用户观看。我们摒弃了这传统的“三板斧”,构建了全新的“三段论”,聚合传统的安全设备数据与全网的流量数据,再根据自身累积情报和外部威胁情报,结合大数据分析产生安全事件,最后共享安全事件给上层或第三方的安全平台,从而诞生了我们自己的态势感知——天琴安全预警系统,该方案已经在某行业全国大规模成功部署。

背景介绍

随着互联网的发展,网络安全事件逐年上升,黑客也已变成一个产业链。面对快速更新的攻击手段,逐年升级的监管规定,2014年国家网信办成立,网络安全上升至国家安全层面;2017年6月1日《网络安全》全面实施。

习主席曾经指出:“没有网络安全,就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。

因此,做好网络安全威胁防御工作,需要更多聚焦于系统之外,准确认知和快速分析。

产品分析

天琴网络安全预警系统由“网络数据采集子系统、安全事件收集子系统、安全事件共享子系统”组成,每个子系统负责不同的功能并相互配合,共同防范抵御来自外部的威胁和攻击。

 

图1:天琴网络安全预警系统构成

产品形态

天琴网络安全预警系统依托于软硬一体化的专用硬件平台,搭载天琴科技自研的软件系统和服务,最终以轻便多元化的Web方式,呈献给用户。

 


图2:绘制网络流量态势

 

图3:统一预警安全事件

产品介绍

 

网络数据采集子系统

天琴网络数据采集子系统包含流量数据采集模块、行为分析模块、漏洞扫描模块和主动检测模块,可实现安全事件信息的汇总和统一分析,从而实现用户系统内安全事件的快速收集和处理。

功能特点

l 高速的数据采集功能

可正确、快速地接收和处理基于标准网络协议的信息源数据;

l 数据流分类

网络事件按粗粒度整理和归类,以便下级模块对数据进行快速处理;

l 数据耦合和分类

实现数据的第一次相关性分析并写入数据库。

 

 

安全事件收集子系统

安全事件收集子系统是一套着眼于主动检测技术,收集网络内各类安全事件的安全系统。系统对大规模的web应用和操作系统进行全方位不间断的安全监控与防护,帮助客户主动发现、及时响应和处理安全问题,从而降低客户在网络安全维护等方面的成本

功能构成

l 数据收集引擎

实现了协议分析和流量的分类甄别,对应用的响应能力进行统计分析,利用机器的学习特点勾勒流量模型。

 


图4:流量深度统计与分析

l 深度行为分析引擎

深度行为分析引擎集成并汲取了派网公司的Panabit流控分析引擎的精华,并结合多年累积的DPI深度分析技术作为支撑,从而实现精准识别应用流量、监测系统内的应用路径、绘制各个数据流的路径,并对数据进行有效的加工处理,包括排名、分布、趋势的多维度关联分析,为用户提供了全面记录、了解、分析和掌握网络细节和趋势的能力。

 

图5:用户行为之URL分析

 

图6:用户行为之Session分析

l 漏洞分析引擎

对应资产的漏洞情况进行统计,还可以主动扫描网络内的资产设备是否具有漏洞库中的相应漏洞。

l 主动检测引擎

可以识别未知的、伪装性强的恶意攻击脚本;结合威胁情报库,进行相关的威胁溯源分析。

功能特点

l 灵活的部署方式

系统支持多种部署模式,可以采用多个方式搭配部署。

l 丰富的规则库

系统本身具有丰富的规则库,同时支持国际标准协议进行远程规则同步,实现规则的及时更新。

l 高效的扫描效率

无论是基于数据包的被动扫描还是基于网络的主动扫描,系统都可以做到全方位无死角扫描。

l 强大的自学能力

基于国际标准的规则描述,使得系统可以和不同的风险预警系统共享情报库,实现规则库的自动升级。

 

 

安全事件共享子系统

安全事件共享子系统可以对安全事件进行快速响应并展示,同时也提供了必要的安全产品之间的信息共享平台和通道。

通过安全情报和信息的共享,可以帮助安全信息机构和组织优化大量复杂的情报信息,使得网络安全信息更为有效和准确。

功能构成

l 事件共享中心

通过事件共享中心,各种不同类型的安全事件、风险描述、资产描述等信息内容得以和策略中心进行共享,再经过安全人员的分析和判断,制定响应的策略。

l 可视化展示中心

展示安全事件收集、分析、处理、交换、更新、人工处理和设备管理等各种数据,并形象化展示整个系统的安全状况。

l 策略管理中心

策略管理中心按照覆盖范围分为三级,全局策略、局部策略和个体策略。

l 策略同步中心

实现了策略制定后的同步下发工作,目前策略同步中心支持LDAP模式下的策略下发。

功能特点

l 统一管理,消灭短板

系统目标在于解决网络系统内的策略短板问题,防止因策略错配、未配而导致某台产品设备功能失效。

l 丰富的策略库

系统本身具有丰富的策略库,同时支持国际标准协议进行远程规则同步,实现策略的及时更新。

l 高效同步机制

系统采用多台同时发布的策略同步技术,采用增量部署、整体验证的模式,可以保证策略发布过程的安全性。

l 标准化的策略表达

系统采用树状结构策略集进行策略表达,符合国际标准,具有较强适应能力。


图7:分级多中心事件共享体系结构