天阗威胁检测与智能分析系统.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,从入侵到威胁,从量到质：突出重点事件,从难到易：事件辅助处理,从易到无：智能执行动作,从一到多：多维智能分析,体系结构,目录,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,从入侵到威胁,从量到质：突出重点事件,从难到易：事件辅助处理,从易到无：智能执行动作,从一到多：多维智能分析,体系结构,目录,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,网络安全面临挑战,网络用户迅速增长,互联网用户每年增长率在,20%,左右，大量的用户暴露在威胁下。,系统漏洞层出不穷,广泛应用的软件系统出现几千种漏洞，自己开发的系统漏洞更是防不胜防。,攻击工具自动生成,只需要点击鼠标，就能自动生成独一无二攻击工具。,管理员面临巨大的压力来处理大量、复杂的安全事件！,网络事件数量巨大,相同情况下，,PC,越多，事件数量越多。,事件数,PC,数,同一个网络中，多一种应用会导致事件多一倍。,事件数,应用,网络规模越大，,PC,数和应用都会增加，导致事件成指数增长。一个,500,台,PC,的网络每周大约产生,500,万条事件！,事件数,网络规模,X,当事件数量激增时，网络管理员已经无法有足够的时间和资源来处理！,管理员工作量分析,管理员的绝大部分工作量都在分析识别非重点关注事件。,确认需关注事件,排除垃圾事件,找出重点事件,事件分析,分析事件,排除误报,事件处理,修复加固系统,调整安全策略,统计汇报,量化数据,辅助宏观决策,工作量约占,30%,须关注事件量减低到百条以内,工作量约占,30%,确认事件量在,几十条,工作量约占,20%,记录事件处理过程,工作量约占,20%,形成报告,安全必须与环境结合,环境,事件,哪些事件值得关注？,这些事件如何确认？,措施有效吗？,只有在实际网络环境结合分析安全事件才有意义。,智能分析呈现重点事件,智能分析引擎,智能分析算法,发生频率,流行程度,威胁能力,用户关注度,资产属性,海量事件,重点事件,001011010100100010001,攻击者分析,攻击过程分析,被攻击者分析,从多个维度对事件进行分析，突出重点事件。,智能分析,-,时间维度分析事件,频发事件,对于蠕虫类等海量链接事件，通过历史趋势来判断威胁程度,突发事件,对于新出现的威胁事件，往往意味着威胁形式发生了变化,根据发生频率判断是否出现新的威胁，或者已知威胁在变化。,初级黑客爱好者,有经验的黑客爱好者,高级黑客爱好者,职业黑客,攻击机器人,采用免费工,具，不具备专业入侵知识，学习工具有效性，无攻击目标，一般不会造成破坏。,采用专业工具，具备一,定的专业入侵知识，攻击目的以学习入侵知识为主，有一定的破坏力。,采用个性化工具或者手工攻,击，深入了解入侵知识，并具备工具开发能力，有针对性攻击，破坏力比较强。,自创攻击手法以及攻击工具，具备发现新型攻击途径以及独创入侵工具能力，通常是有利益驱使下的有针对性攻击，破坏力很强,大量攻击行为并发产生，主要是蠕虫、僵尸网络、木马等能自动发起攻击并能自动传播的攻击，破坏力很强，影响范围广。,智能分析,-,威胁能力维度分析事件,根据攻击手法判断攻击者水平，进一步判断事件性质。,智能分析,-,攻击流行维度分析事件,知识传播程度,工具传播程度,工具自动化程度,漏洞发现时间,攻击复杂度,操作系统分布比例,流行事件,非流行事件,流行事件,非流行事件,较强威胁,较弱威胁,根据攻击流行程度来判断事件威胁的强弱。,事件智能分析呈现重点事件,一个月发生事件,页数：,19966,条数：,3993220,当日重点事件,页数：,1,条数：,9,VS,仅突出需要关注的重点事件，使需处理事件降低,4,个数量级！,辅助处理让事件更易处理,事件解释,-,哪里出了问题，出了什么问题，紧急程度,事件处理向导,-,如何科学地处理,主体,客体,时间,威胁,来源、等级、流行程度,状态,紧急程度、长,/,短期监测,环境,网络设备、应用系统、终端,关键,/,非关键资产,对威胁的全面解释供运维人员分析,根据,IDS,提供的方法，确认威胁是否真实存在,参照操作步骤，对威胁进行处理,处理过程和措施进行记录，同样事件批次处理,1,2,3,4,分析,确认,处理,记录,辅助处理模块提供与业务相关的信息，将处理步骤结构化！,辅助处理,-,提供事件全方位信息,事件处理状态,事件发生定位,事件影响范围,事件后果分析,事件长,/,短期状态监测,辅助分析让使用者更容易判断事件的性质！,辅助处理,-,固化处理流程,分析,1,确认,2,A.,确认存在安全威胁,B.,根据确认结果对事件进行分类,处理,3,具体步骤,详细口令,使用工具,对事件处理方法的记录，批处理同类事件,记录,4,事件处理流程化并可积累处理经验！,智能执行降低用户工作量,重点威胁事件库,待观察事件库,A,事件,B,事件,C,事件,系统分析,事件流行程度,影响范围,监控态势,。,分析结论,A,=,误报事件,B,=,待分析事件,C,=,威胁事件,抑制显示，降低无效事件,处理方法历史记录,自动批处理同类事件,沉淀使用者处理经验，无须重复劳动！,智能执行,-,自动处理同类事件,偶尔发生的非攻击事件,不存在安全威胁,抑制显示,短时间大量发生的事件,确定存在安全威胁,处理事件,提高事件级别,自动处理同类事件,调整显示方式,自动处理同类事件,根据事件动态自动处理事件！,多维关联分析提供可决策的报告,从三维空间到多维空间,每增加一个维度,，对世界的认知就进一步扩展,事件分类,威胁事件、流量事件,时间,指定时间段,使用者,技术人员、技术管理者，行政管理者,传统,IDS,IDS,报告,=,（事件分类，时间，使用者、威胁程度，网络空间，业务系统）,天阗,TDS,网络空间,区域，整网,安全威胁程度,威胁，初级黑客，具备一定水平的黑客，高水平黑客,业务系统,浏览器、,Web,服务器、邮件服务器,IDS,报告,=,（事件分类，时间）仅两个维度,突破事件分类统计局限，从多个维度进行分析！,多维关联分析提供可决策的报告,天阗,TDS,分析模型,技术人员：,事件列举、排序、统计、对比,处理结果的统计和对比,内部外部地址信息,技术管理人员：,区域关联事件显示，相关威胁统计信息,关键事件排序和,处理结果查看和度量,行政管理人员：,结合网络状况（节点、业务、资产）的整,（区域、关键资产）威胁状况，历史同期情,况对比。,事件影响的整体统计以及处理结果统计,最合适的分析模型为每类用户提供关心的数据！,技术人员：哪个地址出事了？,技术管理人员：是不是在关键业务处出事了？,行政管理人员：是全网出事了还是某个区域出事了？,哪里出事了？,技术人员：,XX,病毒、,XX,木马发生了,技术管理人员：业务系统面临的是攻击行为还是可疑行为？,行政管理人员：各区域都面临哪些类威胁？,出了什么事？,技术人员：事件是否闭环,技术管理人员：业务是否正常,行政管理人员：整网状况，与同期相比状况等,处理结果如何？,技术人员：如何操作？,技术管理人员：处理顺序如何？,行政管理人员：不关注,该如何处理？,技术人员：窃取口令，堵塞网络,技术管理人员：会不会影响业务的开展？,行政管理人员：整个网络会因此受到影响么？还是区域受影响？,有什么影响？,事件处理流程,多维关联分析提供可决策的报告,以用户为中心的数据分析报告！,哪些,地址,出事件了？,哪些地址在尝试攻击,？,哪些系统被影响了,？,哪些设备被影响了,？,可获得的信息：受影响的业务系统是哪些，哪些区域有问题的比例大？,多维关联分析,-,哪里出问题了,具体都是什么情况？,哪些才是问题？,需关注的事件是那些增幅大、级别高的事件,蠕虫或突发事件，会给网络带来实质性损害的事件,多维关联分析,-,出了什么问题,事件的宏观影响？,事件的具体影响？,事件的影响取决于目标和具体事件,业务系统面临高风险事件，且近期呈现事件频发趋势，,说明需要对业务系统的防护做调整,多维关联分析,-,有什么影响,该重点处理哪些？,该如何处理？,事件频发，该优先处理哪些？,哪些地址需要重点关注？,多维关联分析,-,如何处理,：本期工作成效,：本期工作数量,：本期事件趋势,：是外界攻击者加强导致事件变多还是工作忽视？,事件环比分析,事件处理分析,事件发展分析,攻击者分析,多维关联分析,-,处理结果如何,发现蠕虫,蠕虫影响,某子网,一段时间后，,其他子网也爆发,该蠕虫,发现其他子网,蠕虫源头是起始,子网,结论：,子网边界防护不清晰，需重新调整策略,多维关联分析,一次典型决策判断过程,管理员工作量分析,天阗,7,将极大降低用户工作量，使工作轻松完成！,确认需关注事件,排除垃圾事件,找出重点事件,事件分析,分析事件,排除误报,事件处理,修复加固系统,调整安全策略,统计汇报,量化数据,辅助宏观决策,工作量约占,10%,天阗,7,的智能分析大幅降低非关注事件数量,工作量约占,20%,天阗,7,的辅助处理为管理员提供足够的信息识别误报,工作量约占,60%,管理员可以把工作量集中在事件处理上。,工作量约占,10%,多维分析提供可决策的报告,管理员工作量分析,产品系统架构,特征匹配检测,异常检测,专用算子检测,威胁检测子系统,全部威胁事件,数据处理与智能分析子系统,事件智能,分析模块,待观察事件库,重点威胁事件库,事件实时,显示模块,事件处理,管理模块,历史事件,查询模块,威胁分,析模块,重点事件处理,无威胁事件抑制,基线事件异常报警,威胁态势展示,安全状态决策报告,重点事件展示,事件辅助处理与管理,决策,运维,多级部署架构,被监控网络,二级数据中心,被监控网络,被监控网络,被监控网络,二级数据中心,被监控网络,被监控网络,一级数据中心,一级分析中心,一级控制中心,检测层,管理层,呈现层,实时显示与处理,报表分析,部署管理,策略管理,最好的威胁检测系统,连续六年国内,IDS,市场份额第一,多年市场成功销售，保证产品持续发展,客户遍布全行业，树立良好的用户口碑,销售全过程体系成熟：销售、售前、售后以及商务经验传承,多次权威测评产品排名第一,最全面的资质认证，国际,CVE,产品兼容证书,各种专利技术保证产品检测能力和性能领先,IDS,领域的技术先驱,出版中国最早普及入侵检测知识的书籍,中国第一个硬件,IDS,产品,第一个千兆,IDS,产品,第一个,IDS,多级分布式部署,第一个基于拓扑的管理,第一个入侵定位系统,第一个与漏洞扫描相结合的风险评估系统,强大的技术支撑体系,最早的博士后工作站,攻防研究团队,AD,Lab,可查看微软源代码，,CNCVE,的首席合作伙伴,和,CNCERT,的合作，最新的安全事件收集,天阗,中国最好的,IDS,组织保障,先进的组织保证技术前瞻性：积极防御实验室、博士后工作站、专业安全服务团队,M2S,等,技术保障,市场第一份额保障业内最大研发投入,市场保障,政府、军队、银行、证券、电信、电力、企业等领域，全国,31,个省、近,1,000,家,40,余项国家信息安全项目,，包括两个国家计委产业化项目、五个,863,项目、多个基金项目,，,最好的威胁检测系统,天阗威胁检测与智能分析系统,性能,100M,1G,天阗,TDS 207,适应百兆网络环境,天阗,TDS 507,适应满负荷百兆环境,天阗,TDS 2207,适合千兆网络环境,天阗,TDS 2807,适应满负荷千兆环境,产品型号：,欢 迎 光 临 启 明 星 辰 大 厦 参 观 指 导！,谢谢！,