- 产品介绍
攻击阻断分析系统实时获取云中心情报平台及同步的情报数据,基于多来源的情报数据,对入网及出网流量进行实时监测,按策略处置威胁攻击及受控外联行为,并结合云中心开放的查询接口及本地全session审计功能,对威胁情报进行全面溯源。基于内置的WAF、IPS及语义检测引擎,实时检测流量中的攻击行为,生成情报数据。
-
- 旁路镜像主动防御
通过监听口对镜像流量进行分析检测,发现攻击时,系统可以模拟服务器端和客户端通信模式及状态细节,主动构造并发送阻断数据包,中断后续会话,从而达到封堵攻击的效果。在避免单点故障风险的前提下,提供强大的防护能力,旁路阻断率高;
-
- 多源情报感知
支持使用FTP或FTPS等方式第三方公有情报源外,还支持接入用户自建的私有情报源,扩大情报数据的范围,为用户提供了更开放的操作范围;
-
- 攻击监测
基于公有情报源及用户自定义情报源,针对不同的应用场景设置不同的监测策略,对外到内的恶意攻击行为进行实时监测或阻断。不同的应用场景下,用户可针对不同的资产分组、情报源、情报行业、情报类型、情报碰撞策略及情报威胁等级等维度有针对性的设置防护规则。系统内置基于规则及语义分析的引擎,可在情报匹配的基础上,手动开启检测引擎,对情报IP进行二次本地校准;
-
- IPV4和IPV6双栈协议
支持IPv4和IPv6双协议栈情报匹配,具备丰富的场景适应性;
-
- 受控外联检测
基于公有情报库中敌已控我类情报,支持对用户网络流量中的外联行为进行有效检测,并做响应处置,敌已控我类情报类型丰富多样,包含IP类、域名类以及URL类;
-
- 威胁情报溯源
支持对威胁情报进行溯源查询,可以直观获取情报源的详细资产画像及历史攻击轨迹画像,其中详细资产画像包含资产标签、组件标签、开放端口等信息,历史攻击轨迹可溯源至近三个月;
- 一点监测、全网阻断
+- 网络攻击阻断系统内置攻击监测引擎,一旦在某一用户的流量中监测到中高危的攻击日志,会实时通过情报上传接口,提交威胁情报中心,经一系列验证分析后,威胁情报会通过情报下载通道实时到达全网部署的网络攻击阻断系统设备,从而实现“一点监测,全网阻断”的效果。
- 精准威胁情报画像
+- 从基础信息和攻击追溯两个维度对威胁情报进行实时画像,对监测发现的攻击情报进行实时测绘分析,结合开放的端口/服务/安装的软件等信息,对威胁情报进行标签化管理,用于指导情报的封禁时长,避免发生由移动热点、专用出口封禁导致业务工作无法正常开展等事件。
- 多源情报融合处理
+- 引入不少于四类互联网厂商、网络安全厂商、设备厂商、终端安全类厂商,实现对多源威胁情报进行情报数据信誉评价及抗污染处理,对威胁情报进行画像和溯源分析,采用基础信息、漏洞情报、测绘情报对情报进行补全,对多源威胁情报进行融合处理生产形成高质量威胁情报库,为攻击检测阻断系统或现网网络安全系统等提供情报消费基础。除公有情报源外,还支持接入用户自建的私有情报库,为用户提供了更开放的操作范围。
- 灵活的事件处置机制
+- >内置保障/日常模式下的策略组配置,确保上线即可生效;
>可针对重点关注防护资产组,设置特定的检测/监测策略;
>支持威胁情报与检测引擎相结合,减少误报;
>攻击监测策略及IP访问控制支持优先级自定义;
<攻击监测策略生效时间支持灵活设置。
- 典型部署
旁路镜像阻断模式
对于部分复杂关键的网络边界,串行设备和拓扑改变带来的单点风险不容忽视,传统的安全解决方案通常会设计为旁路检测,发现威胁后手动调整边界防火墙访问控制规则来实现封堵的效果,在防护敏捷度和时效性上存在较大不足。威胁监测工具箱支持在旁路部署监听的模式下,对所发现的威胁实行主动防御技术,当检测到风险情报后,威胁监测工具箱可以模拟服务器端和客户端通信细节,主动构造阻断数据包进行外发,中断后续会话,从而达到封堵目的。在避免单点故障风险的前提下,威胁监测工具箱提供了强大的防护能力,具备丰富的场景适应性。
通过各节点部署网络攻击阻断系统,达到集团内部情报联动处置、统一运维管理的效果,进而减少人工运维成本。