历经六载,长扬科技发布了新一代态势感知平台,通过采用新技术、新模式和新运营建设开放生态,平台实现了一体化安全,能够为客户持续创造价值。
今天,我们将为您揭示该平台背后十大核心技术。其中,基于ATT&CK攻击知识图谱进行攻杀链矩阵分析、AI模型与预测技术(SKCAP)、网络空间安全分析(CSA)以及基于编排自动化与响应闭环处置的自动化安全运营(A2SOAR)是构成新一代态势感知能力的核心组成部分。
01
异常攻击行为一网打尽
N/HIDS引擎
NIDS和HIDS分别是网络入侵检测系统(Network Intrusion Detection System)和主机入侵检测系统(Host Intrusion Detection System)的简称,二者用于监控和检测计算机网络中潜在入侵行为。
集成NIDS和HIDS是两种不同类型的入侵检测引擎。前者基于网络入侵检测系统,通过监控网络流量来检测是否存在异常和攻击行为。例如,NIDS引擎可以检测到网络中是否存在大量的来自同一个IP地址的请求,或者某些传输的数据包中是否含有恶意代码等,内置规则2.6w+;后者则基于主机入侵检测系统,通过监控主机操作系统的事件、文件、进程等数据来检测是否存在异常和攻击行为。例如,HIDS引擎可以检测到系统管理员账号的异常登录行为,或者是否存在某个进程执行恶意代码等。
这个过程中,两者进行关联监测。
入侵检测配置
02
对关键信息的捕获、分析与洞察
CEP规则引擎
CEP(Complex Event Processing,复杂事件处理)可实时监测、分析和处理大量事件流,能够从多个数据源中提取并处理事件,且能根据预定义的规则和模式进行实时分析和推理。
该引擎通过使用多种窗口函数,处理事件流中一段时间窗口内的数据,帮助用户捕获及分析事件流中的关键信息,并从中得出有价值的结论和洞察。该引擎内置了四种窗口函数:
1.滑动窗口:分析事件流的趋势和变化。
2.固定窗口:分析事件流的周期性和统计特征。
3.增量窗口:仅对新增数据进行处理,实时更新分析结果。
4.会话窗口:通过特定规则将事件流划分为多个会话,使得每个会话内数据相互关联,以便分析事件流的交互和关联性。
CEP规则配置
03
多平台使用,高效实时检测
病毒检测引擎
病毒检测引擎主要用于检测及清除病毒、恶意软件和其他恶意代码,可在Linux、Unix、Windows等多个平台使用,集成多种反病毒软件,支持自定义规则和白名单。其内置规则数2500+,支持常见病毒、木马、蠕虫、恶意软件等多种类型检测,应用于以下安全场景:
1.文件监控:监控服务器中的文件,检测其是否包含病毒、木马或恶意软件等。
2.邮件监控:监控邮件及附件,防止邮件中传播病毒和恶意软件。
3.网络流量监控:监控和过滤网络流量中数据,防止网络中传播病毒和恶意软件。
4.Web应用程序监控:监控Web应用程序上传的文件,防止Web应用程序中传播病毒和恶意软件。
5.数据库监控:监控数据库中的文件和数据,检测其是否包含病毒、木马或恶意软件等。
6.USB设备监控:监控插入计算机中的USB设备,防止USB设备中传播病毒和恶意软件。
病毒检测
04
有效防御网络威胁
数字指纹及深度分析引擎
新一代网络安全态势感知系统的主要分析方法是保护企业/组织防御网络威胁的关键工具。通过综合应用告警直报、黑白名单、动态基线分析、机器学习等多种技术手段,网络安全专家可以更好地识别及应对威胁,从而提高网络安全水平。
主要分析方法如下:
工控安全基线及工业设备数字指纹可以帮助组织及时发现和处理潜在工控安全问题,防止安全威胁对工控系统和运行造成损害。其应用场景如下:
工控网络入侵检测:具备入侵行为特征库,可对工控网络通讯中的协议、应用、通讯行为提供深入准确的分析、检测及安全诊断,能够及时捕获网络异常行为,发现网络入侵行为并分析潜在安全威胁,如:DNS隐蔽信道、反弹Shell、普通主机扫描(源IP相同)、分布式主机扫描(目的IP相同)、普通端口扫描(源IP相同)、分布式端口扫描(目的IP或端口相同)、暴力破解检测、源与目的IP暴力破解、恶意代码检测等。
工控内网安全监视:记录功能码、数据地址、寄存器地址、对象名、属性、数据类型、类型标识、传输原因、应用程序数据单元、数据块等工控协议的主要参数和特征,通过机器学习技术分析并学习通信正常模式,及时发现异常流量和攻击行为。
工控合规性检测:对协议通讯内容进行鉴别与合规性检查,及时发现违规使用行为并进行告警展示,如:危险指令、数据夹带、弱口令、外部访问、横向访问、内部主机外联、风险端口访问等。
工控网络全流量审计:系统提供实时分析功能,并能长时间保存全流量数据,以支持审计和追溯。此外,系统会永久保存关键取证数据的数据包和统计信息,例如协议流量分布、总流量、最大速率、平均速率以及最大载荷等。
工业设备安全数字指纹:通过AI模型自动采集分析,建立工业设备的安全数字指纹,及时预警安全隐患。
