赞
踩
产品介绍:APT攻击预警平台使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的功能。
本平台具备以下功能:
1、Web威胁深度检测
2、邮件威胁深度检测
3、病毒木马深度检测
4、0day攻击检测
5、异常行为分析
6、云端高级分析
感觉挺牛逼的吧!下面就了解一下检测的原理吧。
一、Web威胁深度检测
明御®APT 攻击预警平台通过对 Web 流量和应用进行深度检测,提供全面的入侵检测能力,能够在攻击到达 Web 服务器之前进行检测,并进行实时的攻击预警。
◆ 解码所有进入的请求,检查这些请求是否合法或合乎规定,仅允许格式正确或遵从 RFC 的请求通过;已知的恶意请求将被阻断,非法植入到 Header、Form 和 URL 中的脚本将被阻止。
◆ 执行 Web 地址翻译、请求限制、URL 格式定义及 Cookie 安全检查。
◆ 通过与 WAF 联动防护已知或未知攻击,阻止跨站点脚本、缓冲区溢出、恶意浏览、SQL 注入等攻击。
二、邮件威胁深度检测
明御®APT 攻击预警平台对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题,包括 WebMail 漏洞利用、邮件欺骗、邮件恶意链接、恶意邮件附件等威胁。
通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。
三、病毒木马深度检测
明御®APT 攻击预警平台对应用协议解析,在协议中分离文件,通过对病毒木马进行扫描,快速发现各种已知特征的恶意文件攻击行为。
明御®APT 攻击预警平台内部集成了 300 万+的病毒木马特征库,可有效发现网络中存在的僵木蠕,包含各种 CVE 漏洞利用、病毒感染、恶意代码传播、远控工具和恶意回连行为,分析网络中主机的威胁趋势,感知主机的威胁指数,进一步发现各种恶意样本的传播规律,预警网络安全状况。
四、利用0day漏洞攻击检测
安恒信息通过长期研究,总结并提炼各类 0day 攻击的特点,在网络流量中分析关心的文件。采用Shellcode 静态行为分析和沙箱动态行为分析的检测机制,弥补特征检测的不足,并输出完整的二进制分析报告,全过程解析文件在运行过程中存在的各种隐藏行为。通过定位目标文件中的 Shellcode 以及脚本类文件中的溢出代码,进行静态执行分析,对目标文件进行检测,发现其中的 0day 攻击样本。
产品内置动态沙箱分析技术发现文件中的恶意行为,内部虚拟机可实现完全模拟真实桌面环境,所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现。综合分析这些恶意行为,判断其中的可疑操作,再结合加权值分析技术,在保证发现所有恶意行为的同时降低误报。
五、异常行为分析
APT 攻击通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。
目前检测基于以下多个维度:
◆ 基于时间检测
◆ 基于 IP 检测
◆ 基于端口检测
◆ 基于协议检测
◆ 基于 DNS 异常检测
◆ 基于木马回连行为分析
六、云端高级分析
明御®APT 攻击预警平台云端可提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全态势。
APT 的对抗是以时间对抗时间,云端服务是产品的重要补充,是对用户提供的一种更高级的服务,可更为及时有效地利用大数据的能力提升 APT 检测效果。
七、基于攻击链的关联分析
◆ 通过对多个攻击行为的关联分析,分析攻击之间的关联性,还原真实攻击路线,并以直观的形式展示分析。
◆ 基于海量数据的分析模型,提取多种类型的攻击行为,挖掘攻击规律。
◆ 基于攻击路线的关联分析,可快速识别非持续性的威胁,提取真正的 APT 攻击。
◆ 通过一段时间对访问行为进行统计分析,发现其访问频度的异常行为,如:异常非法访问、通过SQL 注入获取数据、扫描、构造各种参数值进行探测等。
◆ 基于 URL 异常、返回码异常、返回数据异常等综合分析访问行为,判断是否存在恶意攻击行为。
◆ 通过对请求 URL 进行统计分析,发现其中的异常,如:没有带 referrer 的 URL 进行逆序排列,频繁访问特定页面且时间非常集中。
八、联动阻断防护
APT 的分析大多都是基于行为的,通常具有较长时间的滞后性,很难实现实时的阻断,但通过深度分析网络异常行为,学习网络中存在的非法回连与控制行为,并通过与 EDR、WAF、防火墙等产品进行联动,可以在回连环节进行阻断,实现各种 APT 控制行为的阻断防护。
◆ Webshell 检测与防护
APT 通过双向解析网络流量,对请求和返回的数据进行分析,发现其中的 Webshell 后门访问行为,将分析到的 Webshell 后门同步到 WAF,包含各种策略和敏感来源 IP。一旦检测到相关敏感行为,WAF将对该连接进行重置,实现 Webshell 的深度检测与防护。
◆ 木马回连检测与防护
利用 APT 基于对木马回连行为的深度分析,提取其中的恶意回连 C&C IP/URL,再对这些 IP/URL 同步到相应的阻断防护设备上,生成相应策略。在网络中出现相关行为时,利用 WAF、防火墙等设备对反向数据进行阻断,将 APT 智能学习到的 Web 服务器反向木马回连行为进行阻断,实现基于反向数据的阻断。
◆ 未知威胁的检测与防护
通过 APT 在行为分析方面的优势,通过沙箱分析网络中传输恶意文件的敏感行为,将行为分析结果同步 WAF,一旦发现内网主动向外发起 C&C 连接,且发送数据量与接收数据量不对称,立即对该敏感行为进行阻断,实现对未知威胁的联动防护。
九、资产识别
明御®APT 攻击预警平台通过对流量中的 IP 地址、端口等进行统计分析,对网络资产进行主动发现并快速识别未登记资产,可基于特定应用或服务对内部资产进行梳理(系统类型、IP、域名、端口等),检查资产端口暴露情况,特别是以非标端口提供服务的情况。
可深入识别运行在资产上的中间件、应用、技术架构等详细情况(类型、版本、服务名称等)。例如,可通过端口连接情况,记录主机开放的端口,帮助用户了解自身业务对外的开放情况,快速管理自身资产。此外,平台支持通过添加并设置某些 IP 地址组为内网主机,便于用户自定义内部资产、资产分组等。
一、网络流量分析技术
◆ 抓取网络中的流量,并根据协议类型对流量进行分析。
◆ 针对基于 HTTP 协议的报文,利用多种解码技术,深入分析协议报文中的 Web 地址、请求头、协议类型、URL 格式及 Cookies 等信息,通过对所有报文头和内容进行合规性检测,发现各种非法的畸形数据包报文。
◆ 在流量中解析应用层内容,并对通用漏洞进行检测:跨站点脚本、缓冲区溢出、恶意浏览、SQL注入、命令注入等攻击。针对这些攻击常见检测方式是特征匹配,这种检测方式不够全面,所以在检测基于通用漏洞攻击时不能仅仅依靠特征库。
二、异常访问定位技术
对异常的访问的分析及检测,能有效的发现正在攻击的行为。如下所示:
◆ 针对 C&C IP/URL 的访问
◆ 针对扩散式访问的特征
◆ 针对高频度的扫描行为
利用此类网络行为分析技术来定位攻击特征,可以有效的检测出基于流量的攻击行为。
三、DGA检测算法分析
APT 通过对 DNS 协议解析实现 DGA 域名检测算法。DGA(Domain Generate Algorithm,域名生成算法)域名常用于僵尸/木马的 C&C(Command & Control,命令与控制)通讯,一般是用一个私有的随机字符串生成算法,按照日期或者其他随机种子,每天生成一些随机字符串然后用其中的一些当作 C&C 域名。僵尸/木马程序也按照同样的算法尝试生成这些随机域名,然后碰撞得到当天可用的 C&C 域名。通过检测网络流量中的 DGA 域名,可以有效定位网络内部已经被僵尸/木马控制的主机。
四、邮件社工类攻击检测技术
◆ 对各种基于邮件社工发起的攻击行为进行检测。如:
◼ 针对发件人欺骗的分析机制
◼ 针对邮件头欺骗的深度协议解析机制
◼ 针对邮件钓鱼的快速内容分析技术
◼ 针对邮件恶意链接的模拟行为分析技术
◆ 发件人欺骗分析技术
邮件社工行为攻击通常会利用伪造发件人信息,来获取被攻击者的信任,欺骗用户点击指定的链接或
者文件,一旦用户点击将会被植入木马。对发件人欺骗行为分析显示,伪造发件人必须通过伪造邮件
服务器的方式实现。通过绑定邮件服务器 IP 地址,对于所有绑定 IP 地址的邮件服务器进行判断,APT可以发现发件人欺骗的攻击行为。
◆ 邮件头欺骗分析技术
邮件头通常包含了邮件在传递过程中的所有信息,包括原始发件人、SMTP 服务器、POP3 服务器等信息。一旦攻击者通过修改邮件头方式进行欺骗行为,邮件头信息中的原始发件人将出现和 Mail From
字段发件人信息不一致的情况。通过对邮件头信息的检测、分析和判断,APT 可以发现邮件头欺骗的
攻击行为。
◆ 邮件钓鱼分析技术
邮件钓鱼是邮件攻击的最普遍的攻击方式,这种方式易于发起攻击,一旦成功将出现非常严重的后果。对于邮件钓鱼行为,可以通过对所有邮件传输过程中携带的 URL 链接进行分析,并对 URL 链接进行模拟点击操作,分析打开 URL 过程中传回的数据,发现各种邮件钓鱼的恶意行为。
五、基于Web攻击检测技术
Web 攻击是高级渗透型攻击常用的一种手段,因此在检测攻击时也需要对 Web 流量进行检测。通过对 Web流量的分析,分解 HTTP 请求进行检测,APT 可以发现请求中的恶意攻击行为并进行告警。
针对异常访问检测还可以通过对访问账户、密码、访问频度等各个维度进行分析,定位恶意攻击者。通过自学习的方式建立一个主机和访问 IP 的关联库,建立在正常情况下的访问频度记录、密码错误率记录。当出现超过自学习生成的阀值后,即认为出现恶意攻击。
静态脚本解析技术是针对 WebMail 通用漏洞的有效检测机制。通过对邮件头的结构的分析,分离协议中HTML 部分代码,并解析 HTML 的 dom 对象,对关键的触发节点进行分析,并将代码执行的结果进行静态分析,APT 可以发现非法植入到 Header、Form 和 URL 中的脚本,以此来定位和分析是否存在利用WebMail 通用漏洞发起的攻击行为。
六、多层次关联分析技术
基于多种纬度的关联分析,识别真正的高级威胁。比如:
◆ 基于攻击源的关联分析
◆ 基于攻击目的的关联分析
◆ 基于逻辑判断的关联分析
◆ 基于攻击路线的关联分析
通过对 WebMail 行为进行持续跟踪,从源 IP、目的 IP、时间等多个维度分析一段时间内的多个 Web 动作,针对所有动作进行关联分析,对动态分析结果进行模型化处理,发现各种隐蔽的、未知的攻击行为,确保全面发现 WebMail 层面的邮件攻击行为。
七、恶意文件分析技术
◆ 通过多种方式对恶意文件进行分析。
◆ 通过常规恶意代码扫描技术分析已知特征的恶意代码,确保已经公布的恶意代码可快速发现。
◆ 通过二进制分析技术发现文件中的恶意代码。大部分的高级攻击都使用未公布的漏洞或免杀的木马等,此类文件无法被有效的识别。利用二进制分析技术,可以发现可能存在的恶意代码攻击。检测通过以下两种方式实现:
◼ 静态二进制文件安全分析技术可发现常见格式文件的异常特征,如:PDF、DOC、EXE、XLS 等。并根据其异常格式、文件异常特征、异常代码等判断文件的可疑特征,进行进一步的分析。
◼ 恶意文件沙箱分析技术,可定位利用文件进行攻击的行为,包括利用各种 0day 的攻击。
◆ 产品内置动态沙箱分析技术发现文件中的恶意行为,内部虚拟机可实现完全模拟真实桌面环境,所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现。综合分析这些恶意行为,判断其中的可疑操作,再结合加权值分析技术,在保证发现所有恶意行为的同时,极大降低了误报。
◆ 产品内置沙箱采用了全新的多沙箱并发设计,最高同时 10 个沙箱并发运行,同时每个沙箱通过特有
的文件重定向、注册表重定向和进程权限控制技术,极大降低任务启动和结束对性能的影响;同时运
行的多个文件检测任务,进程(树)数据相互隔离,每个检测任务仅能获取到系统的基础信息以及自
己进程(树)产生或修改的信息,但无法获取其他进程(树)产生或者修改的文件信息;同时禁止被
检测进程(树)加载未经数字签名的驱动程序,实现单沙箱多任务并行操作且互不影响。该独有的创
新沙箱检测技术处于国内领先,实际检测性能也远超国内相关产品。
八、云端威胁情报分析技术
明御®APT 攻击预警平台云端可提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力。用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全态势。
APT 的对抗是以时间对抗时间,云端是产品的重要补充,是对用户提供的一种更为高级的服务,可以更加及时有效的利用大数据的能力提升 APT 检测效果。
基于 0day 的攻击方式发展非常迅速,各种未知的攻击方式也不断出现,针对不断变化的攻击方式,APT 可以接入云端,借助云端平台进行分析。云端采用集群化管理,并通过自动模拟的方式进行高级分析。在一些高级环境中,可通过专业工程师进行分析,获得更精确的结果,并将这些结果转化为检测规则,及时应对最新的各种攻击方式。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。