歷經六載,長揚科技發布了新一代態勢感知平臺,通過采用新技術、新模式和新運營建設開放生態,平臺實現了一體化安全,能夠為客戶持續創造價值。

　　今天,我們將為您揭示該平臺背后十大核心技術。其中,基于ATT&CK攻擊知識圖譜進行攻殺鏈矩陣分析、AI模型與預測技術(SKCAP)、網絡空間安全分析(CSA)以及基于編排自動化與響應閉環處置的自動化安全運營(A2SOAR)是構成新一代態勢感知能力的核心組成部分。

　　01 異常攻擊行為一網打盡

　　N/HIDS引擎

　　NIDS和HIDS分別是網絡入侵檢測系統(Network Intrusion Detection System)和主機入侵檢測系統(Host Intrusion Detection System)的簡稱,二者用于監控和檢測計算機網絡中潛在入侵行為。

　　集成NIDS和HIDS是兩種不同類型的入侵檢測引擎。前者基于網絡入侵檢測系統,通過監控網絡流量來檢測是否存在異常和攻擊行為。例如,NIDS引擎可以檢測到網絡中是否存在大量的來自同一個IP地址的請求,或者某些傳輸的數據包中是否含有惡意代碼等,內置規則2.6w+;后者則基于主機入侵檢測系統,通過監控主機操作系統的事件、文件、進程等數據來檢測是否存在異常和攻擊行為。例如,HIDS引擎可以檢測到系統管理員賬號的異常登錄行為,或者是否存在某個進程執行惡意代碼等。

　　這個過程中,兩者進行關聯監測。

入侵檢測配置

　　02 對關鍵信息的捕獲、分析與洞察

　　CEP規則引擎

　　CEP(Complex Event Processing,復雜事件處理)可實時監測、分析和處理大量事件流,能夠從多個數據源中提取并處理事件,且能根據預定義的規則和模式進行實時分析和推理。

　　該引擎通過使用多種窗口函數,處理事件流中一段時間窗口內的數據,幫助用戶捕獲及分析事件流中的關鍵信息,并從中得出有價值的結論和洞察。該引擎內置了四種窗口函數:

　　1.滑動窗口:分析事件流的趨勢和變化。

　　2.固定窗口:分析事件流的周期性和統計特征。

　　3.增量窗口:僅對新增數據進行處理,實時更新分析結果。

　　4.會話窗口:通過特定規則將事件流劃分為多個會話,使得每個會話內數據相互關聯,以便分析事件流的交互和關聯性。

CEP規則配置

　　03 多平臺使用,高效實時檢測

　　病毒檢測引擎

　　病毒檢測引擎主要用于檢測及清除病毒、惡意軟件和其他惡意代碼,可在Linux、Unix、Windows等多個平臺使用,集成多種反病毒軟件,支持自定義規則和白名單。其內置規則數2500+,支持常見病毒、木馬、蠕蟲、惡意軟件等多種類型檢測,應用于以下安全場景:

　　1.文件監控:監控服務器中的文件,檢測其是否包含病毒、木馬或惡意軟件等。

　　2.郵件監控:監控郵件及附件,防止郵件中傳播病毒和惡意軟件。

　　3.網絡流量監控:監控和過濾網絡流量中數據,防止網絡中傳播病毒和惡意軟件。

　　4.Web應用程序監控:監控Web應用程序上傳的文件,防止Web應用程序中傳播病毒和惡意軟件。

　　5.數據庫監控:監控數據庫中的文件和數據,檢測其是否包含病毒、木馬或惡意軟件等。

　　6.USB設備監控:監控插入計算機中的USB設備,防止USB設備中傳播病毒和惡意軟件。

病毒檢測

　　04有效防御網絡威脅

　　數字指紋及深度分析引擎

　　新一代網絡安全態勢感知系統的主要分析方法是保護企業/組織防御網絡威脅的關鍵工具。通過綜合應用告警直報、黑白名單、動態基線分析、機器學習等多種技術手段,網絡安全專家可以更好地識別及應對威脅,從而提高網絡安全水平。

　　主要分析方法如下:

　　工控安全基線及工業設備數字指紋可以幫助組織及時發現和處理潛在工控安全問題,防止安全威脅對工控系統和運行造成損害。其應用場景如下:

　　工控網絡入侵檢測:具備入侵行為特征庫,可對工控網絡通訊中的協議、應用、通訊行為提供深入準確的分析、檢測及安全診斷,能夠及時捕獲網絡異常行為,發現網絡入侵行為并分析潛在安全威脅,如:DNS隱蔽信道、反彈Shell、普通主機掃描(源IP相同)、分布式主機掃描(目的IP相同)、普通端口掃描(源IP相同)、分布式端口掃描(目的IP或端口相同)、暴力破解檢測、源與目的IP暴力破解、惡意代碼檢測等。

　　工控內網安全監視:記錄功能碼、數據地址、寄存器地址、對象名、屬性、數據類型、類型標識、傳輸原因、應用程序數據單元、數據塊等工控協議的主要參數和特征,通過機器學習技術分析并學習通信正常模式,及時發現異常流量和攻擊行為。

　　工控合規性檢測:對協議通訊內容進行鑒別與合規性檢查,及時發現違規使用行為并進行告警展示,如:危險指令、數據夾帶、弱口令、外部訪問、橫向訪問、內部主機外聯、風險端口訪問等。

　　工控網絡全流量審計:系統提供實時分析功能,并能長時間保存全流量數據,以支持審計和追溯。此外,系統會永久保存關鍵取證數據的數據包和統計信息,例如協議流量分布、總流量、最大速率、平均速率以及最大載荷等。

　　工業設備安全數字指紋:通過AI模型自動采集分析,建立工業設備的安全數字指紋,及時預警安全隱患。

　　05 網絡運行效率和安全性雙重提升

　　多網DPI引擎

　　DPI引擎(深度數據包檢測)能夠深度解析網絡流量,實現對不同類型數據流和應用程序的精細管理和控制,繼而提升網絡運行效率和安全性。在當前網絡威脅與需求日益增加的背景下,其應用價值和意義愈發凸顯。

　　本產品將DPI應用在多個領域,包括信息網、工控網、涉密網、視頻網、物聯網、車聯網、移動網等。

多網協議DPI

　　06 安全專家的利器

　　網絡安全知識圖譜

　　基于ATT&CK圖譜的網絡攻擊鏈生成技術可以提供一種標準化方法描述并分析網絡攻擊,幫助安全專家更好地理解和應對各種高級威脅,主要涉及以下幾個方面:

　　1.技術標注:原始數據納入攻擊鏈生成系統的首要任務就是技術標注,遵循ATT&CK技術標準并根據原始數據特性,技術標注可分為三種類型:Suricata技術標注、Sigma技術標注以及規則關系抽取技術標注。

技術標注示意圖

　　2.攻擊鏈建模編輯器:在瀏覽器中運行,幾分鐘內便可完成攻擊流程的創建。該編輯器提供了一個工作空間,用戶可以輸入攻擊行動及其他背景信息,通過繪制箭頭,用戶可將這些信息編織成一個攻擊流程,明確展示事件或活動中觀察到的攻擊技術執行順序。

攻擊流程圖

　　3.攻擊鏈生成引擎:攻擊鏈生成引擎采用流處理技術,支持高吞吐量、低延遲的大規模數據處理。

攻擊鏈生成引擎流程圖

　　4.預測攻擊鏈:通過使用已訓練的模型,預測潛在攻擊鏈路,包括攻擊手段、攻擊流程以及攻擊目標等信息。根據這些預測結果,用戶可采取相應安全防御措施進行應對。

ATT&CK攻擊矩陣

　　07全方位保障隱私聚集地

　　網絡空間安全分析(CSA)

　　萬物互聯背景下,網絡空間安全越來越受到組織、公司乃至國家的高度重視,它不僅關系著國家安全和社會經濟穩定,同時也與我們日常生活密切相關。比如我們時時刻刻都在使用的手機、電腦,是我們個人隱私的另一聚集地,也是網絡空間的載體。

　　長揚態感網絡空間安全分析功能以資產為核心,從區域、聯通性、病毒、情報、漏洞、基線、溯源、UEBA行為等多個方面進行全方位、立體化分析。

資產分析

網絡安全實體異常行為分析

溯源分析

聯通性分析

情報分析

基線分析

　　08更科學的安全策略

　　智能資產管理

　　通過主動、被動兩種方式進行定時和實時的資產信息采集,建立準確的資產清單和資產軌跡;再通過建立資產畫像,幫助組織和企業更好地了解其網絡設備和應用程序的情況,進而制定更科學的安全策略。

　　網絡安全資產畫像包括(1)資產指標:資產類型、 協議類型、IP地址、端口、操作系統、安全配置、應用程序、漏洞信息、位置信息、 運行狀態等。(2)風險評分:通過對資產畫像進行評估,建立相應的風險評分模型,對組織和企業的網絡安全風險進行評估和管理。

資產畫像

　　09定制化方案高度滿足客戶需求

　　組件式大屏UI

　　根據用戶要求進行設計和定制大屏用戶界面,對使用場景進行調整和優化,以滿足特定功能要求和美觀要求。其主要特點和優勢如下:

　　1.功能需求:針對用戶使用場景和需求進行設計和定制。

　　2.界面設計:依照用戶審美標準和使用習慣進行設計和定制。

　　3.數據展示:根據用戶數據及數據分析需求,設計數據展示和可視化形式,以便用戶進行數據分析和決策。

　　4.可操作性:考慮到用戶交互方式和操作習慣,確保操作快速性和便利性。

3D大屏

　　10運營效率及精確度大幅提升

　　安全編排自動化與響應

　　基于SOAR的網絡安全運營能夠助力組織和企業優化網絡安全事件的管理,提升處理效率和準確性,降低安全風險和損失。通過實現安全事件智能化處理和響應,能顯著提高網絡安全運營的效率和精確度。其主要特點和優勢如下:

　　1.自動化響應:依據預設的安全編排規則,實現對安全事件的自動化分類、分析和響應,以確保安全事件得到快速且準確地處理。2.集成安全工具:通過可插拔插件,集成各類安全工具和設備,如防火墻、入侵檢測系統、安全信息和事件管理系統等,將這些工具嵌入到自動化流程中,實現全方位安全運營。3.安全編排規則:根據各類安全策略和需求,配置編排規則,實現靈活且高效的安全運營。4.事件閉環:實現安全事件從發現到處理全程監控和管理,確保每一項事件都得到有效處理和響應。

智能化安全編排

全場景劇本案件倉庫

智能終端事件閉環處理

　　本次揭秘的新一代態勢感知平臺十大核心技術,不僅充分展示了長揚科技突破性的創新和成績,也標志著長揚科技在該領域達到了新高度,同時也是一個嶄新的起點。

　　未來,長揚科技將繼續勇于探索和創新,不斷完善態勢感知相關技術和產品,為客戶提供更加可靠、安全的解決方案。隨著科技不斷發展和變化,長揚科技將始終保持敏銳的洞察力和前瞻性眼光,與時俱進,秉持創新精神,致力于打造更加安全和穩定的網絡環境,為客戶和行業發展作出更大貢獻,為網絡安全事業打造更加美好的明天。