明鉴®新一代威胁感知系统

明鉴®新一代威胁感知系统(Network Traffic Analysis,简称NTA)是一款安全威胁监测产品,融合主动威胁检测和被动流量分析技术,能够实时深度监测并定位各类安全威胁,实现对异常行为的动态感知。


返回列表
概述

作为威胁检测的新兴技术,早在2013年,Gartner就提出了NTA,并将NTA位列五种检测高级威胁的手段之一。NTA融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用于检测企业网络中的可疑行为,尤其是失陷后的痕迹。

安恒明鉴新一代威胁感知系统以发现目标系统是否存在安全威胁为主要目标,通过对黑客(或恶意代码)入侵行为和系统指纹的识别,触发对目标系统的安全问题的检测和验证,以判定目标系统是否真实存在安全威胁,为从根本上清除系统的安全威胁提供有价值的事件预警;同时,通过融合主动检测和被动检测不同技术,依据安全知识库,实现对目标系统进行安全漏洞检测,突破传统安全产品不能检测安全漏洞局限。


当前的安全检测产品

安全产品的不足

目前的主要安全产品如:IDS、IPS、Firewall和WAF等都是基于流量分析,这些产品主要目的是发现/拦截黑客(或恶意代码)的攻击,并不关心被攻击的目标系统是否存在安全问题和安全隐患,虽然在网络边界成功阻挡了黑客的攻击,但由于目标系统的安全问题和安全隐患依旧存在,黑客一旦设法绕过网络边界(如APT攻击等),就很容易入侵得手,另外,也不支持安全漏洞的发现,因此当下安全产品黑客行为发现和拦截策略对安全防范来说是不可靠和不彻底的。

漏洞扫描的局限

系统漏洞的存在是绝大部分安全问题的根源,当下系统漏洞的发现依赖漏洞扫描软件如主机漏洞扫描和网站漏洞扫描等。当前漏洞扫描软件的应用存在以下局限:

  • 定时或不定时漏洞扫描不可能做到全天候全方位的漏洞发现,由于目标系统不会是一成不变,新漏洞的发现和披露均呈突发方式,因此漏洞扫描安全问题发现的时效性很差。
  • 漏洞扫描软件对操作系统和中间件中存在漏洞的发现还是很有效的,但由于网络应用系统种类繁多,漏洞扫描软件无法覆盖所有不同应用系统各种漏洞。

此外对第三方用户使用漏洞扫描需要得到被扫描对象或政府网络安全相关主管部门的同意后才可进行,否则就属于恶意攻击或非法入侵行为,违反了新版本的“网络安全法”相关规定。


安全需求

网络自身需求

网络自身及应用复杂性、云平台的建立、业务集中化、安全监测手段的不足,使得单位针对重点业务网站、重要主机系统等的威胁监测成为当前网络安全的主要关注点。

重点单位不能有效全面监测来自外部、内部不同威胁来源的安全状况,也不能掌握正在发生的安全动态和资产健康情况。

监管提出需求

网络安全法二十一条(三)节规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。

网络安全法第五十二条规定:负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。


产品检测能力

安恒明鉴®新一代威胁感知系统基于网络流量分析和主动威胁检测相结合的技术,可对主机安全威胁、网站安全威胁、设备安全威胁以及公共安全威胁进行实时监测。具体包括:僵尸网络、远程控制、网站后门、网页篡改、漏洞利用、数据泄漏、攻击事件、DDoS攻击、设备安全和其它威胁等12类大安全事件。不仅仅能定位到攻击源与目标,更能精准定位到具体路径,还原攻击事件,动态感知网络中存在的安全威胁,提供全面的检测能力。



产品优势和价值

融合主/被动检测技术,精准识别威胁

基于被动的流量分析引入主动检测和验证机制,增强系统检测能力和范围,如安全漏洞检测和网页篡改检测等。

应用基于专项扫描、爬虫分析和搜索检测等多项技术,实施特定范围安全威胁主动检测。

层次化部署,分布式大规模检测

通过设备级联和分散部署,构建统一的大规模监测网络,实现安全威胁态势全局感知。

现行安全设备流量处理能力难以突破40G,而新一代威胁感知系统采用设备堆叠分流处理技术,单点处理能力可突破100G及100G以上超大流量检测。

灵活架构,扩大威胁检测范围

采用多级分析处理引擎和模块化插件架构,及时、灵活扩充不同安全威胁事件和威胁检测种类,从不同维度的数据特征及异常网络行为模型进行数据回查,迅速定位各类安全威胁事件的根源。

以事件驱动,全流量分析取证

系统支持建立全流量安全分析与取证平台,以发现事件为中心,通过监测网络流量、连接和对象来识别恶意的行为迹象。


总结

杭州安恒信息技术股份有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术,为明鉴新一代威胁感知系统的成功推出奠定了有力的基础。

安恒明鉴新一代威胁感知系统利用被动流量分析和主动威胁检测相结合的方式对僵尸网络、数据泄露等各类安全威胁进行实时深度检测、智能分析,感知并定位网络中存在的安全威胁,对于发现的所有的安全威胁都有详细的日志记录,为政府、企业等提供信息安全保障,降低了国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等各个领域。

安恒产品/服务现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许多企业都使用安恒产品提升企业整体安全性。


杭州安恒信息技术股份有限公司 版权所有 © 2007-2018 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |