高級威脅檢測
互聯網的快速發展,將網絡空間與政治、經濟、文化、社會軍事等國家安全領域緊密聯系起來。5G、云計算、物聯網、工業互聯網等新興技術發展助推網絡攻擊的深化泛化,隨著網絡攻擊的發展和國際局勢的加劇,組織性復雜、計劃性高效和針對性明確的攻擊活動更趨常態化,高級持續性威脅(APT)攻擊成為網絡空間突出風險源。我國是APT主要受害國,受害對象涵蓋我國政府、金融、能源、運營商、航空航天、軍事、經濟、教育、科研等關鍵信息基礎設施和重要信息系統,活躍時間長達幾年甚至十幾年。
APT攻擊從偵察、入侵、持久化駐留、橫向移動、滲出等階段,攻擊組織不斷改進進攻流程和技術,以期提升攻擊成功率。這些攻擊具備潛伏時間長、“后門”利用多、攻擊目標“精”、跳板部署廣等特點。傳統安全防御技術手段和思路面臨著諸多挑戰,安全防御容易被繞過,具有針對性的高級攻擊,傳統安全防御設備無法識別。
解決方案
科來高級威脅檢測方案,是以基于全流量的安全智能分析為核心,以全流量采集和存儲為基座,形成對于未知威脅的敏銳發現能力。
APT具有潛伏和持續性特點,數據的分析和存儲需要適應巨大的時間跨度;單點單攻擊檢測無法形成對APT攻擊的判定,需通過對歷史數據回溯,并進行關聯分析;為了完全發掘APT的特征,還需對數據進行二次篩選和分析。
基于全流量的安全智能分析,是從海量的網絡流量中進行數據挖掘,通過對不同事件之間的關聯關系進行分析,識別出可能存在的攻擊鏈和攻擊者的行為模式。通過已發現的特征或知識,對未知的APT進行判定、預測和泛化,建立模型和算法對新出現的攻擊進行快速識別和響應,提高整體的安全防護能力。
方案價值
監測發現關鍵數據竊取
基于流量特征和行為模式識別數據竊取行為,通過對流量數據的關聯分析追蹤數據竊取的路徑。通過建立針對數據竊取行為的規則和模型,對流量數據進行實時分析和匹配,可以準確識別出潛在的數據竊取活動。
供應鏈攻擊行為發現
通過部署關鍵節點和網絡邊界流量的監測與深度分析,可發現通過供應鏈攻擊方式,以及幫助發現供應鏈攻擊的其他特征,如異常的網絡連接和傳輸行為、惡意軟件傳播等,識別出攻擊者的行為模式和手段,從而采取相應的防御措施。
數據出境行為分析
通過在關鍵部位配置高級安全分析能力,在對外提供應用、底層涉及軟件、專業工業設備時,深度分析通過合理的運維或數據上報等機制和網絡行為的流量,發現數據回傳的網絡行為。
溯源取證
通過分析存儲的網絡全流量數據,可以追蹤攻擊者的行動路徑和攻擊路徑,幫助了解攻擊者的意圖和目的;重構網絡通信的整個過程以獲取關鍵證據,用于溯源和取證。
方案優勢
協議識別解碼能力
決定了“動作小”的發現能力協議識別解碼能力決定了對各種網絡通信協議的理解、分析和還原能力??苼淼娜珔f議解碼能力,幫助檢測出隱藏在網絡中的“極微小”流量惡意行為,提高對APT攻擊的發現能力,獲取更多關于通信內容、目標地址、攻擊者指紋等信息。
全流量實時采集存儲能力
決定了“潛伏周期長”的回溯能力科來方案具備全流量實時采集和存儲能力,對于“潛伏周期長”的高級攻擊,提供足夠的數據支撐用于回查和檢索相關的網絡流量數據,從而追溯到攻擊的起源和行為。同時,領先的數據索引能力,能夠高效定位和檢索特定事件或時間段的網絡流量數據,提升回溯的準確性和效率。
相關產品
方案咨詢
科來二十余年專注網絡流量分析技術的研究與推廣,致力于將數據價值發揮最大化。我們將為您提供技術領先的產品,并分享科來多年積累的實戰經驗,助力您成功的數字化轉型與更進一步的核心競爭優勢。