360天眼未知威胁检测系统课件.pptx

1、360天眼未知威胁检测系统稳定可靠稳定可靠 专业专业易用易用 优质服务优质服务近年重大信息安全事件伊朗核电站遭受蠕虫病毒攻击（军工）CSDN用户信息泄漏多个网站遭遇类似情况（IT）韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失（金融）全球百所大学被黑客入侵 12万账户信息被窃取（教育）美国电子商务网站Zappos遭黑 2400万用户信息被窃（互联网）索尼PSN平台7700万用户数据泄漏（制造业）信息安全事故后果重大经济损失重大社会影响危及国家安全信息泄露数据丢失影响业务商誉受损用户隐私泄露隐私危机国家安全新型威胁的特点恶作剧商业利益个人团伙/组织普通病毒木马APT漏洞未知APTAET

2、未知未知木马木马0day手段隐蔽危害严重技术未知传统安全防御体系全面失效 IDS 已死：早在2003年，Gartner 就已发表IDS is deadFW 作用有限：网络安全早已不是访问控制这么简单的工作AV 力不从心：未知病毒、恶意代码每天百万级的速度出现APT APT 肆虐肆虐 针对伊朗核设施的“震网事件”针对跨国公司的“叶龙攻击”针对Google的“极光攻击”针对各国的“暗鼠攻击”军事化信息战硝烟弥漫军事化信息战硝烟弥漫传统安全防御体系的缺陷观念：过于迷信安全产品 普遍观念：安全=安全产品+安全服务 问题：有防盗门就一定能够防盗？体制：安全体系缺乏“管理”普遍观念：安全管理=安全产品+安

3、全制度 问题：安全制度不被遵守怎么办？产品：安全产品技术落后 基于单一特征匹配的传统安全产品在未知攻击面前形同虚设 基于“黑名单”技术的传统安全产品在采用多种AET技术的复杂攻击面前轻松被绕过新一代安全防护体系如何搭建新安全观念：产品+管理+服务产品为基础、管理为保障、服务为补充新安全技术：动静结合应对未知威胁机器学习、虚拟沙箱、内存跟踪有效防御APT新安全管理：产品代替惩罚产品驱动管理，安全制度自动执行服务管理产品APT防御目标锁定信息采集渗透对抗、攻击技术上难防范，需要在管理制度上解决落地前检测：网络边界检测 落地检测：终端检测运行时检测：终端检测 运行时主动防御 异常网络访问行为控制 大

4、数据挖掘发现可疑通信APT攻击过程攻击过程防御手段防御手段美国采用美国采用的的技术技术FireeyeBit9+中国的Fireeye：360天眼未知威胁检测系统p 完全覆盖Fireeye的所有检测能力p 利用了更多、更有效的检测技术p 动静结合技术能够更有效检测绕过沙箱的智能蠕虫p 动静结合技术能够提前过滤安全样本，极大提高系 统性能360天眼产品框架360天眼检测流程图文件还原文件还原文档文档PDF脚本脚本程序程序云引擎云引擎攻击感知引擎攻击感知引擎攻击攻击指令库指令库360云安全云安全中心中心沙箱沙箱QVMQVM 启发启发模型模型沙箱沙箱沙箱沙箱沙箱沙箱 未知恶意代码检测 0day漏洞利用发

5、现流量侦听流量侦听360大数据分析平台：完整回溯APT攻击过程p 通过时间序列完整关联分析历史数据p 回归检测历史数据，发现当时漏检的攻击行为p 挖掘发现APT对抗、攻击阶段的隐蔽信道p 挖掘行为模型，发现异常可疑行为p 关联挖掘长期历史数据，完整回溯APT攻击过程360大数据分析平台工作流程网络流量侦听终端日志获取设备日志获取大数据存储大数据挖掘计算网络行为模型提取行为模型库历史数据行为分析漏洞利用攻击隐蔽信道可疑行为APT过程直观展示检测结果全面检测文件、行为、邮件强大的分析能力-告警基于检测到的大量异常告警信息，天眼可以对未知威胁进行全面地分析，有效定位强大的分析能力-关联分析强大的分析能力-攻击源基于已检测到的大量异常告警信息，还可对未知威胁的攻击来源进行判定，使企业可以及时采用相应的防护策略丰富的日志报表灵活的用户管理全面的系统配置感谢聆听Q&A