極元攻擊溯源系統(tǒng)(又稱:極元自動護(hù)網(wǎng)系統(tǒng)�、自動重保系統(tǒng)�����、英文名:Oxtrea Threat Traceability System)采用大數(shù)據(jù)分析技術(shù)架構(gòu)��,運用大數(shù)據(jù)技術(shù)匯聚全網(wǎng)安全數(shù)據(jù)���,深度挖掘這些原始數(shù)據(jù)素材之間的內(nèi)在關(guān)聯(lián),同時整合了可信訪問控制����,欺騙式防御等主動防御技術(shù),自動發(fā)現(xiàn)����、管理與處置安全風(fēng)險。本系統(tǒng)同時適用于物理架構(gòu)和虛擬化架構(gòu)��,是一個多架構(gòu)的南北與東西向安全威脅的整體解決方案�����。該系統(tǒng)可以對挖掘出的威脅進(jìn)行全自動阻斷��,可廣泛用于HW行動中�����。
一、應(yīng)用場景
自動HVV:自動對攻擊源進(jìn)行鎖定和攔截���,減少紅方對藍(lán)方弱點的探測進(jìn)度��,降低藍(lán)方防守的壓力����。
勒索病毒發(fā)現(xiàn):自動對內(nèi)網(wǎng)和外網(wǎng)的勒索病毒進(jìn)行大數(shù)據(jù)關(guān)聯(lián)發(fā)現(xiàn)�����、高低交互蜜罐的主動監(jiān)測���。
內(nèi)網(wǎng)滲透事件發(fā)現(xiàn):對內(nèi)網(wǎng)的跳板主機(jī)進(jìn)行分析��,發(fā)現(xiàn)和減少失陷主機(jī)對整網(wǎng)造成的危害��。
二���、技術(shù)架構(gòu)
1、整體結(jié)構(gòu)
2、多引擎協(xié)同感知
安全分析引擎:完成威脅檢測��、異常發(fā)現(xiàn)���、攻擊溯源、態(tài)勢呈現(xiàn)和聯(lián)動響應(yīng)等功能��。
智能學(xué)習(xí)引擎:完成判別模型�、預(yù)測模型、關(guān)聯(lián)模型和學(xué)習(xí)進(jìn)化模型的構(gòu)建�����。
網(wǎng)絡(luò)流量掃描引擎:進(jìn)行網(wǎng)絡(luò)流量處理����,資產(chǎn)及業(yè)務(wù)運維、流量及訪問關(guān)系發(fā)現(xiàn)���。
入侵檢測引擎:進(jìn)行漏洞利用及僵木蠕等各種病毒性威脅攻擊檢測��。
Web安全檢測引擎:進(jìn)行檢測Web攻擊�、Webshell檢測�����。
全息誘捕引擎:進(jìn)行誘捕、檢測勒索病毒橫向擴(kuò)散�、淪陷主機(jī)及僵尸主機(jī)。
三����、主要功能
1、攻擊事件溯源
安全威脅往往隱藏在海量數(shù)據(jù)之中����,極元安全溯源系統(tǒng)基于海量進(jìn)行多維數(shù)據(jù)的深度挖掘與關(guān)聯(lián)分析并以線索鏈的方式呈現(xiàn)出來,讓用戶能夠發(fā)現(xiàn)安全威脅以及來自于何處���,從而迅速的對威脅進(jìn)行預(yù)判及防護(hù)����。針對攻擊全過程對攻擊者留下的任意線索進(jìn)行多維關(guān)聯(lián)合并�����,繪制出完整的可視化攻擊鏈條�����。
基于ATT&CK攻擊殺傷鏈的事件分析:
2、全息誘捕
通過在網(wǎng)絡(luò)中部署大量的惡意感知邏輯單元�����,首先通過IP擴(kuò)張壓縮惡意非法接入空間�,拒絕違規(guī)內(nèi)聯(lián)���。然后通過感知單元進(jìn)行誘捕網(wǎng)內(nèi)的惡意行為�,如勒索病毒感染��、內(nèi)網(wǎng)掃描等等�����,當(dāng)感知到惡意行為后���,邏輯單元立即聯(lián)動宿主設(shè)備對惡意來源進(jìn)行阻斷并封鎖所有端口并告警����,避免攻擊主機(jī)去攻擊其它真實主機(jī),從而抵御黑客或者勒索病毒的攻擊��。
3����、主動攔截
可自動將惡意來源加入黑名單進(jìn)行封堵����,自動保護(hù)網(wǎng)絡(luò)��,大大節(jié)省了人工介入分析的工作量�。
1、配合極元可信防御系統(tǒng)(Oxtrea SwitchWall)�����,可以對安全問題來源進(jìn)行單點攔截與阻斷���,保證業(yè)務(wù)連續(xù)性��。
2�、支持與第三方防火墻聯(lián)動實現(xiàn)“一鍵斷網(wǎng)”功能�。
3、 支持黑洞路由的方式旁路阻斷惡意來源�����。
4�����、大屏展示
可提供安全總覽、外部世界���、外部世界3D�、內(nèi)部攻擊等多個維度的可視化安全大屏展示���。
四�����、阻斷方式
1、互聯(lián)網(wǎng)出口阻斷
效果:1) 阻擋外部到內(nèi)部的攻擊
2�、數(shù)據(jù)中心出口阻斷
效果:
1) 阻擋外部到數(shù)據(jù)中心的攻擊
2) 阻擋辦公網(wǎng)絡(luò)到數(shù)據(jù)中心的攻擊
3、分布式阻斷
效果:
1) 阻擋外部內(nèi)部的攻擊
2) 阻擋內(nèi)部到內(nèi)部的攻擊
3) 阻擋辦公網(wǎng)絡(luò)到數(shù)據(jù)中心的攻擊
五�����、部署方式
物理部署方式
虛擬化部署方式
當(dāng)前位置: