监控、预警、捕获、上报
安全挑战
网络恶意代码(包括僵尸网络、木马、病毒、蠕虫)给网络系统带来了极大的危害,尤其是僵尸网络、木马和蠕虫。僵尸网络会对通信服务质量产生严重影响,是DDOS攻击发生的主要原因;木马攻击不仅会造成重要文件和信息的泄漏,而且还会被黑客利用成为远程操控的工具;早期的蠕虫仅仅是恶意代码的传播手段,但新型的蠕虫(如飞客蠕虫等)已经具备了攻击特征,成为网络系统的安全隐患。
工信部2009年即颁发了《木马和僵尸网络监测与处置机制》,2017年又颁发了《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),加强网络安全威胁信息共享、监测处置等技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。同时下发了《省级基础电信企业网络与信息安全工作考核要点与评分标准》,明确要求对恶意IP、域名、URL、僵尸网络等恶意网络资源的监控及处置能力,并要求对基础电信企业的出口检测能力覆盖范围、监测的准确性等。
方案概述
绿盟公共互联网安全监控解决方案,可以在运营商省网出口节点、骨干网出口、IDC机房出口、国际网出口等大流量节点进行严密监控,及时检测危害网络安全的大规模僵尸、木马、蠕虫及移动恶意代码事件,随时掌握公共互联网安全发展趋势,深度挖掘追踪安全事件,有效降低安全事件的频度和损失。
绿盟互联网威胁检测系统:基于强大的僵木蠕特征库和信誉库,对网络流量进行实时监测,尽可能发现各种已知事件,分离出可疑事件。
绿盟互联网威胁分析系统:集成业界领先的网络行为特征分析引擎,恶意代码自动化静态和动态分析引擎,样本虚拟执行分析引擎,使木马病毒无藏身之地。
绿盟安全监控平台:基于大数据技术的安全管理平台,支持层次化部署,可实现对全网的安全管理。
绿盟威胁情报中心:拥有42亿全球资产及侦测能力(端口/应用/banner),覆盖IP、Web、漏洞、恶意文件等多个威胁维度,30万+高质量漏洞库,4亿+IP/Web指纹特征库,同时具备丰富的威胁分析模型。
特点优势
01
威胁情报实时共享
IP情报,URL情报,文件情报,实时分发,全网共享。快速提升检测率和响应时间,有效应对各种新型僵木蠕事件。实现了全网“情报共享”,将海量安全威胁情报信息汇集起来,体现出了最大的防护效果和效率。
02
威胁分析事件挖掘能力
通过收集僵木蠕设备上的会话日志、告警日志等数据信息并结合威胁情报的数据,利用大数据技术,对安全事件进行归并去重、汇总、关联进行操作,实现对安全威胁事件进行深度分析,并追踪溯源到真正的源头。
03
恶意样本捕获与提取
通过文件还原技术,支持多种格式文件类型的还原如doc/docx、xls/xlsx、ppt/pptx、pdf、rtf、 wpt、pot、wps、pps、mpp、et、dpt、dps、ett、dot等等,经过僵木蠕的的分析检测引擎,实现对恶意样本的还原、检测、保存、上报以及特征分发等能力。
