智·感

· 失陷主机检测
· 变种威胁检测
· 主机行为分析
· 攻击过程展示

应用案例

案例一:某办公网,用户数据泄露

案例二:某园区网,内到外DDoS造成网络瘫痪

智·感的核心价值

基于用户行为分析(User behavioral analytics)的技术思路,通过机器学习、数学建模等核心技术,对内网主机进行网络/应用行为分析,有效的对内网失陷主机进行感知。

智·感的部署场景

智·感的内网安全实践

对内网失陷主机PE文件下载的检测

对勒索软件的DGA过程的检测

对内网失陷主机扫描行为的检测

攻击链( KillChain )的展示

核心技术:异常行为模型建立

核心技术:主机行为匹配

• 圆心:基于威胁情报收集并加工处理的已知恶意行为(预定义的负反馈);
• 异常行为判定:越接近圆心,威胁疑似度越高;
• 行为族:分为20类行为族,以确定不同的风险和危害等级。

产品详情

山石网科 BDS-I 系列智能内网威胁感知系统,作为山石网科内网安全解决方案的核心组件产品,采用智能安全技术,聚焦于内网安全,重点监控核心资产服务器,检测已知及未知网络威胁,精准定位风险服务器和风险主机,同时进行完整的攻击链细节还原,实时智能采取风险减缓措施。全方位、多维度、高实时感知内网安全态势,并进行可视化呈现。

产品商业价值:

● 弥补传统边界网络安全建设的漏洞,形成边界 + 内网的整体网络安全解决方案
● 发现已知及未知网络攻击及网络行为异常,保护数据中心的核心资产服务器
● 定位失陷主机及跳板主机,防止重要性、机密性、敏感性数据发生泄漏

山石网科的智·感是基于用户行为分析(User Behavioral Analytics)的技术思路,通过机器学习、数学建模等核心技术,对内网主机进行网络/应用行为分析,有效的对内网失陷主机进行感知。

机器学习模块(流量解析、数学建模、模型匹配)对内网主机的行为进行威胁判定
精准的建立正常行为模型和异常行为模型
最终,智·感产品通过对流量与行为模型的匹配,就能够实现精准的威胁判定

● 圆心:基于威胁情报收集并加工处理的已知恶意行为(预定义的负反馈);
● 异常行为判定:越接近圆心,威胁疑似度越高;
● 行为族:分为20类行为族,以确定不同的风险和危害等级。

智·感(BDS-iSensor)的功能规格:

异常行为检测

● 通过建立主机和服务器的行为数据模型进行异常行为检测
● 支持资源消耗型、连接耗尽型、带宽消耗型等DDoS攻击的检测
● 支持HTTP扫描、Spider、SPAM、SSH/FTP弱口令等异常行为的检测
● 定位内网失陷主机,支持证据报文溯源,重点监控核心资产服务器

未知威胁检测

● 基于威胁行为集的未知威胁检测
● 支持2000多种Advance Malware Family的检测,包含Virus、Worm、Trojan、Over ow等类型
● Advance Malware Family特征库支持网络实时更新

威胁关联分析

● 挖掘未知威胁、异常行为和应用行为之间的关联性,发现潜在网络威胁
● 支持多维度关联分析规则库的云端同步
● 支持不同的数据源查询和执行周期

网络层攻击检测

● 多种畸形报文攻击检测
● SYN Flood、DNS Query Flood等多种DoS/DDoS攻击检测
● 支持ARP攻击检测

应用层攻击检测

● 基于状态、精准的高性能攻击检测
● 实时攻击源IP检测、攻击事件记录
● 支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测
● 支持缓冲区溢出、SQL注入和跨站脚本攻击的检测
● 支持自定义应用层攻击特征,提供预定义检测配置模板
● 提供8000多种特征的攻击检测,特征库支持网络实时更新

木马病毒检测

● 基于流的病毒检测
● 支持压缩病毒文件的扫描
● 超过200万的病毒特征库,病毒库支持网络实时更新

威胁可视化

● 提供风险态势、网络威胁、外部攻击地理分布的可视化呈现
● 提供核心资产威胁信息、流量统计信息、内网连接的全方位监控及可视化呈现,支持攻击链还原及威胁信息记录
● 提供风险主机威胁信息的可视化呈现,支持攻击链还原及威胁信息记录
● 支持网络威胁检测的可视化呈现,包括威胁名称、威胁类型、检测确信度等信息
● 管理员可针对威胁事件进行忽略、已确认、已修复的仲裁操作

应用分析

● 可识别超过3000种以上的应用程序
● 能够准确识别IM、P2P下载、文件传输、邮件、在线游戏、股票软件、流媒体、非法信道等应用
● 支持基于安全域、接口、地域、用户、IP地址等多维度统计
● 支持Android、iOS等移动应用的识别

监控告警

● 监控全部内网主机,识别主机名称、操作系统、浏览器,统计记录主机威胁
● 支持设备CPU、内存、温度、硬盘、物理接口等状态监控
● 支持设备整机流量、新建、并发连接的趋势监控
● 支持设备条件告警,包括CPU利用率、内存利用率、磁盘空间利用率、新建连接、并发连接、接口带宽、机箱温度、CPU温度
● 支持基于应用的带宽和新建连接告警
● 支持Email、短信和Trap三种告警方式

日志报表

● 支持安全威胁、网络流量和设备运行三种预定义类型报表生成任务及自定义报表任务
● 支持即时报表生成及PDF格式文件的导出
● 支持Email和FTP两种报表输出方式
● 支持记录事件日志、网络日志、配置日志和威胁日志
● 支持Syslog和Email的日志外发方式