• 背景介绍

  • 产品架构

  • 产品核心功能

背景介绍

近年来,网络安全问题日益突出,各类不法组织和不法分子怀着种种目的,使用各种手段进行网络攻击,致使网络安全事件层出不穷,给国家安全、社会稳定、人民生活造成严重影响,有效防范和抵御网络攻击已成为保证网络安全的重要环节。

当前安全态势下,网络黑产的产业化、集团化应用趋势明显;网络成为某些恶意组织作恶的主要工具或者武器装备,网络威胁种类也更加复杂多变,高级持续性威胁攻击(APT)目前仍处于活跃和高发态势。由于APT攻击具有非常规的攻击手法、较长的攻击周期、低频度的攻击行为及缓慢而持续的攻击速度等特性,传统的安全事件感知机制由于原始攻击日志的绝对数量无法达到触发警报阈值,而对APT攻击不敏感;而配套的APT检测防御等设备应用门槛高,落地效果一般。

因此,传统的安全防护体系和防护方式已经无法有效的应对有组织、由预谋且花样繁多的安全威胁。

FK01的解决之道

威胁情报成为轻量级的解决复杂网络攻击、威胁预警、安全溯源的重要手段。合理利用威胁情报,实时共享安全情报信息,建立一套以安全情报驱动的,具备边界实时预警和防御的体系平台极为重要。解决思路如下:

可靠准确的威胁情报来源

威胁情报是判断威胁的主要依据,因此,需要保障威胁情报的准确性和可靠性。FK01将通过公安一所的大数据分析中心实时更新威胁情报,来保障威胁情报的准确性和可靠性。

不改变原有架构的旁路阻断

在不改变原有网络结构的情况下,采用旁路部署模式,当监听检测到威胁的同时,可以通过另外一条通信链路,主动构造阻断数据包分别发送至访问端与服务端,达到拦截封禁攻击的效果。

多场景的阻断策略

为了适应不用时期的不同需求,方便客户能够快速切换策略适应不同场景,简化运维工作,可以通过提前创建多种阻断策略模板,比如重保场景、常规场景等,并且能够通过网页配置进行一键切换。

基于语义分析的深层检测

为了提高风险判断的准确率,在设备中内置了基于语义分析的威胁检测引擎,通过威胁情报与本地检测引擎的双重检测,提高防护效率和防护准确度。

产品架构

工作原理

FK01会通过公安一所的大数据分析中心实时更新威胁情报,公安一所大数据分析中心的情报来源主要来自与分布部署的一千多万个网防G01节点以及多个业内主流威胁情报平台,经过大数据分析中心进行汇总判断后,生成可用安全情报,用户可采用自动封禁或人工研判等方式对问题流量进行处置,保证正常业务的安全运行。

部署模式

旁路部署

FK01支持旁路部署,在不改变用户网络架构基础上,通过采集镜像流量实现实时的检测分析,并实现威胁阻断。通过将FK01旁路部署在出口路由交换设备镜像侧,实现对流量的实时监听;同时接一路通信线路,通过主动构造数据包实现对威胁的实时阻断。

产品核心功能

准确的安全情报数据画像

FK01的情报数据来自于公安一所的大数据分析中心,依托海量的安全告警日志,对攻击源进行全面的多维画像分析,全面提取手段特征、指纹特征、目标规律、时间规律等画像信息,一方面为攻击源打标签,方便聚类管理与行为分析,另一方面用于威胁评分的计算分析。

威胁情报画像包含IP攻击类型(扫描、暗网、代理、暴力破解、WebShell攻击、Web攻击、DDoS攻击)、IP地理位置、IP攻击时间等。

场景化的阻断策略

FK01支持多种场景化策略:默认策略、仅监测策略、日常防护策略、重保严格策略。比如,在重保期间需要优先保证数据的安全性,可一键切换为“重保严格策略”,自动阻断所有情报IP与所有存在风险的攻击行为;在日常防护时期,可开启“日常防护策略”,仅自动阻断高危攻击同时降低对业务的影响概率;若客户需要先测试下FK01产品的准确性,可采用仅监测策略,只对情报IP和攻击行为进行监测记录阻断。

主动防御技术

FK01支持在旁路部署监听的模式下,对所发现威胁实行主动防御的技术,当检测到风险情报后,FK01可以模拟服务器端和客户端通信细节,主动构造阻断数据包进行外发,中断后续会话,从而达到封堵的目的。

攻击流量识别技术

系统内置语义分析引擎,通过对Payload内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。

威胁模型来自对各类攻击数据的深度学习,对攻击行为特征进行威胁定级,进而建立威胁模型。随着样本数据的增加,威胁模型越来越精准。

与规则匹配型威胁检测方式相比,智能语义分析技术具有准确率高、误报率低的特点,管理者无需维护庞杂的规则库,有效提高了防护工作效率。