我们常听到的APT的架构是怎样的?

  • 时间:
  • 浏览:1

强大的IP出理 能力,能出理 黑客进行各种碎片攻击。TCP多包组合攻击技术(攻击分因此 包发送,一次另还还有一个多多 或几只字节)还才能 轻松地绕过普通的模式匹配类型的入侵检测系统。平台基于TCP流重组功能还才能 重组TCP连接的双方的通讯,组合各个攻击包,使所有的组合包攻击技术无能为力。

采用异常轮廓统计分析技术,具有自主学习能力,根据网络中正常情况表下的信息,还才能 检测网络中的异常情况表,自动分易挥发各种新形式的入侵、变种的入侵、系统误用等。

支持多种些解码分析,能对ARP、RPC、HTTP、FTP、TELNET、SMTP等多种应用协议进行解码分析,能追到基于什么协议的交互命令和命令执行情况表。综合使用了底部形态匹配、协议分析和异常行为检测等最好的法子,采用了自适应多协议融合分析技术。

系统还才能 实现完备的分析检测功能,包括TCP流重组,端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、TELNET交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。综合使用了底部形态匹配、协议分析和异常行为检测等最好的法子,采用了自适应多协议融合分析技术。

对网路攻击分析和恶意文件分析检测没哟的未知威胁,系统还才能 制定策略将收集的文件因此 请求操作塞进 动态虚拟沙箱中进行实时模拟,并生成文件行为报告供用户进行选泽 APT攻击的参考。

管理人员对告警的出理 操作会被全版记录,出理 后的告警保留在历史告警中供之前 查询统计。对于当前告警和历史告警都才能最好的法子灵活配置的分类规则分别进行统计分析报表。

在同一告警管理窗口集中显示来自不同信息源的事件信息,不同信息源的告警经过统一的格式化进入平台告警界面。管理员还才能 从告警浏列表中选中十根绳子 或多条告警,以对其执行各种管理操作:如查看全版信息、确认告警、延后出理 、上加注释、上加专家意见、撤除确认、删除告警、指定负责人、创建告警过滤条件等。

Agent是跨平台的,还才能 运行在Windows、Linux和MAC OS上,主要完成对恶意守护多多线程 的分析以及host报告分析结果等工作。

灰:对于绕过入侵检测和杀毒软件的灰色数据,引入动态沙箱检测技术,使用多种虚拟机环境运行被检测文件,监测文件打开后的系统环境、内存情况表以及文件的各种行为等以选泽 文件有无为恶意文件。

知识库中有 病毒库、情报库、安全知识库、案例库等,支持新增库类并自定义库名。其具体中有 知识列表的全版信息和知识类型名,包括标题,创建者,知识库类型,创建时间,最后更新时间以及备注等。

强大的蠕虫检测隔离能力。内置有60 0多条蠕虫检测规则,可实时检测各种蠕虫,如SQL蠕虫王、冲击波、震荡波、冲击波杀手等蠕虫。并肩通过异常检测技术能成功检测新蠕虫,因此 在一定的程度还才能 出理 蠕虫滞后的问题。

白:通过了黑的检测,太大代表安全,因此 它是通过对已知的攻击样本进行分析,提炼出各种签名文件来进行检测不还才能对已知因此 公开的攻击进行预警和防御。因此 基于流量探针技术,收集主流使用的通讯协议的流量数据,形成流量基线,由此还才能 判断网络内异与常态的流量行为,从白中挑出灰。

三者结合,对已知恶意代码、恶意文件、恶意请求、异常流量、恶意守护多多线程 行为、恶意文件操作等综合分析,进一步选泽 APT攻击。形成已知+未知全方位的检测体系。

基于FTP、HTTP、POP3、SMTP等协议进行文件重组,识别恶意软件和未知威胁,还才能 通过防病毒引擎进行文件病毒查杀。

关联一段时间内连接次数、流量大小、连接类型。

知识管理实现知识的设置和录入,把现有的安全专家知识录入系统中,系统为用户在出理 安全事件时提供辅助决策功能。

描述另还还有一个多多 APT攻击全版的攻击链,还才能 分为七步:侦查,工具制作,投送,攻击渗透,安装工具,控制,窃取破坏。当黑客渗透成功,在网络外部模仿用户行为进行数据窃密时,检测难度因此 大大增加,且往往发现之前 因此 造成一定损失。越来太大 做APT检测,往往从黑客渗透的事前和事中入手。

使用的异常检测模块的设计原理图如下图。异常数据包跟踪模块从预出理 模块获取异常数据包,并建立起跟踪队列,并肩使用异常检测最好的法子进行深入的异常检测。为了加快异常检测速度,在异常数据包跟踪模块使用多守护多多线程 协同式跟踪分析技术。流量情况表监控模块监控网络流量情况表及每一工作主机的流量情况表,并肩实时计算出流量变化情况表。会话监控模块监控TCP会话,从中发现异常会话。在异常集中分析机器学习模块,将异常数据包跟踪模块、流量情况表监控模块、会话监控模块的监控结果进行集中分析、集中关联、集中检测,从中发现异常底部形态,并进行预警和规则入库。

平台提供了专门模块检测分析针对基于服务协议的攻击行为。主要的服务有HTTP、TELNET、SMTP、MS SQL、DNS等。

系统设计时,采用静态动态相结合的检测最好的法子应对已知威胁和未知威胁的入侵:

系统部署分为数据收集端与分析引擎,前后端通过加密传输数据数据。

有效的异常检测与统计检测等检测最好的法子能降低漏报率。异常轮廓统计分析技术,使平台具有研究会习能力,根据网络中正常情况表下的信息,还才能 检测网络中的异常情况表,自动分易挥发各种新形式的入侵、变种的入侵、系统误用。

高级持续性威胁(Advanced Persistent Threat,APT),威胁着数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种生活蓄谋已久的“恶意商业间谍威胁”。因此 行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿另一方,针对特定对象,长期、有计划性和组织性地窃取数据,因此 处于在数字空间的偷窃资料、搜集情报的行为,而是一种生活“网络间谍”的行为。因此 攻击行为首先具有极强的隐蔽能力,通常是利用机构网络中受信的应用守护多多线程 漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前 通常时需收集一定量关于用户业务流程和目标系统使用情况表的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

系统传感器还才能 对HTTP、POP3、SMTP、IMAP、FTP等协议进行全流量收集和重组。并肩还还才能 基于流,收集经核心交换机的流量,设置有统计频率,支持基于IP标识重点流量进行收集,收集内容包括:

① SRCIP——源IP

② DSTIP——目的IP

③ SRCIP_AREA——源IP地域

④ DSTIP_AREA——目的IP地域

⑤ STARTTIME——流结束时间

⑥ ENDTIME——流结束时间

⑦ SRCPORT——源端口

⑧ DSTPORT——目的端口

⑨ PROTO——网络层协议

⑩ PROTO7——应用层协议

⑪ PACKERNUM——包数量

⑫ BYTESIZE——字节数

⑬ RECORDTIME——记录时间

对沙箱分易挥发的结果,经过综合分析后明确属攻击的,由专业团队根据实体样本更新网络攻击分析和恶意文件分析依赖的静态底部形态,增强前线检测攻击的能力,形成可循环的闭环。

系统提供完善的告警管理与响应功能,一旦接收各分析模块上报的告警事件,才能根据用户设定的各种触发条件,通越来太大种信息化手段(如邮件、短信、声音、界面提示)等最好的法子通知用户。

即还才能 根据同一时间里,处于的安全事件进行聚合,实现基于事件、基于资产和基于知识的关联分析。具体如下:

① 根据攻击源进行信息聚合分析;

② 根据攻击目标进行信息聚合分析;

③ 根据受攻击的设备类型进行信息聚合分析;

④ 根据受攻击的操作系统类型及版本信息进行聚合分析;

⑤ 根据安全事件类型进行聚合分析。

端口扫描是入侵的先兆,黑客一般是先通过扫描来选泽 用户系统的类型,因此 针对性的进行攻击。平台具备识别端口扫描功能。普通的入侵防御系统不还才能识别简单的TCP端口扫描,不还才能识别黑客的其它扫描。BD-NIPS还才能 识别包括TCP扫描、UDP扫描、SYN扫描、SYN+FIN扫描、NULL扫描、XMAS扫描、Full XMAS扫描、Reserved Bits扫描、Vecna扫描、NO ACK扫描、NMAP扫描、SPAU扫描、Invalid ACK扫描在内的几乎所有扫描最好的法子。

随着更全面的安全应用守护多多线程 和数据库技术的迅猛发展,现在有了更多的最好的法子来进行实时的身份监控、权限和证书检查。然而,日渐复杂化的安全问题依然有增无减,使得其带来的威胁仍然不容忽视。

沙箱分为另还还有一个多多 累积:

Host(管理机):负责管理各样本的分析工作,如启动分析工作、行为dump以及生成报告等。

Guest(虚拟机):Guest是通用的虚拟机,Xen、VirtualBox等。它运行Agent,接收Host发过来的任务(文件)运行后获取信息。

UNICODE漏洞和缓冲溢出漏洞是最常用的攻击手法,也是最常见的系统漏洞,BD-NIPS还才能 有效准确检测。

每个分析虚拟机有无另还还有一个多多 相对独立干净的执行环境,能安全隔离各恶意守护多多线程 的执行和分析工作。

NDAY漏洞关联是系统收集到的漏洞情报与网站指纹进行匹配,对符合漏洞情报底部形态如服务端语言或服务器软件的网站进行NDAY漏洞预警。

内置攻击模式库有60 00多条,能检测出绝大多数攻击行为。因此 其中的攻击模式库也在不断地升级、更新。能检测的主要攻击类型如下:

① WEB_ATTACKS攻击

② WEB_IIS攻击

③ WEB_CGI攻击

④ WEB_FRONTPAGE攻击

⑤ FTP攻击

⑥ DOS攻击

⑦ DDOS攻击

⑧ BACKDOOR攻击

⑨ NETBIOS攻击

⑩ ICMP攻击

⑪ ICMP_EVENT攻击

⑫ DNS攻击

⑬ SMTP攻击

⑭ SCAN攻击

⑮ RPC攻击

⑯ MSSQL攻击

⑰ TELNET攻击

⑱ VIRUS攻击

⑲ SHELLCODE攻击

⑳ REMOTE_SERVICE攻击

21 FINGER攻击

22 OVERFLOW攻击

系统内置一定量恶意样本库、病毒木马底部形态库等信息,并肩支持单独部署一台威胁情报收集器,收集外部漏洞情报和权威情报商提供的威胁情报。

接收、汇总来各种类型,不同来源的安全信息通报,实现漏洞信息录入、通报信息录入、通报管理收集等功能。

黑:基于传统的入侵检测和杀毒技术,还才能 对已知的病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果。

为适应复杂化的网络环境,系统前后端进行轻耦合设计,既还才能 部署在不同的设备,也还才能 部署在同一台高性能设备。整个系统只需在核心交换机处旁路部署,对原有网络环境无任何影响。

支持事件合并,才能按照指定条件将多条事件合并成十根绳子 ,并记录总条数,要求支持指定按照十根绳子 绳子 归并因此 最后十根绳子 进行归并,归并还才能 按照一定时间内因此 条数达到某一数量来触发。

通过部署传感器,以镜像分光的形式收集核心交换机处的进出流量。支持分布式部署,并肩传感器一种生活支持多镜像口设置,还才能 对多个交换机进行流量镜像。对业务系统几乎没人影响。