下一代网络威胁智能检测系统介绍

下一代网络威胁智能检测分析系统（以下略称：OmniX）是我公司自主研发，具有完全自主知识产权的一款对网络威胁进行有效检测与发现的新一代威胁检测产品。它基于多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备，系统能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源。

产品采取旁路部署，全流量监控、整合静态检测、动态分析等多项独创专利技术，实现对网络中流量深度分析，对未知威胁的早期快速发现与高精度检测；对受害目标和攻击源头进行精准定位，威胁入侵途径回溯，帮助企业防患于未察。

1.1 产品架构

OmniX采用B/S、分布式部署管理架构，通过日志/网络流量采集、威胁检测、系统管理、存储通信的模块化设计，整合威胁情报分析、安全分析工具以及通过自动化集成响应安全事件，实现了一套易于使用、扩展性强的产品架构。

产品架构如下图所示：

Ø 分布式传感器（Beat Sensor）

分布式传感器是OmniX系统的数据采集模块，承担日志及网络流量的采集和威胁检测过程。传感器可以灵活分布部署，各自独立采集及威胁分析，并将结果传回OmniX管理平台。传感器的分析支持几十种应用协议，严格标准的硬件设计标准可以轻松部署到IT/OT/IoT生产环境。

Ø 威胁情报数据库（IOC）

威胁情报数据库是OmniX系统的核心模块，承担对恶意病毒、攻击行为、漏洞利用等多样攻击的检测过程。1998年成立以来，在全球超过70多个国家的威胁情报收集传感器部署、实时监控黑客的活动、追踪病毒及传染路径、监控分析暗网活动等形成了威胁数据采集分析生态系统。通过威胁情报生态系统，实现了分钟级数据更新，并可以实现对垃圾邮件、恶意代码，木马蠕虫、钓鱼攻击、比特币挖矿、勒索病毒、未知恶意代码、已知漏洞利用（Nday）、未知漏洞利用（0day）等攻击行为的检测与回溯。

Ø 威胁资产管理（Threat Asset Management）

威胁资产管理（Threat Asset Management, 简称TAM）是OmniX系统的资产管理模块，承担识别来自内部网络的IP地址，并为使用者提供编辑，配置资产信息的界面。通过资产管理，可以快速锁定受到攻击威胁的主机信息、用户信息及设备信息。

Ø 数据库&Web Server

数据库和Web Server是OmniX内部的关键应用服务，提供存储、管理与通信数据的基础服务。其中，Web Server是OmniX与外部系统接口、提供外部管理的核心支撑服务，数据库是为OmniX提供存储与查询能力的核心服务。这两个应用服务是关键基础设施。

Ø 恶意软件分析沙箱

OmniX系统可以高度无缝与第三方恶意软件分析沙箱结合。通过充分整合，可以将可疑文件或者URL在隔离的环境中运行分析，可以获得可疑软件的详细行为信息，例如进程创建、调用函数、下载的文件以及请求的网络流量等等，进而对恶意软件进行深度判定。

1.2 主要功能  

• 漏洞利用攻击检测，其中包含对未知漏洞利用（0day）的检测

• 与威胁情报数据联动，能够有效进行恶意流量的检测，其中包括对未注册的可疑恶意域名及未知恶意代码的检测

• 结合恶意软件分析沙箱，深度判定威胁详细信息

1.2.1 威胁检测能力

þ 僵尸网络

þ 勒索病毒

þ 钓鱼邮件

þ 垃圾广告

þ 比特币挖矿

þ 信息泄露

þ 信用卡盗窃

þ 系统漏洞

þ 网站应用攻击

þ 权限获取

þ 密码破解

þ 网络犯罪

þ 木马蠕虫

þ 恶意域名

þ 恶意代码

þ IP黑名单

þ 0Day攻击

þ DGA（域名生成算法）

1.2.2 威胁管理能力

þ 威胁报警

OmniX在检测到攻击之后，将在监控页面上产生实时报警，为了便于监控人员对报警进行快速分析，OmniX报警界面提供了丰富、详细的报警内容，包括：攻击是从哪里来的（攻击的源IP）、哪里受到了攻击（攻击的目的IP）、攻击是什么时候发生的（攻击时间）、攻击类别、危险程度等攻击详细信息。

þ 威胁分析

报表、日志、恶意网络流量提取、专业分析服务。

þ 威胁响应

内置SIEM联动

2 产品特点

l  网络威胁的精确检测

系统使用互联网数据检测网络中的威胁，利用多种先进检测技术（如：威胁情报、行为分析等）对流量进行深入分析，具有出色的精确检测效果。

l  易于部署，易于使用

系统采用支持流量镜像和日志导入等多种部署方式。无需进行复杂的配置，即插即用，快速的发现问题。

分析结果简单直观，同时提供问题的建议解决方案，不但快速发现问题，而且快速解决问题。

l  模块化设计，易于扩展

系统采用模块化设计，可以根据客户的情况选择不同的功能模块，如不同威胁情报

库的选择，威胁检测工具的选择等。

l  数据回溯性分析

检测系统不但可以实时监控分析网络流量，同时可以存储原始数据，对网络问题进行事后分析，以及威胁事件的溯源等。

l  便携式设计

检测系统有便携式和机架式设计。便携式产品易于在网内不同节点移动，解决内网检测的问题。

3 部署方案

OmniX系统采用旁路部署的方式，接入到所监控网络的交换机镜像端口处，由于采用旁路接入的方式，不会改变现有网络结构，也不会对现有网络的运行产生任何影响，其典型部署方式如下：

3.1 实施步骤说明

1）客户提供内1个内网IP，用于内网网管pc 远程登录设备，进行ping 测试，确保网管PC 到网络威胁检测设备可达。

2) 将核心交换内网到互联网出口流量及客户内网DNS 流量做镜像到网络威胁检测设备。

3）如果检测系统可连接互联网则采取自动升级功能从互联网上获取威胁情报，如果检测系统不能连接互联网则采取离线方式获取威胁情报升级包