威脅情報中心

融合主動威脅檢測和被動流量分析技術,能夠實時深度監測並定位各類安全威脅

威脅情報中心

威脅情報中心是安恒信息設立的致力于安全數據歸集共享和開發利用、研究和生産高質量核心威脅情報的團隊。其威脅情報服務基于安全數據大腦對外輸出,秉承“數據賦能,智慧安全”的理念,通過多維度多渠道的安全數據彙聚融合,利用大數據和人工智能技術進行高質量價值提取,實現對自身産品和客戶應用的數據賦能,提升産品和應用的智能化水平。 

團隊成績

2019年參與編寫

·參與編寫國家cert《中國互聯網網絡安全報告》中2018年網站篡改情況和《2018掃描專題年報》專題部分
·參與編寫浙江cert《2018年浙江省互聯網網絡安全報告》中《浙江省內web站點安全專題與態勢分析》部分

2018年參與編寫

·2018年上半年暗鏈專題報告
·Linux系統在互聯網中面臨的安全威脅分析報告
·2018掃描專題半年報
·FreeBuf 2018金融行業應用安全態勢報告

安全數據大腦概念

30+

自動化威脅檢測專利

40億

全球IP資産探測

60億

玄武盾日訪問量

80萬

高質量IoC情報數據

200+

集成情報源

150+

全球黑客團夥動態追蹤

安全數據大腦擁有30余項自動化威脅檢測專利,結合sumap全球40億IP資産探測、玄武盾60億日訪問量、80萬活躍高質量IoC情報數據,集成200余個情報源,實現對全球150余個黑客團夥的動態追蹤,從雲到端提供基于威脅情報驅動的智能安全檢測、分析和溯源情報管理,構成面向服務器安全的威脅情報體系。

産品架構

雲端互聯 威脅盡覽

安全數據大腦的雲端威脅情報,通過提供情報庫訂閱、API查詢接口,可將情報數據落地應用在用戶現場。通過與情報産品TIP/TDP的聯動協同體系,從雲到端提供基于威脅情報驅動的智能安全檢測、分析和溯源能力,全方位協同區域安全態勢感知、未知威脅檢測、攻擊溯源分析及主動威脅防禦等場景的智能化管理服務。

平台概述

平台概述

Ailpha威脅情報平台依托安恒“安全數據大腦”提供的威脅情報,支持集成多源情報,自有情報管理,情報關聯分析以及提供情報協同等能力,爲用戶建立自有的威脅情報中心。該平台可感知單位內部最新威脅態勢,全球最新威脅動態,從海量告警中聚焦高威脅事件,協助用戶建設情報驅動的動態安全監測防禦體系。

平台功能及特點

依托“安全數據大腦”自有威脅情報

安全數據大腦依托玄武盾SaaS雲防護,蜜罐網絡,全球資産探測等能力,國內外數百家情報源集成,通過大數據,機器學習與自動化分析等技術,提煉形成面向服務器安全的威脅情報中心。中心對服務器遭受的攻擊,最新的威脅動態進行追蹤研究,形成涵蓋C&C,僵屍網絡,惡意代理等60余類的情報數據,以及全球的網絡資産基礎數據,日更新高活躍情報數據80萬。

多源情報智能關聯分析能力

依托安恒多年來在大數據與機器學習領域的積累,通過建立多源情報分析模型,信譽模型,關聯模型,可爲用戶提供在多源情報數據環境下更爲精准/豐富的情報內容,解決多源情報數據不一致給用戶帶來情報決策的煩惱。

支持與多類安全設備協同對接

安恒擁有豐富的設備日志與接口對接經驗,截至目前已經積累數百個品牌的設備對接經驗。威脅情報平台支持提供標准的STIX情報數據標准,已經支持安恒全系列産品線的接口對接,也可依據用戶現場設備情況快速靈活地開展接口定制聯調,真正用情報數據驅動安全設備智能化分析能力。

● 集中的情報中心,推動情報共享協同

有效管理外部情報與內部情報,並通過情報關聯分析,形成自有的情報中心,可供單位內部安全分析人員與各類安全設備進行情報共享,協同,檢索與分析。

● 精准的攻擊溯源情報,有效評估攻擊影響

能夠基于威脅情報分析攻擊者曆史攻擊意圖,確定是否針對性入侵行爲,從而爲某次攻擊産生的影響進行精確評估。

● 日更新威脅情報,增強主動防禦機制

通過平台中日更新的情報數據協同各類安全設備,可更新防禦最新的攻擊行爲,抵禦由于傳統設備對加密流量,未知攻擊,0day利用,隱蔽信道等缺乏有效檢測手段而疏漏的入侵,更快速靈敏防禦最新的各類攻擊行爲,減少損失。

● 自動化分析與聚焦,降低分析師的精力投入

據Gartner統計在各組織中,安全分析師每日最多僅能對30%的告警進行應對處理,因此而錯過的問題可能造成企業的損失。威脅情報平台可提供數據接口,應用在SOCSIEM等産品中,可發揮重要作用,能夠自動化分析高威脅事件,降低分析師的海量排查精力投入,並爲攻擊事件提供外部情報分析,更精准決策與下發響應動作。

TIDP(Threat Intelligence Detection Platform)

基于威脅情報數據驅動的威脅檢測平台

依賴于安恒數據大腦,TIDP是一款基于威脅情報數據對網絡流量進行實時分析和檢測,以及對可疑網絡行爲進行告警的軟硬件一體化産品。該平台基于多種不同類型的威脅情報數據,再結合機器學習、遠控指紋庫、漏洞利用庫,以及多個隱蔽信道通信檢測模型,不僅能全面發現網絡環境中的失陷主機,還能夠精准區分隨機掃描和針對性攻擊,通過第一時間關注針對性攻擊,極大提升安全團隊對網絡攻擊事件的響應效率。

平台功能及特點

  • 豐富又高質的威脅情報數據支撐

    安恒數據大腦豐富的威脅情報數據,是TDP檢測失陷主機的重要基礎。安恒數據大腦依托玄武盾SaaS雲防護、蜜罐網絡、全球資産探測等能力,國內外數百家情報源集成,通過大數據、機器學習與文件自動化分析等技術,提煉形成涵蓋C&C、僵屍網絡、惡意代理等60余類的情報數據,以及全球的網絡資産基礎數據,日更新高活躍情報數據80萬條。

  • 多維度、全方位發現失陷主機

    TDP中不僅內嵌了多種遠控類型的情報指標(IOC,Indicator of Compromise),而且也結合了安恒信息在網絡流量分析領域的長期積累,引入了包括利用機器學習檢測DGA域名請求、遠控工具指紋庫、漏洞利用庫,以及多個隱蔽信道通信檢測模型,可以全方位發現失陷主機。並通過可視化的方式,從失陷主機、威脅類型、黑客組織等多個角度進行關聯展示,呈現當前網絡環境中所有的失陷和受控情況。

  • 從海量隨機性掃描中識別針對性攻擊

    網絡環境中時刻在發生大量自動化隨機掃描事件,這些隨機掃描事件在傳統網絡安全設備上,將同步産生大量告警。TDP通過對網絡雙向流量進行實時分析,准確識別針對服務器的針對性攻擊事件,使安全分析人員能從大量隨機性掃描攻擊事件中解脫出來,第一時間對針對性攻擊事件進行響應,極大提升安全團隊對網絡攻擊事件的響應效率。

  • 對攻擊事件雙向視角展現和回溯能力

    TDP不僅以受攻擊主機(包含失陷主機)爲視角,同時也以攻擊源爲視角,全局展現攻擊事件動態過程,無論是攻擊源還是受攻擊者,都可以多次鑽取更爲詳細的攻擊事件信息,並可進一步從安恒數據大腦在線關聯獲取IP、域名和黑客組織等詳細信息,以供進一步取證回溯分析。