行业背景

近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。

在安全形势不断恶化的今天，运营商承载中国网络的基础资源，从网络安全和信息安全，经常会面临来自互联网的攻击威胁，虽然运营商组织中均设立信息和网络安全相关部门，并且安全管理人员已经在网络中的各个位置部署了大量的安全设备， 但仍然会有部分威胁绕过所有防护直达运营商内部，对重要数据资产造成泄漏、损坏或篡改等严重损失。因此需要在其网络中部署威胁感知产品，及时发现潜藏在其网络中的安全威胁，对威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决网络与信息系统中的安全问题，尽可能地减少安全威胁对运营商带来的损失。

客户需求

• 能够发现自身网络威胁的能力
• 能够对攻击回溯的能力
• 在海量数据中快速查找所需数据的能力
• 检测恶意代码的能力
• 检测未知漏洞的能力

解决方案

产品架构

360新一代威胁感知系统可基于360自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备，360威胁态势感知能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源。其主要包括威胁情报、分析平台、传感器和文件威胁鉴定器四个模块。

威胁情报

威胁情报来自360云端的分析成果，可对APT攻击、新型木马、特种免杀木马进行规则化描述。

分析平台

威胁态势感知分析平台用于存储传感器提交的流量日志和文件威胁鉴定器提交的告警日志，可对所有数据进行快速的处理并为检索提供支持，同时可与威胁情报或其他告警进行关联帮助进一步分析，对攻击进行有效地回溯定位。

传感器

威胁态势感知传感器主要负责对网络流量的镜像文件进行采集并还原，还原后的流量日志会加密传输给威胁态势感知分析平台，流量镜像中的PE和非PE文件还原后则加密传输给威胁态势感知文件威胁鉴定器进行检测。威胁态势感知传感器通过对网络流量进行解码还原出真实流量，提取网络层、传输层和应用层的头部信息，甚至是重要负载信息，这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块，可以在IPv4/IPv6网络环境下，支持 HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

文件威胁鉴定器

威胁态势感知文件威胁鉴定器主要负责对传感器还原后的文件进行沙箱检测、静态检测与动态检测等多种检测，及时发现有恶意行为的文件并告警，告警日志可传给威胁态势感知分析平台供统一分析。/IPv6网络环境下，支持 HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

产品模块间数据流程描述

威胁态势感知传感器对企业网内部的重要网络流量的镜像文件进行抓取并全量还原，还原后的流量日志由威胁态势感知传感器加密传输给威胁态势感知分析平台，流量镜像中的PE和非PE文件还原后则加密传输给威胁态势感知文件威胁鉴定器。威胁态势感知文件威胁鉴定器对威胁态势感知传感器传输过来的PE和非PE文件进行沙箱检测、静态检测和动态检测等，以发现其中具有恶意行为的文件。当发现具有恶意行为的文件后，威胁态势感知文件威胁鉴定器会产生告警，并将告警日志加密传输给威胁态势感知分析平台。威胁态势感知分析平台存储威胁态势感知传感器传输过来的日志文件和威胁态势感知文件威胁鉴定器传输过来的告警日志，结合云端单向导入的威胁情报进行自动化匹配，及时发现内网的攻击行为并告警。

图：威胁态势感知数据流程图

• 客户选择的网络流量做镜像传给威胁态势感知传感器。
• 威胁态势感知传感器对镜像流量进行全量还原，并利用自身的入侵攻击库和WEB攻击库对流量进行检测。威胁态势感知传感器会将流量还原后的日志文件和检测后的告警日志加密传输威胁态势感知分析平台。
• 威胁态势感知传感器对镜像流量进行全量还原，还原后的PE和非PE文件加密传输给威胁态势感知文件威胁鉴定器。
• 威胁态势感知文件威胁鉴定器对PE和非PE文件进行检测，发现有恶意行为的文件后产生告警，将告警日志加密传输给威胁态势感知分析平台。
• 威胁情报单向导入至威胁态势感知分析平台。%以上的加壳和变种病毒。
• 威胁态势感知分析平台用威胁情报和本地存储的日志进行自动化匹配，发现攻击后立刻告警。

客户价值

• 首创使用互联网数据发掘APT攻击线索，提升企业对威胁看见的能力
• 以威胁情报形式打通攻击定位、溯源与阻断多个工作环节，帮助企业从源头上解决安全问题
• 高效的快速搜索技术帮助企业提升数据查找的能力
• 基于大数据挖掘分析的恶意代码智能检测技术，提升了客户检测恶意代码的能力
• 基于轻量级沙箱的未知漏洞攻击检测技术，提升了客户检测未知漏洞的能力
• 专业的专家运营团队，全天候为企业保驾护航

应用场景

部署方案