近年来,网络安全问ξ 题日益突出,各类不法组织和不法分子怀☉着种种目的,使用各种手段进行网络攻击,致使网络安全◆事件层出不穷,给国家安全、社会稳定、人民生活造成严重影响,有效防范和抵御◇网络攻击已成为保证网络安全的重要环节。
当前安全态势下,网络黑产∑的产业化、集︽团化应用趋势明显;网络成为某些恶意组织作恶的主要工具〖或者武器装备,网络√威胁种类也更加复杂多变,高级持续性威胁攻击(APT)目前仍处于活跃和高发态势。由于APT攻∩击具有非常规的攻击手法、较长的攻击周期、低频度的攻击行为及缓慢而持续的攻●击速度等特性,传统的安全事件感知机◣制由于原始攻击日志的绝对数量无法达到触发警报阈值,而对APT攻击不敏☆感;而配套的APT检测防御等设备应々用门槛高,落地效果一般。
因此,传统的安全防护体系和防护方式已经无法有效的应对①有组织、由预谋且花样繁多的安全威胁。
FK01的解决之道
威胁情报成为☉轻量级的解决复杂网络攻击、威胁预警、安全溯→源的重要手段。合理利用威胁情报,实时共享♀安全情报信息,建立一套◥以安全情报驱动的,具备边界实时预警和防御的体系平台极为重要。解※决思路如下:
可靠准确的威胁情报来↘源
威胁情报是判断威胁的主要依据,因此,需要保障威胁情报的准确性和可靠▓性。FK01将通过公安一所的大数据分析中↙心实时更新威胁情报,来保障威胁情报的准确性和可靠性【。
不改变原有架构的旁路阻断
在不改变原有网络结构的情况∩下,采用旁路部署模式,当监听检测到威」胁的同时,可以通过另外一条通信链路,主动构造阻断数据◢包分别发送至访问端与服务端,达到拦截封禁◤攻击的效果。
多场景的阻断策略
为了适应不用时期的不同需求,方便客户能够快速切换策略适应不同场景,简化ζ运维工作,可以通过提前创建多种阻断策略模板,比如ω重保场景、常规场景等,并且能♂够通过网页配置进行一键切换。
基于语义分析的深层检测
为了提ζ 高风险判断的准确率,在设备中内置了基于语义分析①的威胁检测引擎,通过威胁情报与本地检测引擎的双重检测,提高防护效率和防护准』确度。
工作原理
FK01会通过公安一所的大数据分析中心实时更新威胁情报,公安一所大数据分析中心的情◆报来源主要来自与分布↙部署的一千多万个网防G01节点以及多个业内主流威胁情报平台,经过大数据分析中心进行汇总判断后,生成可用安全情报,用户可采用自动封禁或人工研判等方式对问题流量进行处置,保证正常业务「的安全运行。
部署模式
旁路部署
FK01支持旁路部署,在不改变用户网络架构基础上,通过采集镜像流『量实现实时的检测分析,并实㊣ 现威胁阻断。通过将FK01旁路部署在出口路由交换设备镜像侧,实现对流量▆的实时监听;同时∑ 接一路通信线路,通过主动构造数据包实现对威胁的实时阻断。
准确╲的安全情报数据画像
FK01的情报数据来自于公安一所的大数据分析中心,依托▼海量的安全告警日志,对攻击源进行全面的多维∞画像分析,全面提取手段特征、指纹特征、目标规律、时间规律等画像信息,一方面为攻击源〖打标签,方便聚类管理与行为分析,另一方面用于威胁评分的计算分析。
威胁情报画像◆包含IP攻击类型(扫描、暗网、代理、暴力破解、WebShell攻击、Web攻击、DDoS攻击)、IP地理位置、IP攻击时间等。
场景化的阻断策略
FK01支持多种场景化】策略:默认策略、仅监※测策略、日√常防护策略、重保严格策略。比如,在重保期间需ぷ要优先保证数据的安全性,可一键切换为“重保严格策略”,自动阻断所有情报IP与所有存在风险的攻击行为;在日常防护时期,可开启“日常防护策略”,仅自动阻断高危攻击同时降低对业务的影响概率Ψ ;若客户需要先测试下FK01产◤品的准确性◤,可采用仅监测策略,只对情报IP和攻击行为进行监测记录阻断。
主动防御技术
FK01支持在旁路部署监听的模式△下,对所发现威胁实行主▆动防御的技术,当检测到风险■情报后,FK01可以模拟服务器端和客户端通信细节,主动构造阻断数据包进行外发,中断后续会话,从而达到封堵←的目的。
攻击流量识〗别技术
系统内置语义分析引擎,通过对Payload内容进行深度解码后,按照其语言【类型匹配相应语法编译器,进而匹配□ 威胁模型得到威胁评级,阻断或允许访问请求。
威胁模型来自对各类攻击数据的深度学习,对攻击○行为特征进行威胁定级,进而建立威胁模型。随着样↓本数据的增加,威胁模型越来越精◎准。
与规则匹配型威胁检测方式相比,智能语义分析技术具有准确率高、误报率低的特点,管理者无需维护庞杂的规¤则库,有效提高了防护工作效率。
云天安全◣订阅号
云天①安全服务号
鲁公网ㄨ安备 37010202002190号