1. 科技訊首頁
  2. 產(chǎn)經(jīng)

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

陳晨 ? ? 產(chǎn)經(jīng)

歷經(jīng)六載,長揚科技發(fā)布了新一代態(tài)勢感知平臺,通過采用新技術(shù)、新模式和新運營建設(shè)開放生態(tài),平臺實現(xiàn)了一體化安全,能夠為客戶持續(xù)創(chuàng)造價值。

今天,我們將為您揭示該平臺背后十大核心技術(shù)。其中,基于ATT&CK攻擊知識圖譜進行攻殺鏈矩陣分析、AI模型與預(yù)測技術(shù)(SKCAP)、網(wǎng)絡(luò)空間安全分析(CSA)以及基于編排自動化與響應(yīng)閉環(huán)處置的自動化安全運營(A2SOAR)是構(gòu)成新一代態(tài)勢感知能力的核心組成部分。

?

01

異常攻擊行為一網(wǎng)打盡

N/HIDS引擎

?

NIDS和HIDS分別是網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System)和主機入侵檢測系統(tǒng)(Host Intrusion Detection System)的簡稱,二者用于監(jiān)控和檢測計算機網(wǎng)絡(luò)中潛在入侵行為。

集成NIDS和HIDS是兩種不同類型的入侵檢測引擎。前者基于網(wǎng)絡(luò)入侵檢測系統(tǒng),通過監(jiān)控網(wǎng)絡(luò)流量來檢測是否存在異常和攻擊行為。例如,NIDS引擎可以檢測到網(wǎng)絡(luò)中是否存在大量的來自同一個IP地址的請求,或者某些傳輸?shù)臄?shù)據(jù)包中是否含有惡意代碼等,內(nèi)置規(guī)則2.6w+;后者則基于主機入侵檢測系統(tǒng),通過監(jiān)控主機操作系統(tǒng)的事件、文件、進程等數(shù)據(jù)來檢測是否存在異常和攻擊行為。例如,HIDS引擎可以檢測到系統(tǒng)管理員賬號的異常登錄行為,或者是否存在某個進程執(zhí)行惡意代碼等。

這個過程中,兩者進行關(guān)聯(lián)監(jiān)測

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

入侵檢測配置

?

02

對關(guān)鍵信息的捕獲、分析與洞察

CEP規(guī)則引擎

?

CEP(Complex Event Processing,復(fù)雜事件處理)可實時監(jiān)測、分析和處理大量事件流,能夠從多個數(shù)據(jù)源中提取并處理事件,且能根據(jù)預(yù)定義的規(guī)則和模式進行實時分析和推理。

該引擎通過使用多種窗口函數(shù),處理事件流中一段時間窗口內(nèi)的數(shù)據(jù),幫助用戶捕獲及分析事件流中的關(guān)鍵信息,并從中得出有價值的結(jié)論和洞察。該引擎內(nèi)置了四種窗口函數(shù):

1.滑動窗口:分析事件流的趨勢和變化。

2.固定窗口:分析事件流的周期性和統(tǒng)計特征。

3.增量窗口:僅對新增數(shù)據(jù)進行處理,實時更新分析結(jié)果。

4.會話窗口:通過特定規(guī)則將事件流劃分為多個會話,使得每個會話內(nèi)數(shù)據(jù)相互關(guān)聯(lián),以便分析事件流的交互和關(guān)聯(lián)性。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

CEP規(guī)則配置

?

03

多平臺使用,高效實時檢測

病毒檢測引擎

?

病毒檢測引擎主要用于檢測及清除病毒、惡意軟件和其他惡意代碼,可在Linux、Unix、Windows等多個平臺使用,集成多種反病毒軟件,支持自定義規(guī)則和白名單。其內(nèi)置規(guī)則數(shù)2500+,支持常見病毒、木馬、蠕蟲、惡意軟件等多種類型檢測,應(yīng)用于以下安全場景:

1.文件監(jiān)控:監(jiān)控服務(wù)器中的文件,檢測其是否包含病毒、木馬或惡意軟件等。

2.郵件監(jiān)控:監(jiān)控郵件及附件,防止郵件中傳播病毒和惡意軟件。

3.網(wǎng)絡(luò)流量監(jiān)控:監(jiān)控和過濾網(wǎng)絡(luò)流量中數(shù)據(jù),防止網(wǎng)絡(luò)中傳播病毒和惡意軟件。

4.Web應(yīng)用程序監(jiān)控:監(jiān)控Web應(yīng)用程序上傳的文件,防止Web應(yīng)用程序中傳播病毒和惡意軟件。

5.數(shù)據(jù)庫監(jiān)控:監(jiān)控數(shù)據(jù)庫中的文件和數(shù)據(jù),檢測其是否包含病毒、木馬或惡意軟件等。

6.USB設(shè)備監(jiān)控:監(jiān)控插入計算機中的USB設(shè)備,防止USB設(shè)備中傳播病毒和惡意軟件。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

病毒檢測

?

04

有效防御網(wǎng)絡(luò)威脅

數(shù)字指紋及深度分析引擎

?

新一代網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的主要分析方法是保護企業(yè)/組織防御網(wǎng)絡(luò)威脅的關(guān)鍵工具。通過綜合應(yīng)用告警直報、黑白名單、動態(tài)基線分析、機器學(xué)習(xí)等多種技術(shù)手段,網(wǎng)絡(luò)安全專家可以更好地識別及應(yīng)對威脅,從而提高網(wǎng)絡(luò)安全水平。

主要分析方法如下:

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

工控安全基線及工業(yè)設(shè)備數(shù)字指紋可以幫助組織及時發(fā)現(xiàn)和處理潛在工控安全問題,防止安全威脅對工控系統(tǒng)和運行造成損害。其應(yīng)用場景如下:

工控網(wǎng)絡(luò)入侵檢測:具備入侵行為特征庫,可對工控網(wǎng)絡(luò)通訊中的協(xié)議、應(yīng)用、通訊行為提供深入準確的分析、檢測及安全診斷,能夠及時捕獲網(wǎng)絡(luò)異常行為,發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并分析潛在安全威脅,如:DNS隱蔽信道、反彈Shell、普通主機掃描(源IP相同)、分布式主機掃描(目的IP相同)、普通端口掃描(源IP相同)、分布式端口掃描(目的IP或端口相同)、暴力破解檢測、源與目的IP暴力破解、惡意代碼檢測等。

工控內(nèi)網(wǎng)安全監(jiān)視:記錄功能碼、數(shù)據(jù)地址、寄存器地址、對象名、屬性、數(shù)據(jù)類型、類型標識、傳輸原因、應(yīng)用程序數(shù)據(jù)單元、數(shù)據(jù)塊等工控協(xié)議的主要參數(shù)和特征,通過機器學(xué)習(xí)技術(shù)分析并學(xué)習(xí)通信正常模式,及時發(fā)現(xiàn)異常流量和攻擊行為。

工控合規(guī)性檢測:對協(xié)議通訊內(nèi)容進行鑒別與合規(guī)性檢查,及時發(fā)現(xiàn)違規(guī)使用行為并進行告警展示,如:危險指令、數(shù)據(jù)夾帶、弱口令、外部訪問、橫向訪問、內(nèi)部主機外聯(lián)、風(fēng)險端口訪問等。

工控網(wǎng)絡(luò)全流量審計:系統(tǒng)提供實時分析功能,并能長時間保存全流量數(shù)據(jù),以支持審計和追溯。此外,系統(tǒng)會永久保存關(guān)鍵取證數(shù)據(jù)的數(shù)據(jù)包和統(tǒng)計信息,例如協(xié)議流量分布、總流量、最大速率、平均速率以及最大載荷等。

工業(yè)設(shè)備安全數(shù)字指紋:通過AI模型自動采集分析,建立工業(yè)設(shè)備的安全數(shù)字指紋,及時預(yù)警安全隱患。

?

05

網(wǎng)絡(luò)運行效率和安全性雙重提升

多網(wǎng)DPI引擎

?

DPI引擎(深度數(shù)據(jù)包檢測)能夠深度解析網(wǎng)絡(luò)流量,實現(xiàn)對不同類型數(shù)據(jù)流和應(yīng)用程序的精細管理和控制,繼而提升網(wǎng)絡(luò)運行效率和安全性。在當前網(wǎng)絡(luò)威脅與需求日益增加的背景下,其應(yīng)用價值和意義愈發(fā)凸顯。

本產(chǎn)品將DPI應(yīng)用在多個領(lǐng)域,包括信息網(wǎng)、工控網(wǎng)、涉密網(wǎng)、視頻網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、移動網(wǎng)等。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

多網(wǎng)協(xié)議DPI

?

06

安全專家的利器

網(wǎng)絡(luò)安全知識圖譜

?

基于ATT&CK圖譜的網(wǎng)絡(luò)攻擊鏈生成技術(shù)可以提供一種標準化方法描述并分析網(wǎng)絡(luò)攻擊,幫助安全專家更好地理解和應(yīng)對各種高級威脅,主要涉及以下幾個方面:

1.技術(shù)標注:原始數(shù)據(jù)納入攻擊鏈生成系統(tǒng)的首要任務(wù)就是技術(shù)標注,遵循ATT&CK技術(shù)標準并根據(jù)原始數(shù)據(jù)特性,技術(shù)標注可分為三種類型:Suricata技術(shù)標注、Sigma技術(shù)標注以及規(guī)則關(guān)系抽取技術(shù)標注。?

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

技術(shù)標注示意圖

2.攻擊鏈建模編輯器:在瀏覽器中運行,幾分鐘內(nèi)便可完成攻擊流程的創(chuàng)建。該編輯器提供了一個工作空間,用戶可以輸入攻擊行動及其他背景信息,通過繪制箭頭,用戶可將這些信息編織成一個攻擊流程,明確展示事件或活動中觀察到的攻擊技術(shù)執(zhí)行順序。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

攻擊流程圖

3.攻擊鏈生成引擎:攻擊鏈生成引擎采用流處理技術(shù),支持高吞吐量、低延遲的大規(guī)模數(shù)據(jù)處理。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

攻擊鏈生成引擎流程圖

4.預(yù)測攻擊鏈:通過使用已訓(xùn)練的模型,預(yù)測潛在攻擊鏈路,包括攻擊手段、攻擊流程以及攻擊目標等信息。根據(jù)這些預(yù)測結(jié)果,用戶可采取相應(yīng)安全防御措施進行應(yīng)對。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

ATT&CK攻擊矩陣

?

07

全方位保障隱私聚集地

網(wǎng)絡(luò)空間安全分析(CSA)

?

萬物互聯(lián)背景下,網(wǎng)絡(luò)空間安全越來越受到組織、公司乃至國家的高度重視,它不僅關(guān)系著國家安全和社會經(jīng)濟穩(wěn)定,同時也與我們?nèi)粘I蠲芮邢嚓P(guān)。比如我們時時刻刻都在使用的手機、電腦,是我們個人隱私的另一聚集地,也是網(wǎng)絡(luò)空間的載體。

長揚態(tài)感網(wǎng)絡(luò)空間安全分析功能以資產(chǎn)為核心,從區(qū)域、聯(lián)通性、病毒、情報、漏洞、基線、溯源、UEBA行為等多個方面進行全方位、立體化分析。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

資產(chǎn)分析

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

網(wǎng)絡(luò)安全實體異常行為分析

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

溯源分析

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

聯(lián)通性分析

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

情報分析

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

基線分析

?

08

更科學(xué)的安全策略

智能資產(chǎn)管理

?

通過主動、被動兩種方式進行定時和實時的資產(chǎn)信息采集,建立準確的資產(chǎn)清單和資產(chǎn)軌跡;再通過建立資產(chǎn)畫像,幫助組織和企業(yè)更好地了解其網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的情況,進而制定更科學(xué)的安全策略。

網(wǎng)絡(luò)安全資產(chǎn)畫像包括(1)資產(chǎn)指標:資產(chǎn)類型、 協(xié)議類型、IP地址、端口、操作系統(tǒng)、安全配置、應(yīng)用程序、漏洞信息、位置信息、 運行狀態(tài)等。(2)風(fēng)險評分:通過對資產(chǎn)畫像進行評估,建立相應(yīng)的風(fēng)險評分模型,對組織和企業(yè)的網(wǎng)絡(luò)安全風(fēng)險進行評估和管理。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

資產(chǎn)畫像

?

09

定制化方案高度滿足客戶需求

組件式大屏UI

?

根據(jù)用戶要求進行設(shè)計和定制大屏用戶界面,對使用場景進行調(diào)整和優(yōu)化,以滿足特定功能要求和美觀要求。其主要特點和優(yōu)勢如下:

1.功能需求:針對用戶使用場景和需求進行設(shè)計和定制。

2.界面設(shè)計:依照用戶審美標準和使用習(xí)慣進行設(shè)計和定制。

3.數(shù)據(jù)展示:根據(jù)用戶數(shù)據(jù)及數(shù)據(jù)分析需求,設(shè)計數(shù)據(jù)展示和可視化形式,以便用戶進行數(shù)據(jù)分析和決策。

4.可操作性:考慮到用戶交互方式和操作習(xí)慣,確保操作快速性和便利性。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

3D大屏

?

10

運營效率及精確度大幅提升

安全編排自動化與響應(yīng)

?

基于SOAR的網(wǎng)絡(luò)安全運營能夠助力組織和企業(yè)優(yōu)化網(wǎng)絡(luò)安全事件的管理,提升處理效率和準確性,降低安全風(fēng)險和損失。通過實現(xiàn)安全事件智能化處理和響應(yīng),能顯著提高網(wǎng)絡(luò)安全運營的效率和精確度。其主要特點和優(yōu)勢如下:

1.自動化響應(yīng):依據(jù)預(yù)設(shè)的安全編排規(guī)則,實現(xiàn)對安全事件的自動化分類、分析和響應(yīng),以確保安全事件得到快速且準確地處理。2.集成安全工具:通過可插拔插件,集成各類安全工具和設(shè)備,如防火墻、入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)等,將這些工具嵌入到自動化流程中,實現(xiàn)全方位安全運營。3.安全編排規(guī)則:根據(jù)各類安全策略和需求,配置編排規(guī)則,實現(xiàn)靈活且高效的安全運營。4.事件閉環(huán):實現(xiàn)安全事件從發(fā)現(xiàn)到處理全程監(jiān)控和管理,確保每一項事件都得到有效處理和響應(yīng)。

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

智能化安全編排

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

全場景劇本案件倉庫

技術(shù)探秘 | 長揚科技新一代態(tài)勢感知平臺之十大核心技術(shù)重磅揭秘

智能終端事件閉環(huán)處理

本次揭秘的新一代態(tài)勢感知平臺十大核心技術(shù),不僅充分展示了長揚科技突破性的創(chuàng)新和成績,也標志著長揚科技在該領(lǐng)域達到了新高度,同時也是一個嶄新的起點。

未來,長揚科技將繼續(xù)勇于探索和創(chuàng)新,不斷完善態(tài)勢感知相關(guān)技術(shù)和產(chǎn)品,為客戶提供更加可靠、安全的解決方案。隨著科技不斷發(fā)展和變化,長揚科技將始終保持敏銳的洞察力和前瞻性眼光,與時俱進,秉持創(chuàng)新精神,致力于打造更加安全和穩(wěn)定的網(wǎng)絡(luò)環(huán)境,為客戶和行業(yè)發(fā)展作出更大貢獻,為網(wǎng)絡(luò)安全事業(yè)打造更加美好的明天。

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請注明出處:http://2079x.cn/article/594159.html

陳晨陳晨管理團隊

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論