记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

创宇云图威胁感知系统:为威胁感知、溯源、分析、预警提供决策支持

2021-09-10 19:01

随着大数据、云计算、人工智能等技术的飞速发展,万物互联的时代已然处于正在进行时,越来越多的城市基础设施与互联网相连,政府、机构、企业等业务的数字化转型工作也在如火如荼的进行中。

然而,技术是把双刃剑,既便利了生活的方方面面,也让心怀不轨之人入侵网络、窃取数据、发起攻击的手段变化多端,难以察觉。因此,及时了解网络安全态势和情报,实时分析预警,已成为当前网络安全防御中的刚需
本文,我们就来一起了解下威胁态势感知的相关概念以及知道创宇在威胁感知方面的一把“利器”——创宇云图威胁感知系统


传统安全平台与威胁态势感知


01

什么是威胁态势感知?


态势感知(SA,Situation Awareness)是在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。或者,态势感知是经过某种信息的处理过程达到的知识状态,这种处理过程称为“态势评估”(Situation Assessment)。


态势感知中的“觉察”又称为一级SA,本质上是“数据收集”;“理解”称为二级SA,本质上是掌握数据中的知识(数据中的对象及其行为和对象间的相互关系);“预测”称为三级SA,本质上是知识的应用。


新时期的态势感知更倾向于网络安全方面。在安全领域,该技术是指广泛采集和收集广域网中的安全状态和事件信息,并加以处理、分析和展现,从而明确当前网络的总体安全状况,为大范围的预警和响应提供决策支持的技术


一般来说,态势感知模块支持对网络空间安全态势进行全方位、多层次、多角度、细粒度感知,包括但不限于对重点行业、重点单位、重点网站、重要信息系统、网络基础设施、大数据等保护对象的态势进行感知;结合IP地址库和域名库,对僵尸网络、恶意代码、DDoS攻击、入侵攻击、网络异常、钓鱼网站等威胁事件态势进行感知;对突发事件、特定组织活动、特定类别威胁、重大活动期间的保护对象、APT攻击等进行专项态势感知。


威胁态势分析,也称作威胁管理指标体系展现,系统通过对预警子项中的关键威胁指标(如:蠕虫爆发、病毒爆发、DDoS攻击等)进行加权平均计算得到一个威胁指数,以量化的方式反映出当前网络的安全状态。


综合利用各种渠道获取到大数据,利用大数据技术进行分析挖掘,实时掌握网络攻击的对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问题、风险等情况,对比历史数据,形成趋势性、合理性判断,为通报预警提供重要支撑。


根据上述概念定义,安全态势感知平台应具备如下图所示的几个关键要素:



02

传统安全平台在威胁态势感知方面的不足


数据不足和检测能力缺失

传统安全平台只提供事件告警数据,通常只对事件日志进行关联,如需进一步进行数据安全检测,则缺少元数据支持,同时也没有丰富的网络安全情报。

无法处理海量多源数据

传统安全平台的事件采集与分析能力无法满足海量数据的处理需求,且平台存储周期短,无法进行长时间窗的关联分析和检测。

不易溯源取

传统安全平台在攻击发生中、发生后只有告警,没有相关数据,只能基于事件表形式进行溯源,不易使用。


创宇云图威胁感知系统(CIC)


创宇云图威胁感知系统(简称CIC),采用了大数据分布式集群与人工智能技术,内部集成了大数据威胁情报系统(简称CTI)的主要组件,包括态势感知、威胁告警、追溯取证、资产管理、情报感知、报表六大功能模块,具备安全数据多源分布式采集、海量数据实时处理、分布式数据存储、人工智能威胁检测、长时间窗离线关联分析等能力,并能精确感知、理解和预测整体安全态势,全方位展示实时威胁态势


创宇云图威胁感知系统界面


本系统具备以下功能特点:


01

人工智能、大数据与安全技术的结合


CIC采用了机器学习/深度学习技术,可基于AI检测模型(例:DGA检测、恶意加密流量检测、未知协议流量检测、洋葱网络流量检测、DNS隐蔽隧道检测等模型)和多种协议元数据进行二次检测,同时也具备检测高级威胁的能力,如APT攻击


CIC基于大数据分布式集群构建,能快速处理海量数据及威胁事件,关联分析时间窗可长达6个月或更久。它还能直观展示全方位的安全态势,可有效的支持决策与行动。


02

多源数据关联分析


CIC不仅可基于高级威胁检测系统(简称ATD)上报的元数据进行二次分析,还可以采集网络设备、主机、服务器的日志、Netflow,ATD及其他安全设备的安全事件等数据,结合CTI的威胁情报进行深入的关联分析。


通过关联分析可对低级事件进行归并,也能准确判断Web攻击、钓鱼邮件攻击等安全攻击是否成功,发现单一安全设备无法发现的高级威胁,有效提升安全告警的准确性,全面感知整体威胁态势,为安全威胁预警和决策提供支持。


03

安全威胁情报全面感知


CIC内部集成CTI的主要组件,在大数据集群本地存储有全量威胁情报(包括IP、域名、URL、文件Hash和漏洞等),能通过预处理整合各类基础数据(如各种威胁事件、全面的域名-注册者对应关系、二级域名-子域名、域名-攻击团伙对应关系,以及自身的域名日志数据),基于数据本身的特性进行数据间的关联拓展、丰富数据含义,并能以图形化的方式对各数据元素进行展示,支持安全威胁的动态挖掘追溯


04

全方位的安全态势感知


CIC基于全面的检测能力、多维度的数据,利用大数据及人工智能技术进行分析、挖掘,呈现全方位的安全态势。不仅可以展示实时攻击态势、安全威胁态势、安全风险态势等各种安全态势指数,还可以从受害主机角度、攻击者角度、僵尸网络角度等不同的视角展示各种安全威胁及告警


05

基于威胁事件的可视化辅助分析


CIC使用知识图谱技术将不同威胁事件内部的实体和关系抽离出来分别对应到图结构的点和边,并使用图关系数据库存储相关数据,使得威胁事件及其内部的联系转化为更符合人类认知的图形,辅助安全人员对安全威胁进行深入分析。


系统支持根据时间、事件严重程度、事件类别等信息来进行安全威胁筛选和关联,并能将筛选结果以关系图的形式展示出来,便于安全威胁的分析与回放。


06

多租户独立使用与管理


通过对数据源设备、端口、网段进行标记,不同租户仅能访问具有特定标记的或特定数据来源的信息,支持多租户对CIC的独立使用与管理也可实现组织内对不同网络或网段的独立使用与管理


应用场景


创宇云图威胁感知系统适用于网络安全态势感知、大数据安全分析、威胁事件溯源取证等场景。部署时需要与创宇云图威胁检测系统、全流量威胁取证系统(可选),共同组成解决方案。






精彩推荐



“某牛”APP公司负责人被刑拘,平台内容治理为何这么难?
「专用目标筛选机」压轴登场,2021新品发布季完美收官!
银行安全做得好,这个秘诀你必须知道!




知识来源: https://mp.weixin.qq.com/s?__biz=MjM5NzA3Nzg2MA==&mid=2649854842&idx=1&sn=7a548759cbda1e49f08a38109e35c182

阅读:3615 | 评论:0 | 标签: 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“创宇云图威胁感知系统:为威胁感知、溯源、分析、预警提供决策支持”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云