日期:2019-11-12 點(diǎn)擊: 關(guān)鍵詞:網(wǎng)絡(luò)安全,等級(jí)保護(hù)
網(wǎng)絡(luò)安全問題是信息時(shí)代最重要的問題,保護(hù)網(wǎng)絡(luò)安全非常重要。年中,國家發(fā)布了等級(jí)保護(hù)2.0標(biāo)準(zhǔn),將于12月1日起實(shí)行。在2.0的標(biāo)準(zhǔn)下,首先提出了“威脅情報(bào)系統(tǒng)檢測(cè)”的要求,這是什么東西呢?下面就來簡(jiǎn)單談?wù)劇?/p>
(網(wǎng)絡(luò)安全)
威脅情報(bào)檢測(cè)系統(tǒng)是一類網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,對(duì)網(wǎng)絡(luò)流量和終端進(jìn)行實(shí)時(shí)監(jiān)控、分析,應(yīng)用威脅情報(bào),機(jī)器學(xué)習(xí),沙箱等多種檢測(cè)方法,發(fā)現(xiàn)隱藏在海量流量和終端日志中的可疑活動(dòng)與安全威脅,幫助企業(yè)安全團(tuán)隊(duì)精準(zhǔn)檢測(cè)失陷(被控)主機(jī) ,追溯攻擊鏈,定位當(dāng)前攻擊階段 ,防止攻擊者進(jìn)一步破壞系統(tǒng)或竊取數(shù)據(jù)。
威脅情報(bào)檢測(cè)系統(tǒng)已被證實(shí)在日常安全運(yùn)維和重保活動(dòng) 中發(fā)揮了關(guān)鍵作用。
從系統(tǒng)架構(gòu)上講,威脅情報(bào)檢測(cè)系統(tǒng)與傳統(tǒng)的基于規(guī)則的檢測(cè)系統(tǒng)相比,有很大變革,至少需要具備如下八個(gè)模塊:
一、全流量的日志、文件提取與報(bào)警pcap存儲(chǔ):對(duì)網(wǎng)絡(luò)全流量進(jìn)行協(xié)議還原,提取網(wǎng)絡(luò)流量日志與流量中的文件,對(duì)所有報(bào)警和可疑網(wǎng)絡(luò)行為保存pcap以供后續(xù)分析,并提供可視化能力對(duì)機(jī)器的網(wǎng)絡(luò)行為進(jìn)行深度分析;
二、威脅情報(bào)檢測(cè)模塊:分鐘級(jí)別同步最新的專業(yè)威脅情報(bào)數(shù)據(jù),并用于實(shí)時(shí)流量檢測(cè),情報(bào)包不只包含基礎(chǔ)的失陷指標(biāo)IOC,還應(yīng)包含黑客團(tuán)伙情報(bào)信息;
三、機(jī)器學(xué)習(xí)模型檢測(cè)模塊:應(yīng)用各類機(jī)器學(xué)習(xí)算法對(duì)傳統(tǒng)統(tǒng)計(jì)規(guī)則、威脅情報(bào)無法發(fā)現(xiàn)的網(wǎng)絡(luò)威脅進(jìn)行檢測(cè),如數(shù)據(jù)竊取行為、隧道通信行為、DGA域名等;
四、惡意文件檢測(cè)引擎模塊:對(duì)流量中提取的文件應(yīng)用本地的文件檢測(cè)引擎,進(jìn)行高效率的惡意文件識(shí)別;
五、沙箱檢測(cè)模塊:對(duì)本地可疑文件,應(yīng)用本地或者云端沙箱技術(shù)進(jìn)行判定;
六、內(nèi)網(wǎng)橫向移動(dòng)檢測(cè)模塊:支持接入內(nèi)網(wǎng)流量發(fā)現(xiàn)內(nèi)部橫向移動(dòng)行為;
七、自定義情報(bào)檢測(cè)模塊:支持提供自定義情報(bào)功能,并應(yīng)用于實(shí)時(shí)流量檢測(cè);
八、攻擊鏈回溯分析模塊:對(duì)所有發(fā)現(xiàn)的各類威脅告警可以按照攻擊鏈進(jìn)行關(guān)聯(lián),完整回溯攻擊過程。
企業(yè)通訊