內網威脅感知與攻擊溯源系統

一、現狀與問題

隨著《網路安全法》正式成為法律法規，等級保護系列政策更新，“安全” 對於大部分企業來說已成為“強制項”。然而，網路空間安全形勢日趨複雜和嚴峻。席捲全球的勒索病毒在全球範圍大爆發，對企業的 正常工作，造成巨大影響。 高階持續性威脅(APT攻擊)、魚叉攻擊、內部員工和外包人員的越權操作，也在不斷的威脅著企業核心資料安全。

威脅一直存在，但企業安全管理人員卻沒有相應的技術手段和工具發現問題、定位攻擊源。

二、解決方案

針對以上問題，現在企業的網路安全思維要有所轉變，企業網路安全不僅要有優秀的防禦能力，更要有主動的安全溯源和應急響應能力。面對邊界網路安全裝置不能保證100%網路安全的現狀，能幫助企業準確發現威脅、快速定位威脅、有效控制威脅擴散的工具越來越重要。

本系統透過“虛擬模擬”技術，在駭客必經之路上佈置陷阱、誘敵深入，可實現對APT攻擊事件、蠕蟲病毒（勒索病毒）傳播、異常操作事件的精確定位。 解決內部網路攻擊行為難以識別、難以定位、難以溯源三大問題，賦予內網全新的主動對抗能力。 結合日誌大資料溯源模組、流量大資料溯源模組，幫助企業溯源駭客身份和攻擊意圖，實現全網安全態勢感知。

三、系統功能

  應用“主動防禦”思想， 在核心伺服器區 ，設定“ 虛擬模擬陷阱“ ，迷惑攻擊者，配合安全審計， 實現對 APT 攻擊事件、蠕蟲病毒（勒索病毒）傳播、異常操作事件的精確定位 。

1. 虛擬模擬

1 ）系統可實現對各種系統應用（SSH，telnet）、資料庫應用（mysql、oracle）、業務應用（http、https）的高模擬模擬，透過在企業內網部署高模擬應用“陷阱”，混淆駭客的攻擊目標，將攻擊隔離進沙箱系統，識別攻擊行為，延緩攻擊程式，並以多種方式通知管理員。

2 ）偽裝代理，透過在企業內網真實核心伺服器上部署“偽裝代理”，可讓“陷阱”遍佈整個內網，將駭客針對真實伺服器上“陷阱”的攻擊流量引入本系統，提高本系統對攻擊行為的感知率。

3 ）誘餌檔案，系統基於Web“bug”工作原理，可在偽造的“敏感檔案”中插入“追蹤”程式碼，讓竊密者感染管理員設計的“木馬病毒”，以幫助管理人員快速定位竊密者。

2. 攻擊識別與內網威脅情報

1 ）已知攻擊識別，系統內建入侵檢測模組，可準確識別所有針對模擬應用的攻擊源IP和已知攻擊事件型別。

2 ）未知攻擊識別，系統詳細記錄針對模擬應用的各種攻擊行為日誌，基於行為分析模式，利用大資料對未知攻擊識別引擎進行訓練,可精確識別每條駭客攻擊源,攻擊路徑以及攻擊手法，為管理人員提供有效的威脅感知和攻擊定位工具。

3 ）內網威脅情報，系統在識別和記錄攻擊的同時，可獲取攻擊源的的詳細資訊，包括瀏覽器版本、作業系統型別、裝置指紋、開放埠等，為攻擊溯源提供內網威脅情報資訊。

3. 攻擊溯源

利用內網威脅情報資訊，日誌大資料溯源模組和流量大資料溯源模組可進一步確定攻擊源（病毒源）對內網核心資產的攻擊行為，幫助運維人員快速溯源攻擊行為、確定攻擊範圍、全面掌握內網安全態勢。

4. 集中管理與溯源展示

系統支援多節點分級管理，並能透過資料關聯分析，以時間流的形式進行組織，視覺化的呈現出安全事件的攻擊流程。威脅情報智慧儀表板提供威脅情報感知報告。