201505睿眼WEB攻击检测及溯源
网络攻击溯源与取证技术
网络攻击溯源与取证技术在当今数字化时代,网络攻击已经成为了一个全球性的威胁。
黑客利用网络系统的漏洞和弱点,通过各种手段入侵他人的网络系统或者窃取敏感信息。
为了打击网络犯罪,保护个人和企业数据安全,网络攻击溯源与取证技术应运而生。
一、网络攻击溯源技术网络攻击溯源技术是通过分析网络攻击活动的轨迹和特征,找到攻击者的真实身份和位置,以便将其追究法律责任。
以下是一些常见的网络攻击溯源技术。
1. IP 地址跟踪IP 地址是互联网上的设备标识,当黑客发起攻击时,他们的 IP 地址会被记录下来。
通过对攻击者的 IP 地址进行跟踪,可以追踪到攻击者所在的国家、城市甚至是具体位置。
2. 数据包分析网络攻击通常以数据包的形式传输。
通过对攻击数据包的分析,可以获取攻击者的攻击方式、攻击目标以及使用的工具等信息。
这些信息对于溯源攻击者非常重要。
3. 威胁情报信息威胁情报信息可以提供正在活跃的网络威胁和攻击活动的实时信息。
通过收集并分析这些信息,可以更好地了解攻击者的行为模式和攻击手法,从而进行溯源分析。
二、网络取证技术网络取证技术是指在发生网络安全事件时,通过合法手段收集、保存和分析证据,以便追溯和起诉攻击者。
以下是一些常用的网络取证技术。
1. 日志分析网络日志是网络设备、服务器和应用系统记录的操作日志,包含了大量有关网络活动和事件的信息。
通过分析网络日志,可以重构攻击事件的发生过程并固定证据。
2. 数据备份在遭受网络攻击后,及时对受攻击系统的数据进行备份非常重要。
数据备份可以保留攻击发生前的系统状态和攻击发生时的所有相关数据,为取证提供依据。
3. 数字取证工具数字取证工具是专门用于获取和处理数字证据的软件工具。
这些工具可以恢复文件、分析网络数据包、还原被删除的信息等,从而协助取证分析工作。
三、网络攻击溯源与取证的重要性网络攻击溯源与取证技术的重要性不容忽视。
首先,通过溯源技术可以找到真正的攻击者并提供依据,为打击网络犯罪提供支持。
网络攻击行为识别及溯源技术研究
网络攻击行为识别及溯源技术研究随着网络在我们生活中越来越重要,网络攻击也是层出不穷。
网络攻击不仅影响个人数字资产的安全,而且可能导致崩溃的重要基础设施的影响,甚至造成国家的安全威胁。
因此网络攻击行为识别及溯源技术成为了信息安全界的重点研究领域之一。
一、网络攻击的特点网络攻击的特点是复杂多变的。
首先,攻击手段多种多样,包括DDoS攻击、SQL注入、恶意代码攻击、勒索软件攻击等等。
其次,攻击者能够迅速变换攻击手段,同时不断更新技术手段,绕过现有的防御措施。
最后,网络攻击可以进行匿名和伪装,很难追踪到攻击者,并为攻击者提供一定程度的保护。
二、网络攻击行为识别技术网络攻击行为识别技术是在网络攻击发生的早期,对攻击流量及其特征进行分析,以识别网络攻击行为。
网络攻击行为识别技术可以根据其分类的方式,分为基于签名和基于机器学习两类。
基于签名的网络攻击行为识别技术基于签名的网络攻击行为识别技术是通过对攻击流量及其特征进行分析,以识别网络攻击行为。
该技术基于先前收集到的网络攻击行为数据或特定攻击的特征,以此查找到攻击者使用的恶意代码或攻击流量。
但是该技术有一个缺点,即对于未知攻击流量或攻击者使用了变异代码或攻击流量时,该技术不会有效识别网络攻击行为。
基于机器学习的网络攻击行为识别技术基于机器学习的网络攻击行为识别技术是通过对网络流量特征进行训练,建立机器学习模型,以自主检测新的网络攻击行为。
该技术使用算法将不同特征的数据映射到特定的分类标签上,并根据这些标签进行数据分类和特征提取。
基于机器学习的技术可以有效地识别新的未知攻击,特别是误报率较低。
三、网络攻击溯源技术网络攻击溯源技术是通过对网络流量的追踪和拓扑分析,为受攻击的企业或国家通过可视化分析,找出攻击源头,以及攻击者使用的攻击技术和攻击工具。
网络攻击溯源技术能够提供在网络流量基础上的视觉化分析,以便于安全专业人员更好的了解攻击者行为和目标资产。
网络攻击溯源技术主要分为两个方面:反向追踪和前向溯源。
网络安全中的入侵检测与溯源技术
网络安全中的入侵检测与溯源技术网络安全是当今互联网时代一个备受关注的议题。
随着网络技术的飞速发展和互联网的广泛应用,网络空间的威胁也日益增加。
入侵检测与溯源技术作为网络安全的重要组成部分,可以帮助防范和打击各种网络攻击行为。
本文将介绍入侵检测与溯源技术的概念、发展及应用,旨在提高读者对网络安全的认识和理解。
一、入侵检测技术的概念与分类入侵检测技术(Intrusion Detection System,简称IDS)是网络安全的重要组成部分之一,旨在检测和防范网络中的入侵行为。
入侵指的是未经授权的人或程序获取或破坏计算机系统的资源和信息。
入侵检测技术可以分为基于统计的入侵检测和基于行为的入侵检测两种主要类型。
基于统计的入侵检测方法是根据过去的攻击样本和统计模型来检测新的未知攻击。
它通过对网络流量的分析,寻找异常行为或特定模式来识别入侵。
这种方法的优势是能够及时发现已知的攻击类型,但对于新型攻击缺乏有效防范能力。
基于行为的入侵检测方法则通过对网络流量和系统行为进行分析,寻找与正常行为模式不符的行为特征,从而识别入侵行为。
这种方法能够有效应对未知攻击,但也有一定的误报率和漏报率。
二、入侵检测技术的发展与应用随着网络攻击的不断演进和复杂化,入侵检测技术也在不断发展和完善。
目前,主要的入侵检测技术包括基于规则的入侵检测系统(Rule-based IDS)、基于异常的入侵检测系统(Anomaly-based IDS)和基于深度学习的入侵检测系统(Deep-learning-based IDS)。
基于规则的入侵检测系统是最早被广泛应用的入侵检测技术之一。
它通过事先定义一系列规则来识别入侵行为,并在发现匹配规则的行为时进行警报或阻断。
这种方法适用于已知攻击类型的检测,但对于未知的攻击缺乏有效防御能力。
基于异常的入侵检测系统则以正常行为模式为基准,通过对网络流量和系统行为的实时监测和分析,寻找与正常行为模式不符的异常行为特征来识别入侵。
网络安全和攻击溯源如何追踪和定位黑客攻击来源
网络安全和攻击溯源如何追踪和定位黑客攻击来源网络安全是当今信息社会中非常重要的一个领域,而黑客攻击作为网络安全的主要威胁之一,给人们的生活和工作带来了很大的风险和困扰。
在保护网络安全的过程中,追踪和定位黑客攻击的来源就成为了关键一环。
本文将阐述网络安全和攻击溯源的基本原理,并介绍追踪和定位黑客攻击来源的常用方法和技术。
一、网络安全和攻击溯源的基本原理网络安全是指通过采取各种技术手段和措施,保护计算机网络的安全性、完整性和可靠性,防止未经授权的访问、被篡改、被破坏和被窃取。
而攻击溯源则是指通过技术手段追踪黑客攻击的来源,找出攻击者的真实身份和所在位置。
在网络安全中,首要的一步是建立一个健全的安全体系,包括防火墙、入侵检测系统、入侵防御系统等,以阻止黑客的入侵和攻击。
同时,安全策略的制定和安全意识的培养也非常重要。
攻击溯源主要是通过分析网络数据包的信息来获取攻击者的来源信息。
当黑客对目标网络发起攻击时,不可避免地会在网络中留下痕迹。
溯源的过程,可以通过分析黑客攻击所使用的IP地址、域名、数据包等信息,并通过技术手段追踪到其真实身份和所在位置。
二、追踪和定位黑客攻击来源的常用方法和技术1. IP地址追踪IP地址是互联网中设备的唯一标识,攻击者在进行黑客攻击时往往需要通过互联网与目标建立连接。
因此,通过分析黑客攻击所使用的IP地址,可以初步确定攻击的来源。
IP地址追踪可以通过一些专门的工具和技术来实现。
例如,通过网络流量数据的监测和分析,可以发现异常的IP地址,并对其进行追踪。
此外,还可以利用一些IP地理定位的服务,根据IP地址的物理位置信息来定位攻击来源。
2. 域名追踪黑客攻击中常常利用一些恶意的域名来进行攻击,通过分析这些恶意域名的信息,可以揭示攻击的来源。
域名追踪可以通过查询恶意域名的注册信息和解析记录来实现。
通过查看域名注册者的相关信息,如姓名、邮箱、电话号码等,可以初步确定攻击者的身份和所在地。
网络攻击溯源与追踪的技术与方法
网络攻击溯源与追踪的技术与方法概述随着互联网的迅速发展,网络攻击成为了一个常见的威胁。
为了保护网络安全,溯源和追踪网络攻击成为了重要的技术和方法之一。
本文将介绍网络攻击溯源和追踪的技术与方法,包括IP地址追踪、日志分析、蜜罐技术以及数字取证等。
I. IP地址追踪IP地址追踪是网络攻击溯源的基础。
每台连接到互联网的设备都有一个唯一的IP地址,通过追踪该IP地址可以确定攻击者的位置。
通常,网络管理员可以利用网络流量监测工具来实时追踪IP地址。
另外,一些专门的溯源工具也能提供更为细致的追踪和地理定位信息。
II. 日志分析日志分析是网络攻击溯源的另一种常见方法。
网络设备、服务器和应用程序可以生成大量的日志,这些日志记录了网络活动和事件信息。
通过分析这些日志,可以找到异常行为并追踪攻击者。
例如,异常登录日志、访问日志和安全事件日志都可以提供有关攻击的线索。
III. 蜜罐技术蜜罐技术是一种主动防御手段,它模拟了一个真实的系统或网络环境,吸引攻击者进攻。
通过设置蜜罐来吸引攻击者,网络管理员可以更好地了解攻击者的行为,并追踪他们的攻击路径。
蜜罐还可以收集攻击者使用的工具和技术,进一步帮助分析和追溯攻击。
IV. 数字取证数字取证是指通过收集、分析和保护数字证据来追踪和识别网络攻击者。
数字取证可以帮助确定攻击者的身份、攻击的手段和目的。
在信息安全领域中,常用的数字取证工具有EnCase、Forensic Toolkit (FTK)等。
通过对计算机文件系统和网络数据流的分析,可以获取与攻击相关的信息。
V. 数据包分析数据包分析是网络攻击溯源和追踪的重要技术手段。
网络上的交换数据包携带着攻击者和受害者之间的通信信息,通过分析这些数据包可以追踪攻击的来源和路径。
一些网络安全分析工具如Wireshark、Tcpdump等,能够帮助捕获网络数据包,并提供详细的协议分析和流量统计。
VI. 协同合作网络攻击溯源与追踪需要多方协作,包括企业、政府和安全机构。
网络攻击溯源报告
网络攻击溯源报告摘要:网络攻击已成为现代社会中的严重问题。
溯源网络攻击可以帮助我们了解攻击的来源和方法,并采取相应的应对和预防措施。
本报告将详细介绍网络攻击溯源的过程和方法,以及分析和应对网络攻击的重要性。
第一部分:导言网络攻击是指通过利用计算机和网络系统中的漏洞和弱点,以非法手段获取、篡改或破坏信息的行为。
网络攻击威胁着金融、政府、企业和个人的安全与利益。
因此,溯源网络攻击成为了非常重要的任务。
第二部分:网络攻击溯源的过程1. 收集证据和数据:在进行网络攻击溯源之前,必须先收集攻击事件发生的证据和相关数据,包括网络日志、入侵检测系统警报、网络流量数据等。
2. 分析数据:收集的数据需要经过仔细分析,以确定攻击的类型、时间、攻击技术和攻击者使用的工具和方法。
3. 确定溯源路径:通过分析数据,可以确定网络攻击的溯源路径,即攻击者从哪里发起攻击、经过哪些网络节点、使用了哪些设备和服务。
4. 确认攻击来源:基于溯源路径和其他分析结果,可以尽可能准确地确定攻击来源,如攻击者所在国家、城市或特定组织。
5. 制作报告:在完成溯源过程后,需要将溯源结果进行整理和概述,编写溯源报告,详细记录溯源的过程、结果和结论。
第三部分:网络攻击溯源的方法1. 数字取证:数字取证是通过收集、保存、分析和呈现数字证据的过程,有助于确定攻击者的身份、活动和路径。
2. 数据包分析:通过对网络数据包的深入分析,可以获取攻击事件的详细信息,进而溯源攻击来源。
3. 恶意代码分析:对攻击中使用的恶意代码进行分析,可以帮助了解攻击者的意图和方法,从而溯源攻击者。
4. 社交工程:通过调查和调查目标个人、组织或系统的社交网络和互动,可以追踪攻击的背后人物。
第四部分:网络攻击溯源的重要性1. 预防未来攻击:通过溯源网络攻击,可以了解攻击者的技术手段和策略,从而提前采取预防措施,保护网络安全。
2. 保护个人隐私:溯源网络攻击可以遏制黑客入侵和数据泄露,保护个人隐私和信息安全。
网络安全防护的黑客攻击与溯源技术
网络安全防护的黑客攻击与溯源技术在当今数字化时代,网络安全已经成为一个日益重要的问题。
随着互联网的普及和信息技术的发展,黑客攻击呈现出不断增加的趋势,给个人和组织的信息安全带来了严峻的挑战。
为了对抗黑客攻击,人们提出了各种网络安全防护技术,其中溯源技术是一种非常重要的手段。
本文将就黑客攻击的现状和常见攻击方式进行简要介绍,然后重点讨论溯源技术的原理和应用。
一、黑客攻击的现状和常见攻击方式黑客攻击是指以非法入侵计算机网络、系统或应用为目的的攻击行为。
黑客攻击的威胁范围广泛,从个人电脑到企业服务器再到国家基础设施,无所不及。
目前,黑客攻击的形式多种多样,常见的攻击方式包括以下几种:1. 钓鱼攻击:黑客通过伪装成合法机构或个人的方式来获取用户的账号和密码等敏感信息。
他们通常会通过发邮件、短信或社交媒体信息引诱用户点击恶意链接或下载恶意附件。
2. 拒绝服务攻击(DDoS):黑客通过向目标服务器发送大量请求,占用其大量资源,从而使其无法正常为合法用户提供服务。
这种攻击方式可以导致服务器崩溃或网络瘫痪。
3. 数据泄露:黑客利用系统漏洞或未经授权的访问手段获取用户的个人信息或企业的商业机密,并将这些信息公之于众,给个人和企业造成重大损失。
二、溯源技术的原理和应用为了应对黑客攻击,人们提出了各种网络安全防护技术,其中溯源技术是一种重要的手段。
溯源技术通过分析网络数据流和日志记录来跟踪攻击者的身份和行为,以便确定攻击来源并采取相应的防护措施。
溯源技术主要包括IP地址追踪和流量特征分析两种方法。
1. IP地址追踪:每个连接到互联网的设备都有一个唯一的IP地址,通过追踪攻击过程中的IP地址,可以确定攻击者的大致地理位置和使用的网络服务提供商。
这些信息有助于进一步调查和打击黑客攻击。
2. 流量特征分析:黑客攻击通常具有一定的特征,例如攻击流量的突然增加、非正常活动行为的频繁发生等。
通过对这些特征进行深入分析,可以揭示出攻击者隐藏的攻击手段和意图,并及时采取相应的安全措施。
网络攻击溯源技术
网络攻击溯源技术网络攻击的日益猖獗给互联网安全带来了巨大挑战,为了规范网络环境、保护网络安全,溯源技术应运而生。
网络攻击溯源技术是通过分析和追踪攻击者的IP地址、行为轨迹和攻击手段等信息,最终确定攻击来源的技术手段。
本文将介绍网络攻击溯源技术的基本原理和应用,旨在增加读者对该技术的了解与认知。
一、网络攻击溯源技术的基本原理网络攻击溯源技术的基本原理是基于网络数据包的追踪和分析。
当网络遭受攻击时,系统管理员可以通过日志记录和网络设备的追踪功能获取到大量攻击数据包的信息,这些信息包括源IP地址、目标IP地址、传输协议、攻击类型等。
通过对这些数据包进行分析,并利用数据包中的元数据,可以追踪到攻击者的来源。
在进行网络攻击溯源时,必须依赖于网络设备和配套软件的支持。
常见的网络设备如路由器、交换机等可以通过配置追踪表、访问控制列表等功能,记录网络流量信息,并捕获到可疑的数据包。
同时,通过数据包的分析工具,可以对数据包进行解析和提取,获取到攻击者的关键信息。
二、网络攻击溯源技术的应用1. 网络安全防护网络攻击溯源技术可以帮助网络管理员及时发现并追踪到入侵者,并采取相应的防护措施,提高网络安全防护能力。
通过溯源技术,管理员可以定位攻击源头,并及时阻断入侵,避免更大的损失。
2. 刑事案件侦破网络攻击溯源技术在刑事案件侦破中起到了重要的作用。
当发生网络犯罪时,警方可以借助溯源技术获取攻击者的真实身份信息,为案件侦破提供重要线索。
通过分析攻击者的行为特征、攻击路径等信息,可以缩小嫌疑人范围,加快案件侦破进程。
3. 企业信息安全对于企业来说,信息安全是至关重要的。
通过网络攻击溯源技术,企业可以及时发现并排查潜在的攻击威胁,保护公司的机密信息不被窃取或泄露。
通过分析攻击者的行为轨迹,识别攻击方式,企业可以采取有针对性的安全措施,提高安全防护能力。
三、网络攻击溯源技术的局限性和挑战尽管网络攻击溯源技术在网络安全方面发挥着重要作用,但也存在一些局限性和挑战。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
睿眼Web攻击检测及溯源技术交流资料北京中睿天下信息技术有限公司2015年6月目 录一、技术优势 (3)二、产品介绍 (5)1、产品描述 (5)2、技术创新 (5)3、系统架构 (5)4、工作流程 (6)5、智能分析引擎 (7)6、大数据溯源基础 (9)三、产品特点 (11)四、工作原理 (12)1、检测攻击威胁 (12)2、还原攻击过程 (12)3、攻击溯源 (13)4、弱点分析 (13)五、关键技术 (14)1、以攻击模型为基础的检测技术 (14)2、基于大数据引擎的攻击者溯源技术 (14)3、大数据联动技术 (14)六、功能模块 (15)1、睿眼前端展示中心 (15)2、睿眼攻击溯源联动中心处理设备 (16)七、典型部署 (18)1、核心交换单机旁路部署 (18)八、应用领域 (19)一、技术优势1、业界目前使用的IDS、IPS、WAF主要依靠本地检测引擎进行分析,没有云端检测引擎,也没有大数据分析;主要通过定时检测规则库更新来升级本地规则库。
IDS、IPS、WAF只能通过匹配规则库特征码来进行检测防御,且只能检测出攻击的类型,没办法进行深度的溯源分析。
IDS、IPS、WAF本地特征库检测范围有限很容易被攻击者绕过,无法检测出真正的攻击,导致重要数据丢失,更严重可能导致系统瘫痪,造成严重的后果。
2、睿眼检测威胁除了本地规则库以外,最主要的是依靠十几个云端引擎和云端大数据对攻击者进行智能检测分析,攻击者很难绕过;并且可以分析出攻击者的攻击目的、所采用的攻击工具、攻击者的背景甚至身份。
3、睿眼云端威胁联动平台配合本地规则库,关联攻击者在互联网上其他的攻击行为。
深度预处理,高达2亿个域名进行预处理分析,打造即时的基于域名与IP的新型查杀技术;规则库更齐全不容易被绕过。
4、睿眼可根据事件的推动机制,精准的攻击者攻击事件定性,准确的攻击成功与失败判断,告别传统的大量无效的攻击分析,大大提高误报率。
5、态势可视化,还原攻击者的攻击流程,清晰的展示出攻击者是如何一步步进行攻击的,通过总流程可能会分析出ODAY攻击。
也可通过互联网地图,时时捕获全球互联网态势。
6、事件关联性,通过把一个单独的攻击事件尽可能的关联出其曾经是否在互联网上有过其它的攻击行为,能为分析攻击者提供更多的详细资料。
7、弱点报告生成,根据攻击者的攻击轨迹,生成系统存在的漏洞报告,及时修复漏洞,防止受到二次攻击,二次损害。
8、睿眼只是旁路部署,不会影响到任何业务,并且程序支持大流量分析,所有架构均采用大数据时代的标准。
二、产品介绍1、产品描述睿眼Web攻击溯源联动中心是以检测攻击威胁,还原攻击过程、攻击溯源、弱点分析集一身的新一代网络安全产品。
本解决方案具有更强的检测能力以及最大亮点是攻击溯源。
主要解决以下四个问题:是否遭受到攻击?攻击者如何攻击的?谁在攻击?弱点报告,免遭二次攻击。
2、技术创新基于攻击模型的威胁深度检测;基于云端大数据的联动态势感知;对攻击过程的完整还原;对攻击者进行目的、背景、身份进行深度分析溯源;3、系统架构睿眼攻击溯源联动中心主要采用B/C/S架构,实现对web服务器的可疑数据的监控、分析、识别、预警。
系统架构如下图所示:睿眼攻击溯源联动中心网关设备通过在网络出口、核心交换设备上对流出和流进的网络通信数据进行实时监控,发现网络中攻击行为,并及时进行预警,保障用户网络的安全,防止木马后门窃取重要资料等行为。
如果检测到攻击行为,则会对攻击者的所有攻击过程进行可视化还原,清晰的展示出攻击者如何一步一步对目标进行攻击的。
借助溯源中心和联动中心,对攻击者进行详细分析,分析出攻击者的目的、背景、身份。
根据攻击者攻击成功的流程,最后生成弱点分析报告,提供给管理员,及时修复这些漏洞,防止二次攻击。
4、工作流程该系统通过对所有入口网络包进行深度分析,经过大数据威胁检测中心(包含多个本地分析引擎以及云端分析引擎)进行威胁检测,通过溯源中心(云端引擎)分析攻击者目的、背景、身份。
最后生成弱点分析报告,提出解决方案。
工作流程如下图所示:5、智能分析引擎该系统借助18个分析引擎对网络威胁全方位深度分析,联动全球互联网安全厂商的检测体系,联动云端态势感知威胁引擎,智能感知攻击行为。
示意图如下:部分引擎介绍:(1)基础信息分析引擎,通过该引擎智能化分析大量互联网真实存在的信息,有助于还原攻击者的身份信息。
(2)规则包处理引擎,主要针对web攻击类,检测各种web威胁,比如独有的双向检测机制,检测web后门成功率100%。
(3)全球域名分析引擎,该引擎是实时监控记录全球所有域名信息,包括其解析记录,对应的IP开放端口记录,注册信息记录,通过大量数据的收集并深度挖掘能对恶意域名提前判断功能,当攻击还未进行,系统已经预知了其下一步的攻击行动和攻击者的一些资料信息。
(4)恶意ip分析引擎,包含两部分,第一部分已知恶意IP库,通过各种方法收集的全球恶意IP记录达到千万条,并且库中记录了该IP曾经的恶意行为和攻击事件,该库也在持续更新中;第二部分是通过引擎智能化分析规则,对全球IP进行可疑分析。
(5)互联网地图引擎,该引擎包含两部分,包括全球IP和详细地理位置对应信息库,绘出全球真实的互联网地图。
(6)程序指纹分析引擎,该引擎主要应用于识别黑客工具类软件,该程序指纹不是用来识别程序本身,而是程序产生的数据包等特征,比如扫描程序,产生扫描的数据包,通过对数据包的模糊算法识别分析出对应的工具。
所以当拦截到数据包就能分析出对应的软件。
在web服务器遭受攻击时,通过该引擎能自动识别攻击者使用的黑客工具,有助于判断黑客的身份。
(7)黑客手法分析引擎,该引擎能根据收集的大量黑客攻击手法进行深度分析,不仅能分辨出黑客的水平,甚至能根据黑客的攻击手法确定黑客的身份和组织。
(8)黑客身份定位引擎,该引擎实时收集全球大量黑客个人和组织信息,以及对应的攻击事件,当检测到攻击时,联动其他引擎,包括程序指纹分析引擎、黑客手法分析引擎等,能自动识别是否为对应的攻击者,如果未识别,也会自动收集该攻击行为的指纹和手法,下次遇到同样攻击行为指纹和手法也能识别。
(9)沙箱引擎,分为脚本沙箱引擎和程序沙箱引擎,对脚本类和程序类后门都能做智能行为判断。
(10)联动引擎,通过智能算法联动所有引擎以及互联网上所有可能用到的资源,对攻击行为进行全面溯源。
比如联动云引擎可以根据攻击者的IP,指纹以及攻击手法能关联出攻击者曾经在其他地方的攻击历史,联动其他互联网安全厂商资源可以关联出攻击者曾在互联网上的其他攻击行为。
6、大数据溯源基础对攻击者进行溯源,必须以大数据做支撑。
以下为该系统需要的部分基础数据。
(1)拥有全球IPV4信息知识库,包括该IP对应的国家地区、对应的操作系统详情、浏览器信息、电话、域名等等。
并对全球IP地址实时监控,通过开放的端口、协议以及其历史记录,作为数据模型进行预处理。
(2)拥有全球虚拟空间商的IP地址库,如果访问者属于该范围内,则初步可以判定为跳板IP。
(3)拥有全球域名库,包括两亿多个域名的详细信息,并且实时监控域名动向,包括域名对应的IP地址和端口变化情况,打造即时的基于域名与IP的新型判断技术,通过该方式可以初步判断是否为C&C服务器、黑客跳板服务器。
(4)拥有黑客互联网信息库,全球部署了几千台蜜罐系统,实时收集互联网上全球黑客动向。
(5)独有的黑客IP库,对黑客经常登录的网站进行监控、对全球的恶意IP实时获取。
(6)黑客工具指纹库,收集了所有公开的(部分私有的)黑客工具指纹,当攻击者对网站进行攻击时,可以根据使用的黑客工具对黑客的地区、组织做初步判断。
(7)黑客攻击手法库,收集了大量黑客攻击手法,以此来定位对应的黑客或组织。
(8)其他互联网安全厂商资源,该系统会充分利用互联网各种资源,比如联动50余款杀毒软件,共同检测服务器木马程序。
(9)永久记录黑客攻击的所有日志,为攻击取证溯源提供详细依据。
三、产品特点1. 智能检测,对 web 攻击行为进行精准检测,智能捕捉 0day 攻击;2. 智能态势感知,自学习功能,自更新式威胁分析;3. 云端威胁联动平台,关联攻击者在互联网上其他的攻击行为;4. 深度预处理,高达 2 亿个域名进行预处理分析,打造即时的基于域名与 IP的新型查杀技术;5. 事件推动机制,准确的攻击成功与失败判断,告别传统的大量无效攻击分析;6. 态势可视化,通过世界互联网地图,时时捕获全球互联网态势;7. 事件溯源分析系统,让攻击者无处藏匿;8. 弱点报告生成,根据攻击者的攻击轨迹,生成系统存在漏洞的报告。
及时修复漏洞,防止二次攻击。
四、工作原理1、检测攻击威胁睿眼攻击溯源联动中心通过分析服务器入口的网络数据包,提取数据包中的各种信息进行深度分析。
(1)基于规则库的深度检测把攻击者所有可能的方法进行总结,采用广谱加智匹配算法相结合,增加检测率的同时降低了误报,采用流量包双向检测技术,自动识别攻击是否成功。
(2)基于攻击模型的深度检测传统的攻击检测技术往采用特征码匹配, 攻击者经过深入研究总能绕过,而该系统通过对攻击行为的进数学建模分析,总结了大量攻击模型,攻击者很难绕过检测,比如异常流量模型,文件异常访问模型等。
(3)基于云端联动引擎的态势感知云端联动引擎包含了多个检测,以及互联网其他安全资源进行动,借助互联网大数据对攻击行为进行态势感知,在攻击者还未真正做出攻击的时候已经做出来危险感知。
2、还原攻击过程睿眼攻击溯源联动中心在确定攻击事件后会回溯所有攻击相关的网络数据包,对系统近期的所有行为进行串联,确定攻击事件的整个事件周期,展示整个攻击事件的所有细节。
以时间轴的方式将攻击者的所有攻击动作列举出来。
还原攻击过程以检测威胁为基础,也许攻击者采用多种绕过技术绕过了大部分检测机制,但只要有一个点出现可疑情况,还原引擎会对该ip的所有行为重新回滚,进行二次分析,避免了因为攻击者不连续的攻击而造成漏报。
比如某攻击者第一天对网站仅仅是简单的扫描探测,达不到入侵的标准,所以无法报警,但如果几天后又对网站有进行其他疑似攻击行为,单条行为都不满足攻击的报警条件,传统安全设备则会单独处理不同的安全事件,而该系统则会利用还原引擎对不同时间的攻击行为进行串联,做二次深度分析。
3、攻击溯源睿眼攻击溯源联动中心是以攻击手法作为模型进行检测,这些攻击手法的模型源自于设计者对于攻击行为的熟悉程度,该系统的设计者和开发者都是资深的网络安全专家,对全球的黑客攻击事件有着很深的研究。
他们对于黑客攻击手法了如指掌,对黑客的攻击思路一清二楚,只要进行网络攻击就会通过网络,一定会留下线索,即使刻意隐藏自身,也一定会留下蛛丝马迹。