360高級(jí)威脅分析系統(tǒng)360高級(jí)威脅分析系統(tǒng)產(chǎn)品白皮書 版權(quán)聲明?2020-2022360公司保留所有權(quán)利本文檔所有內(nèi)容均為360公司獨(dú)立完成，未經(jīng)360公司作出明確書面許可，不得為任何目的、以任何形式或手段（包括電子、機(jī)械、復(fù)印、錄音或其他形狀）對(duì)本文檔的任何部分進(jìn)行復(fù)制、修改、存儲(chǔ)、引入檢索系統(tǒng)或者傳播。

360高級(jí)威脅分析系統(tǒng)產(chǎn)品白皮書背景隨著互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)空間和物理世界正深度融合，網(wǎng)絡(luò)安全的形勢(shì)也日益嚴(yán)峻。新一代網(wǎng)絡(luò)攻擊技術(shù)使攻擊變得更加隱蔽和快速，攻擊工具不斷升級(jí)，攻擊手法越來(lái)越復(fù)雜，攻防對(duì)抗已從原來(lái)的技術(shù)之爭(zhēng)逐步演變?yōu)槿缃竦乃俣戎疇?zhēng)，誰(shuí)能做到更快，誰(shuí)就能在對(duì)抗中占據(jù)優(yōu)勢(shì)。國(guó)內(nèi)外各安全研究機(jī)構(gòu)、安全廠商對(duì)APT攻擊的持續(xù)跟蹤和分析結(jié)果表明，攻擊者使用的攻擊戰(zhàn)術(shù)、技術(shù)和過(guò)程已經(jīng)越來(lái)越成熟，公開(kāi)的腳本類自動(dòng)化攻擊框架讓網(wǎng)絡(luò)攻擊的門檻進(jìn)一步降低，普通攻擊者利用此類自動(dòng)化攻擊框架也能快速擁有完備的攻擊武器。攻擊者不但針對(duì)個(gè)人PC、服務(wù)器和目標(biāo)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊，而且還延伸到了個(gè)人移動(dòng)設(shè)備和家用路由器等智能設(shè)備，其攻擊目標(biāo)也進(jìn)一步覆蓋了政企、金融、工業(yè)控制、醫(yī)療、交通、能源、教育、酒店等諸多領(lǐng)域。近兩年伴隨著疫情全球化肆虐，虛擬網(wǎng)絡(luò)世界的攻防對(duì)抗也在從更多維度沖擊著國(guó)際秩序，東西方不同意識(shí)形態(tài)之間的網(wǎng)絡(luò)空間戰(zhàn)略競(jìng)爭(zhēng)持續(xù)加劇，地緣政治背景下的國(guó)家級(jí)網(wǎng)絡(luò)沖突愈演愈烈，以竊取軍事和經(jīng)濟(jì)領(lǐng)域重要數(shù)據(jù)和破壞關(guān)鍵基礎(chǔ)設(shè)施為目的的國(guó)家級(jí)APT活動(dòng)更加頻繁和活躍。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。國(guó)家級(jí)、企業(yè)級(jí)網(wǎng)絡(luò)戰(zhàn)無(wú)時(shí)不在、無(wú)處不在，網(wǎng)絡(luò)空間的攻防對(duì)抗必將成為今后很長(zhǎng)一段時(shí)間內(nèi)的新常態(tài)。如何有效檢測(cè)各類新型網(wǎng)絡(luò)威脅，如何及時(shí)發(fā)現(xiàn)APT攻擊并快速進(jìn)行聯(lián)動(dòng)處置，業(yè)已成為政府、企業(yè)和各類組織機(jī)構(gòu)必須面對(duì)的重要挑戰(zhàn)。面臨的挑戰(zhàn)（1）看不見(jiàn)網(wǎng)絡(luò)攻擊方式千變?nèi)f化，攻擊事件不斷爆發(fā)，例如NSA方程式組織網(wǎng)絡(luò)攻擊武器大規(guī)模泄露、‘永恒之藍(lán)’漏洞的全球侵襲等等，網(wǎng)絡(luò)安全早已面臨從趨于定向化和敏捷化的勒索攻擊到各類挖礦攻擊全面鋪開(kāi)、從屢次安全數(shù)據(jù)泄露曝光到幾乎每日曝光的APT攻擊的多重緊急態(tài)勢(shì)。不絕于耳的網(wǎng)絡(luò)安全事件讓我們深切感受到攻擊手段更加武器化，經(jīng)濟(jì)利益驅(qū)使下的黑客的攻擊更加理性化，網(wǎng)絡(luò)攻擊更加產(chǎn)業(yè)化，國(guó)與國(guó)之間的攻防對(duì)抗常態(tài)化，網(wǎng)絡(luò)攻擊面更加擴(kuò)大化。“網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗，對(duì)抗的本質(zhì)是攻防兩端能力的較量”，高級(jí)威脅逐年呈上升趨勢(shì)，APT攻擊、0day漏洞等未知威脅攻擊對(duì)傳統(tǒng)安全防護(hù)手段帶來(lái)極大挑戰(zhàn)，攻防博弈不斷升級(jí)，攻防不平衡的現(xiàn)狀亟待新的防御方案出現(xiàn)。（2）檢不出這些年APT組織在攻擊隱匿性方面越來(lái)越強(qiáng)，釣魚手段更加精細(xì)化，針對(duì)性和迷惑性更強(qiáng)，利用開(kāi)源代碼，改進(jìn)攻擊工具，降低攻擊成本。這些對(duì)于傳統(tǒng)的基于特征和規(guī)則的網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品來(lái)說(shuō)都是嚴(yán)峻挑戰(zhàn)。另外隨著網(wǎng)絡(luò)應(yīng)用逐步向加密傳輸方式演進(jìn)，邊界網(wǎng)關(guān)產(chǎn)品對(duì)于加密隧道采取放通策略，攻擊組織也利用這點(diǎn)，將SSH隧道等傳輸方式作為惡意軟件通信的基本能力，直接通過(guò)邊界網(wǎng)關(guān)產(chǎn)品進(jìn)入內(nèi)網(wǎng)。（3）分析不了當(dāng)前網(wǎng)絡(luò)威脅檢測(cè)技術(shù)主流方案仍以特征檢測(cè)為核心，該技術(shù)強(qiáng)調(diào)通過(guò)報(bào)文頭特征或載荷特征進(jìn)行檢測(cè)。由于每日成千上萬(wàn)條的安全事件數(shù)量巨大，運(yùn)維人員每日處理基線完全無(wú)法全面覆蓋，造成了威脅事件無(wú)法及時(shí)響應(yīng)的局面。此外，多數(shù)的安全事件有可能是“誤報(bào)”導(dǎo)致，這也耗費(fèi)了運(yùn)維人員相當(dāng)多的處理時(shí)間。造成目前網(wǎng)絡(luò)流量檢測(cè)技術(shù)方案誤報(bào)多的現(xiàn)象主要有以下幾個(gè)原因：一是類似于PING這類的“誤報(bào)”，其本質(zhì)并非誤報(bào)。而是缺少上下文關(guān)聯(lián)導(dǎo)致大量的報(bào)警淹沒(méi)了關(guān)鍵攻擊行為。這類“誤報(bào)”必須和其他失陷的確定性報(bào)警結(jié)合起來(lái)作為攻擊前奏來(lái)看，而不能單純看作是確定性攻擊。二是提取的攻擊關(guān)鍵特征與正常協(xié)議沖突，攻擊關(guān)鍵特征是在威脅發(fā)生時(shí)流量里提取到的，這些特征大都靠安全專家的經(jīng)驗(yàn)總結(jié)提煉的，在面對(duì)現(xiàn)網(wǎng)錯(cuò)綜復(fù)雜的業(yè)務(wù)應(yīng)用流時(shí)，可能會(huì)出現(xiàn)攻擊特征與正常的業(yè)務(wù)流特征沖突的情況。三是網(wǎng)絡(luò)流量引擎特征缺乏對(duì)于攻擊確定性的判定依據(jù)。當(dāng)前大多數(shù)安全事件是由網(wǎng)絡(luò)探測(cè)或攻擊嘗試行為而產(chǎn)生，這些安全事件無(wú)法給出確定性的攻擊成功與否判定，對(duì)于用戶而言，一旦無(wú)法確認(rèn)攻擊是否成功，其主觀感受可能是增加誤報(bào)較多的印象。（4）處置不了網(wǎng)絡(luò)安全產(chǎn)品檢測(cè)出安全事件，因?yàn)槿狈﹃P(guān)聯(lián)分析，只能根據(jù)各自產(chǎn)品安全威脅事件的危害程度進(jìn)行處置。而對(duì)于危害程度更高的組合型APT高級(jí)威脅處置，則需要有多年經(jīng)驗(yàn)的安全運(yùn)維人員執(zhí)行事件/告警日志等安全分析-確認(rèn)失陷主機(jī)-追蹤溯源-還原攻擊路徑-切斷攻擊路徑的完整閉環(huán)操作。這一過(guò)程涉及到多個(gè)安全產(chǎn)品、系統(tǒng)共同檢查、分析、處置，難度較大。同時(shí)統(tǒng)一的系統(tǒng)工具來(lái)支撐上述工作流程是必不可少的，這有助于安全運(yùn)維人員固化運(yùn)維經(jīng)驗(yàn)，提高效率。安全需求分析流量元數(shù)據(jù)能夠記錄各類網(wǎng)絡(luò)報(bào)文的關(guān)鍵信息，對(duì)于網(wǎng)絡(luò)性能分析、訪問(wèn)關(guān)系梳理、安全事件關(guān)聯(lián)分析和溯源取證起到不可替代的支撐作用。企業(yè)需要從全流量的角度針對(duì)各種協(xié)議采集其元數(shù)據(jù)信息，并將其存儲(chǔ)在大數(shù)據(jù)系統(tǒng)中，以便在后續(xù)流程中進(jìn)行更深入的關(guān)聯(lián)分析或溯源取證。2) 多引擎威脅檢測(cè)新型威脅往往會(huì)利用0day漏洞，并且黑客在正式投放之前都會(huì)使用多種AV殺毒軟件進(jìn)行防殺效果的驗(yàn)證，在傳遞過(guò)程中會(huì)采用加密流量或隱蔽隧道等方式。這就導(dǎo)致很多傳統(tǒng)的技術(shù)手段都可能對(duì)這些新型威脅束手無(wú)策、視而不見(jiàn)。以沙箱為代表的新型文件檢測(cè)手段能夠從虛擬運(yùn)行的角度根據(jù)樣本的實(shí)際行為來(lái)檢驗(yàn)該文件是否存在威脅，以機(jī)器學(xué)習(xí)為代表的新型流量檢測(cè)手段能夠從一定程度上發(fā)現(xiàn)采取了加密流量和隱蔽隧道的惡意攻擊。因此，企業(yè)想要有效檢測(cè)新型未知威脅，一定要引入沙箱、機(jī)器學(xué)習(xí)等更多種類的檢測(cè)引擎來(lái)做支撐。3) 全網(wǎng)資產(chǎn)自動(dòng)發(fā)現(xiàn)和風(fēng)險(xiǎn)評(píng)估摸清企業(yè)或機(jī)構(gòu)的數(shù)字資產(chǎn)家底是進(jìn)行后續(xù)風(fēng)險(xiǎn)管控和責(zé)任追溯的必要前提，依靠人工進(jìn)行資產(chǎn)管理的方式效率低下且不易跟蹤，對(duì)于大規(guī)模企業(yè)的資產(chǎn)變更和上下線更加不可接受。因此一個(gè)有效的網(wǎng)絡(luò)安全解決方案一定要具備全網(wǎng)資產(chǎn)自動(dòng)發(fā)現(xiàn)能力和和基于其上的資產(chǎn)風(fēng)險(xiǎn)評(píng)估能力。4) 全攻擊鏈溯源分析完整的安全事件分析應(yīng)以檢測(cè)和發(fā)現(xiàn)開(kāi)始，以邏輯嚴(yán)密和證據(jù)充分的分析報(bào)告結(jié)束。全攻擊鏈的溯源分析能力是企業(yè)對(duì)新型網(wǎng)絡(luò)安全解決方案的必然要求，由散列的點(diǎn)到連續(xù)的線，將孤立的安全告警和日志以及流量元數(shù)據(jù)有機(jī)融合，盡可能多地串聯(lián)起黑客的攻擊路徑或主機(jī)的失陷過(guò)程，并能夠?qū)⒉煌氖录蚋婢瘜?duì)應(yīng)到相應(yīng)的攻擊階段。5) 多維度證據(jù)留存攻擊者在攻擊過(guò)程中必然會(huì)留下蛛絲馬跡，即使攻擊者想要刻意地抹去作案痕跡，也只是在主機(jī)上安裝和運(yùn)行完其惡意代碼之后才有可能，在網(wǎng)絡(luò)層面，攻擊者不可能隱去其作案的行蹤，即使是選擇了加密流量或隱蔽隧道，也同樣會(huì)在時(shí)間面前暴露無(wú)遺，所有的行為都會(huì)記錄在時(shí)間的隧道里。安全分析人員需要從多個(gè)維度記錄下追蹤溯源的足夠證據(jù)，從流量角度記錄下的流量元數(shù)據(jù)和從文件及內(nèi)容角度記錄下的可疑樣本，都能夠?yàn)橥{分析研判和攻擊溯源提供確鑿的證據(jù)。6) 自動(dòng)化響應(yīng)與處置無(wú)論是對(duì)海量安全告警的分析還是對(duì)已確認(rèn)安全事件的阻斷處理，依靠人工處理都是不現(xiàn)實(shí)的，必須要有一套自動(dòng)化的響應(yīng)和處置機(jī)制。海量告警日志能夠自動(dòng)化歸并、過(guò)濾和填充，并進(jìn)行自動(dòng)化的關(guān)聯(lián)分析或轉(zhuǎn)發(fā)；確認(rèn)安全事件能夠自動(dòng)聯(lián)動(dòng)各類執(zhí)行設(shè)備進(jìn)行網(wǎng)絡(luò)阻斷或主機(jī)隔離，甚至聯(lián)動(dòng)堡壘機(jī)去目標(biāo)服務(wù)器上進(jìn)行深度取證和分析。產(chǎn)品綜述產(chǎn)品介紹360高級(jí)威脅分析系統(tǒng)（以下簡(jiǎn)稱“AISA”，ArtificialIntelligenceSecurityAnalysis），是以網(wǎng)安法為指導(dǎo)，貼近實(shí)戰(zhàn)而構(gòu)建的一款高效新型網(wǎng)絡(luò)威脅檢測(cè)、分析、狩獵、響應(yīng)、處置的一站式平臺(tái)。產(chǎn)品基于360云端大腦、本地核心大腦、分析中心、多探針的體系架構(gòu)，采用人工智能、動(dòng)靜態(tài)威脅檢測(cè)、網(wǎng)絡(luò)異常行為分析、知識(shí)圖譜、大數(shù)據(jù)關(guān)聯(lián)分析等核心技術(shù)，實(shí)現(xiàn)對(duì)漏洞攻擊、僵尸病毒、蠕蟲、木馬、挖礦、勒索等常見(jiàn)網(wǎng)絡(luò)攻擊以及APT、高級(jí)木馬等高級(jí)網(wǎng)絡(luò)威脅的檢測(cè)分析、資產(chǎn)風(fēng)險(xiǎn)感知、威脅狩獵、聯(lián)動(dòng)響應(yīng)能力，幫助企事業(yè)單位提供高檢出、易運(yùn)營(yíng)、可追溯的網(wǎng)絡(luò)威脅感知解決方案。產(chǎn)品架構(gòu)圖1-1產(chǎn)品架構(gòu)圖設(shè)計(jì)目標(biāo)基于360海量安全大數(shù)據(jù)及豐富的攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，利用人工智能、機(jī)器學(xué)習(xí)等技術(shù)研發(fā)的新一代威脅感知產(chǎn)品，其主要目標(biāo)旨在深度分析本地流量數(shù)據(jù)，能夠精準(zhǔn)發(fā)現(xiàn)攻擊入侵行為、高級(jí)威脅活動(dòng)等。產(chǎn)品采用全新的攻擊模型、專家規(guī)則判定和智能行為分析技術(shù)，聚焦全面資產(chǎn)威脅感知、精準(zhǔn)攻擊檢測(cè)、智能化威脅分析，能夠在事前全面識(shí)別資產(chǎn)風(fēng)險(xiǎn)，事中精準(zhǔn)檢測(cè)分析，事后還原攻擊鏈、溯源分析，并且可自適應(yīng)攻防手段的變化，發(fā)現(xiàn)高級(jí)威脅活動(dòng)，為企事業(yè)單位提供高檢出、易運(yùn)營(yíng)、可追溯的網(wǎng)絡(luò)威脅感知解決方案。產(chǎn)品功能網(wǎng)絡(luò)流量采集與還原AISA流量探針自研高性能全流量采集、協(xié)議解析模塊，最高性能可達(dá)20Gbps。另外，產(chǎn)品可以在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下對(duì)流量大小進(jìn)行監(jiān)控，接入流量超過(guò)物理網(wǎng)絡(luò)帶寬上限時(shí)報(bào)警，支持HTTP、郵件、數(shù)據(jù)庫(kù)等40多種主流常見(jiàn)協(xié)議的深度識(shí)別與解析；同時(shí)支持8種以上主流數(shù)據(jù)包，文件類型高達(dá)80多種，包括文檔類文件、可執(zhí)行文件、壓縮文件等。產(chǎn)品支持原始PCAP留存取證能力，增強(qiáng)產(chǎn)品溯源分析能力。主要功能組成包括：網(wǎng)絡(luò)捕包驅(qū)動(dòng)：基于dpdk的網(wǎng)絡(luò)捕包驅(qū)動(dòng)，用于從物理網(wǎng)卡層獲取原始網(wǎng)絡(luò)流量信息，對(duì)數(shù)據(jù)包、會(huì)話連接、重傳包、網(wǎng)絡(luò)報(bào)文等狀態(tài)進(jìn)行檢測(cè)。流量分發(fā)：接收網(wǎng)絡(luò)報(bào)文通過(guò)流對(duì)稱HASH算法分發(fā)到不同的進(jìn)程進(jìn)行，而后開(kāi)始報(bào)文后續(xù)處理。流量處理：對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行處理，生成告警數(shù)據(jù)、文件還原數(shù)據(jù)、行為數(shù)據(jù)和異常行為數(shù)據(jù)，對(duì)流量中的各類數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)，并通過(guò)圖表形式展示。數(shù)據(jù)轉(zhuǎn)發(fā)：接收流量處理引擎輸出內(nèi)容，將告警/文件及行為數(shù)據(jù)外發(fā)至分析平臺(tái)或本腦。資產(chǎn)威脅感知綜合運(yùn)用獨(dú)創(chuàng)的資產(chǎn)掃描技術(shù)，能夠全面管理網(wǎng)絡(luò)資產(chǎn)邊界，準(zhǔn)確定性資產(chǎn)屬性、快速發(fā)現(xiàn)安全漏洞，精準(zhǔn)定性安全風(fēng)險(xiǎn)，從而助力企業(yè)實(shí)現(xiàn)安全自主掌控。并以黑客視角的資產(chǎn)自動(dòng)發(fā)現(xiàn)，全攻擊面的資產(chǎn)威脅感知，深度評(píng)估面臨的安全風(fēng)險(xiǎn)，保障事前風(fēng)險(xiǎn)可控可管，降低企業(yè)被攻擊的風(fēng)險(xiǎn)。自研多種掃描引擎，支持被動(dòng)掃描目標(biāo)域名收集，利用第三方數(shù)據(jù)平臺(tái)搜索目標(biāo)資產(chǎn)，同時(shí)結(jié)合360自有大數(shù)據(jù)和智能資產(chǎn)分析模塊去擴(kuò)展掃描目標(biāo)范圍，發(fā)現(xiàn)更多潛在與目標(biāo)相關(guān)的主機(jī)資產(chǎn)；采用自研智能爬蟲，能準(zhǔn)確識(shí)別偽靜態(tài)，支持最新ES6標(biāo)準(zhǔn)，掃描覆蓋率相較靜態(tài)和傳統(tǒng)動(dòng)態(tài)爬蟲，提高50%和20%。同時(shí)利用分布式架構(gòu)快速探測(cè)目標(biāo)主機(jī)端口服務(wù)情況，快速發(fā)現(xiàn)Web站點(diǎn)，憑借上千條規(guī)則精準(zhǔn)識(shí)別Web站點(diǎn)應(yīng)。同時(shí)配合被動(dòng)流量資產(chǎn)采集引擎，多維度補(bǔ)充并驗(yàn)證資產(chǎn)信息，確保企業(yè)資產(chǎn)覆蓋全面不遺漏。識(shí)別流量中的個(gè)人敏感信息，包括且不限于身份證、銀行卡、手機(jī)號(hào)、港澳通行證等,并展示傳輸信息的協(xié)議、網(wǎng)站域名URL、客戶端衛(wèi)P、服務(wù)端，便于用戶發(fā)現(xiàn)敏感信息的傳輸安全隱患和處置。主要功能組成包括：資產(chǎn)管理：將用戶內(nèi)部資產(chǎn)信息提取后，通過(guò)手動(dòng)或模板導(dǎo)入的方式統(tǒng)一錄入到系統(tǒng)中，用戶可根據(jù)資產(chǎn)重要性和資產(chǎn)類型對(duì)資產(chǎn)信息進(jìn)行維護(hù)，同時(shí)便于和告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)展示。資產(chǎn)發(fā)現(xiàn)：根據(jù)探針?lè)祷氐娜罩拘袨閿?shù)據(jù)信息，結(jié)合大數(shù)據(jù)實(shí)時(shí)計(jì)算的方式來(lái)識(shí)別和發(fā)現(xiàn)資產(chǎn)，用戶需在系統(tǒng)設(shè)置中配置用戶的內(nèi)網(wǎng)IP/IP段信息。

威脅監(jiān)測(cè)AISA流量探針內(nèi)置的威脅檢測(cè)進(jìn)程可檢測(cè)多種網(wǎng)絡(luò)協(xié)議中的攻擊行為，提供攻擊檢測(cè)、攻擊成功檢測(cè)、威脅情報(bào)檢測(cè)等多種維度的威脅監(jiān)測(cè)，可精準(zhǔn)識(shí)別如SQL注入、跨站、命令執(zhí)行、文件包含等多種web攻擊，也可檢測(cè)木馬、勒索軟件、僵尸網(wǎng)絡(luò)等攻擊行為，擁有威脅情報(bào)實(shí)時(shí)匹配能力，能發(fā)現(xiàn)惡意軟件、APT事件等威脅，產(chǎn)生的多種告警經(jīng)加密后傳輸給AISA分析平臺(tái)進(jìn)行統(tǒng)一分析管理。AISA基于攻擊行為、數(shù)據(jù)分析技術(shù)構(gòu)建的異常行為分析引擎，支持多種場(chǎng)景的攻擊行為分析。從攻擊視角出發(fā)，提取攻擊行為特征，分析異常流量數(shù)據(jù)，訓(xùn)練生成行為分析引擎，發(fā)現(xiàn)異常行為，產(chǎn)生告警。異常行為分析引擎支持暴力破解、特權(quán)賬號(hào)登錄、弱口令登錄、明文密碼泄漏、用戶名枚舉、域滲透、釣魚郵件等異常行為檢測(cè)。AISA支持與360文件威脅分析系統(tǒng)進(jìn)行聯(lián)動(dòng)，對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募颖具M(jìn)行高級(jí)威脅檢測(cè)。AISA會(huì)將流量探針還原的PE或非PE類型的文件樣本提交給沙箱進(jìn)行檢測(cè)，樣本經(jīng)過(guò)沙箱的HASH檢測(cè)、內(nèi)容檢測(cè)、動(dòng)態(tài)檢測(cè)等多種檢測(cè)引擎檢測(cè)后，能及時(shí)發(fā)現(xiàn)有惡意行為的文件并進(jìn)行告警，同時(shí)沙箱將樣本的檢測(cè)結(jié)果以及詳細(xì)的行為分析報(bào)告返回給AISA分析平臺(tái)進(jìn)行統(tǒng)一管理和分析。主要功能組成包括：網(wǎng)絡(luò)攻擊檢測(cè)：基于suricata規(guī)則引擎，通過(guò)內(nèi)置規(guī)則庫(kù)+自定義規(guī)則對(duì)流量進(jìn)行告警檢測(cè)。主要適應(yīng)場(chǎng)景為基礎(chǔ)網(wǎng)絡(luò)攻擊檢測(cè)和異常行為檢測(cè)。AI檢測(cè)：通過(guò)機(jī)器學(xué)習(xí)的方式發(fā)現(xiàn)流量中的威脅并在一定程度上泛化檢測(cè)出未知威脅，目前已支持檢測(cè)的威脅包括：PHP代碼執(zhí)行、掃描器漏洞探測(cè)等30種威脅類型檢測(cè)。威脅情報(bào)檢測(cè)：基于360核心大腦的本地威脅情報(bào)的失陷主機(jī)IoC規(guī)則庫(kù)，對(duì)網(wǎng)絡(luò)中的威脅進(jìn)行檢測(cè)。弱口令及暴力破解檢測(cè)：本功能通過(guò)接收FTP、LDAP、數(shù)據(jù)庫(kù)協(xié)議行為數(shù)據(jù)，產(chǎn)生弱口令告警，暴力破解告警DGA和JA3檢測(cè)：DGA檢測(cè)是通過(guò)機(jī)器學(xué)習(xí)算法來(lái)檢測(cè)網(wǎng)絡(luò)中的隨機(jī)域名訪問(wèn)請(qǐng)求，而JA3檢測(cè)通過(guò)對(duì)SSL/TLS行為數(shù)據(jù)進(jìn)行黑名單匹配，發(fā)現(xiàn)異常的SSL/TLS訪問(wèn)行為。網(wǎng)絡(luò)威脅攻擊確認(rèn)：對(duì)SC檢出的告警進(jìn)行二次攻擊確認(rèn)，幫助快速研判分析。威脅狩獵AISA產(chǎn)品基于對(duì)攻擊鏈模型的深入理解，通過(guò)對(duì)攻擊鏈行為進(jìn)行還原，記錄觀察成功入侵動(dòng)作在攻擊鏈的位置信息，對(duì)該入侵事件的下一步動(dòng)作進(jìn)行預(yù)測(cè)，感知當(dāng)前區(qū)域的成功攻擊情況，真實(shí)刻畫該區(qū)域的安全態(tài)勢(shì)。提供決策參考，以便及時(shí)做出調(diào)整和防御動(dòng)作，早一步扼殺黑客后續(xù)的攻擊行為，避免造成嚴(yán)重的財(cái)產(chǎn)損失和進(jìn)一步的敏感信息泄露。此外AISA利用大數(shù)據(jù)+AI的能力，對(duì)APT攻擊、新型木馬、特種免殺木馬進(jìn)行規(guī)則化描述，以及對(duì)潛在威脅、異常行為等進(jìn)行狩獵分析，發(fā)現(xiàn)高級(jí)威脅活動(dòng)。360公司依托于云端的海量數(shù)據(jù)，基于人工智能自學(xué)習(xí)的自動(dòng)化數(shù)據(jù)處理技術(shù)，實(shí)現(xiàn)攻擊手段、攻擊對(duì)象以及攻擊目的的精細(xì)分析與確認(rèn)。隨后將人工智能與大數(shù)據(jù)知識(shí)以及攻擊者的多個(gè)維度特征結(jié)合，還原攻擊者全貌，持續(xù)發(fā)現(xiàn)未知威脅，最終確保已發(fā)現(xiàn)的未知威脅的準(zhǔn)確性，進(jìn)而及時(shí)精準(zhǔn)告警和響應(yīng)處置。

分析溯源分析溯源功能包含三個(gè)模塊，一是日志檢索分析，用于查詢所有的行為協(xié)議數(shù)據(jù)和原始告警數(shù)據(jù)，用戶可以在當(dāng)前頁(yè)面直觀地查詢相應(yīng)協(xié)議或告警的原始數(shù)據(jù)內(nèi)容并支持添加或排除某些字段搜索項(xiàng)。二是攻擊者分析，用于向用戶呈現(xiàn)某個(gè)攻擊者IP的攻擊圖譜，用戶可以在當(dāng)前頁(yè)面能夠清晰、直觀地查看某個(gè)攻擊者攻擊了哪些IP地址，以及它們之間的攻擊趨勢(shì)、攻擊信息（包括：威脅等級(jí)、攻擊確認(rèn)結(jié)果、受害者資產(chǎn)信息、攻擊首次發(fā)現(xiàn)時(shí)間、攻擊最近發(fā)現(xiàn)時(shí)間、事件分類、檢測(cè)信息、攻擊階段、攻擊方向和攻擊次數(shù)等）和攻擊告警詳情。三是運(yùn)營(yíng)模式切換，滿足不同場(chǎng)景的研判需求。運(yùn)營(yíng)模式可選擇常用條件，如事件類型、風(fēng)險(xiǎn)級(jí)別、攻擊狀態(tài)、規(guī)則ID、回放包ID、報(bào)文、CVE/CNNVD編號(hào)等;專業(yè)模式支持多語(yǔ)法組合查詢，包含但不限于AND、OR、NOTIN、IN、=-、!=，專業(yè)模式包含數(shù)據(jù)竊取、惡意文件投遞、內(nèi)部橫向擴(kuò)散等7種常用查詢模版外，支持通過(guò)歷史篩選條件新增自定義模版，方便后續(xù)查詢使用。運(yùn)營(yíng)處置運(yùn)營(yíng)處置功能方便用戶對(duì)系統(tǒng)信息、威脅信息、系統(tǒng)設(shè)置等各類信息進(jìn)行操作，主要功能包括工單管理、白名單管理、告警通知、聯(lián)動(dòng)管理、旁路阻斷等：工單管理：對(duì)威脅告警安排人跟單進(jìn)行處理，包括系統(tǒng)加固和響應(yīng)處置兩種工單類型，以便于用戶根據(jù)不同的工單類型對(duì)威脅告警進(jìn)行跟蹤處理。白名單管理：為用戶提供合規(guī)或誤報(bào)數(shù)據(jù)過(guò)濾，符合白名單配置的數(shù)據(jù)將不再出現(xiàn)在告警中。告警通知：用于統(tǒng)一告警的通知，當(dāng)統(tǒng)一告警產(chǎn)生新數(shù)據(jù)的時(shí)候，進(jìn)行郵件通知，以便于用戶第一時(shí)間知道新產(chǎn)生的告警，評(píng)估影響面。聯(lián)動(dòng)管理：用于和第三方應(yīng)用進(jìn)行聯(lián)動(dòng)，syslog模塊主要用于外發(fā)告警數(shù)據(jù)，將kafka中的告警數(shù)據(jù)外發(fā)到用戶指定的地址，以方便用戶對(duì)告警數(shù)據(jù)更多的使用。封禁名單：可查看并導(dǎo)出封禁的黑名單及灰名單，查看對(duì)應(yīng)的封禁監(jiān)控日志，對(duì)封禁情況實(shí)時(shí)掌控。統(tǒng)計(jì)報(bào)表：自定義輸出針對(duì)不對(duì)統(tǒng)計(jì)維度的數(shù)據(jù)報(bào)表，可以更直觀對(duì)告警數(shù)據(jù)進(jìn)行定期復(fù)盤及統(tǒng)計(jì)。產(chǎn)品優(yōu)勢(shì)超高性能的海量數(shù)據(jù)處理能力，滿足大型企業(yè)需求AISA擁有高性能的處理能力，單機(jī)具備最高處理20G網(wǎng)絡(luò)流量的能力，此外支持分布式部署和集中管理，輕松滿足大流量場(chǎng)景下的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)需求，有效降低安全運(yùn)營(yíng)成本。同時(shí)部署可以滿足大型互聯(lián)網(wǎng)企業(yè)100+IDC（InternetDataCenter，互聯(lián)網(wǎng)數(shù)據(jù)中心）規(guī)模的實(shí)時(shí)威脅感知需求。全面的威脅檢測(cè)能力，高效發(fā)現(xiàn)威脅攻擊以ATT&CK框架為基礎(chǔ)，結(jié)合360云端海量大數(shù)據(jù)能力，集成精準(zhǔn)規(guī)則檢測(cè)、智能AI檢測(cè)、動(dòng)靜態(tài)文件檢測(cè)、海量威脅情報(bào)檢測(cè)、多場(chǎng)景分析等多個(gè)引擎，能力覆蓋面更全，檢測(cè)效果更精準(zhǔn)。通過(guò)全流量分析、多維度的有效數(shù)據(jù)采集和智能分析能力，實(shí)時(shí)監(jiān)控全網(wǎng)的安全態(tài)勢(shì)、內(nèi)部橫向連接、資產(chǎn)安全態(tài)勢(shì)和服務(wù)器風(fēng)險(xiǎn)漏洞等，讓管理員可以看清全網(wǎng)威脅，從而輔助決策。創(chuàng)新的攻擊確認(rèn)技術(shù)，顯著增加產(chǎn)品效能AISA創(chuàng)新地研發(fā)會(huì)話級(jí)攻擊確認(rèn)技術(shù)，基于自定義語(yǔ)法的一對(duì)一式雙向回話攻擊確認(rèn)模型，支持10000+規(guī)則攻擊結(jié)果的判定覆蓋，快速高效地發(fā)現(xiàn)網(wǎng)絡(luò)威脅，并進(jìn)行實(shí)錘判定，大幅度提升網(wǎng)絡(luò)攻擊的檢出率，降低誤報(bào)率。多引擎沙箱檢測(cè)技術(shù)，提升未知漏洞檢測(cè)能力AISA采用多引擎沙箱檢測(cè)技術(shù)對(duì)未知的惡意代碼進(jìn)行檢測(cè)，包括HASH檢測(cè)、內(nèi)容檢測(cè)、CVE檢測(cè)、動(dòng)態(tài)沙箱檢測(cè)、YARA規(guī)則檢測(cè)、機(jī)器學(xué)習(xí)檢測(cè)、機(jī)器學(xué)習(xí)威脅判定等7大檢測(cè)引擎，既可以快速發(fā)現(xiàn)漏洞利用、病毒、木馬、蠕蟲、黑客攻擊等已知威脅，也可以識(shí)別未知木馬、未知網(wǎng)頁(yè)掛馬、0-day漏洞和NDay變種漏洞等高級(jí)威脅攻擊。360全網(wǎng)數(shù)字安全大腦賦能，提升分析處置能力360全網(wǎng)數(shù)字安全大腦安全能力賦能，基于360海量數(shù)據(jù)提供威脅情報(bào)、漏洞、沙箱等多種高級(jí)安全能力，并接入云端高級(jí)專家的運(yùn)營(yíng)服務(wù)，實(shí)現(xiàn)對(duì)高級(jí)威脅的發(fā)現(xiàn)、分析和處置響應(yīng)。客戶價(jià)值全流量分析和溯源基于全流量數(shù)據(jù)和知識(shí)圖譜的攻擊確認(rèn)和溯源分析能力滿足客戶的實(shí)際需求，支持攻擊原始報(bào)文留存功能，廣泛用于溯源取證工作。同時(shí)支持HTTP、FTP、數(shù)據(jù)庫(kù)、郵件等40+協(xié)議的深度解析及檢測(cè)，支持8+種文件協(xié)議及80+文件類型還原，實(shí)時(shí)發(fā)現(xiàn)攻擊威脅。高級(jí)威脅檢測(cè)發(fā)現(xiàn)與確認(rèn)產(chǎn)品包含7大檢測(cè)引擎層層過(guò)篩數(shù)據(jù)信息，動(dòng)靜結(jié)合檢測(cè)已知、未知威脅，同時(shí)預(yù)置10個(gè)機(jī)器學(xué)習(xí)算法模型，幫助客戶預(yù)測(cè)文件的惡意程度和惡意文件所屬分類。另外150+種類的反虛擬機(jī)逃逸對(duì)抗技術(shù)可有效識(shí)別高級(jí)惡意軟件的逃逸行為。全面檢測(cè)和快速響應(yīng)產(chǎn)品利用威脅情報(bào)、行為分析、機(jī)器學(xué)習(xí)、隱蔽信道等新一代檢測(cè)技術(shù)滿足等保要求，支持在HW、重保等關(guān)鍵活動(dòng)中，幫助用戶發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和木馬病毒。產(chǎn)品也增強(qiáng)了重保期間的安全監(jiān)測(cè)能力，提升三級(jí)/四級(jí)系統(tǒng)的合規(guī)分?jǐn)?shù)，同步實(shí)現(xiàn)合規(guī)性和安全性，一筆投入兩筆收益。全方位的安全運(yùn)營(yíng)產(chǎn)品基于流量的被動(dòng)資產(chǎn)識(shí)別技術(shù)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在資產(chǎn)，實(shí)現(xiàn)內(nèi)網(wǎng)資產(chǎn)信息的可視可查可分析。另外，支持精準(zhǔn)檢測(cè)網(wǎng)絡(luò)攻擊和文件威脅，實(shí)時(shí)統(tǒng)計(jì)告警數(shù)據(jù)，動(dòng)態(tài)刻畫安全趨勢(shì)，及時(shí)通報(bào)高危事件和安全風(fēng)險(xiǎn)。典型部署常規(guī)部署路由器路由器重要業(yè)務(wù)區(qū)DMZ區(qū)安全管理中心辦公區(qū)業(yè)務(wù)區(qū)測(cè)試區(qū)接入交換機(jī)接入交換機(jī)接入交換機(jī)防火墻核心交換機(jī)接入交換機(jī)流量探針流量探針流量探針流量探針流量探針沙箱分析平臺(tái)AISA支持旁路部署，可部署在核心交換機(jī)旁邊或分區(qū)邊界交換機(jī)附近，通過(guò)核心交換機(jī)流量鏡像、光纖分光或?qū)Ｓ梅至髟O(shè)備復(fù)制流量的方式，將數(shù)據(jù)流量鏡像至AISA流量探針，進(jìn)行數(shù)據(jù)流的檢測(cè)、分析與響應(yīng)。設(shè)備支持多口監(jiān)聽(tīng)，能夠支持互聯(lián)網(wǎng)區(qū)、DMZ區(qū)、辦公區(qū)、服務(wù)器區(qū)等多區(qū)域的綜合監(jiān)測(cè)。AISA支持單節(jié)點(diǎn)部署和多節(jié)點(diǎn)分布式部署，企業(yè)可根據(jù)自身規(guī)模和業(yè)務(wù)需要，靈活選擇不同部署方式：探針單節(jié)點(diǎn)部署：適用于小型客戶，僅部署一臺(tái)AISA探針三件套單節(jié)點(diǎn)部署：適用于中型客戶，多節(jié)點(diǎn)分布式部署：適用于大型客戶，包含多臺(tái)AISA探針、多臺(tái)沙箱和1套分析平臺(tái)。監(jiān)管單位部署監(jiān)管單位部署外網(wǎng)部署分析平臺(tái)、探針集群和沙箱集群，探針通過(guò)DPI和分流器接入骨干網(wǎng)流量，進(jìn)行流量威脅檢測(cè)；分析平臺(tái)通過(guò)單向光閘將結(jié)果上送至內(nèi)網(wǎng)大數(shù)據(jù)分析平臺(tái)。成功案例在信息化社會(huì)中，計(jì)算機(jī)和網(wǎng)絡(luò)在軍事、政治、金融、商業(yè)、人們的生活和工作等方面的應(yīng)用越來(lái)越廣泛，社會(huì)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的依賴越來(lái)越大。如果網(wǎng)絡(luò)安全得不到保障，這將給生產(chǎn)、經(jīng)營(yíng)、個(gè)人資產(chǎn)、個(gè)人隱私等方面帶來(lái)嚴(yán)重?fù)p害，甚至?xí)菇鹑诎踩?guó)防安全以及國(guó)家安全面臨非常嚴(yán)重的危險(xiǎn)。建設(shè)銀行精準(zhǔn)威脅監(jiān)