安博通等保2.0系列解读:用流量可视化将被动防御转向全方位保护 – 作者:abtnetworks2018

2019513日,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布。

对比等保1.0,等保2.0有如下特点:

· 对象范围扩大:云计算、移动互联网、物联网、工业控制系统等技术列入新标准中;

· 分类结构统一:新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构;

· 强化可信计算:新标准强化了可信计算技术使用的要求,把可信验证列入各个级别,并逐级提出各个环节的主要可信验证要求。 

等保标准的变化反映了网络安全市场的新需求,需要新的产品来满足。从下表中可以看出等保2.0新标准会提升流量回溯分析产品的应用比重

从等保2.0标准中安博通关注到,从等保二级开始要求对用户行为、安全事件进行审计和网络攻击检测防护,包括:

1.jpg2.jpg

检测要求及标准随等级提高逐步增多、变严。针对2.0要求,安博通流量威胁可视产品提供如下解决方案:

3.jpg4.jpg

安博通流量威胁可视产品(简称:流量可视化产品)是一款高性能的流量采集、存储和智能分析平台,支持分布式部署在网络关键节点,对网络数据包进行完整流量存储和高性能实时智能分析(DPI+DFI+AI),同时融合了入侵检测、人工智能等多种网络安全分析技术,可检测网络中的异常流量与安全威胁等,同时提供历史网络数据包的检索和追溯。

基于已知特征签名方式的安全威胁检测

流量可视化产品内置2000种入侵检测规则,并保持每月一次的更新频率。支持自定义安全检测规则,支持对网络层攻击行为进行检测,包括端口扫描、异常包攻击、flood流量检测、服务器漏洞检测等。

基于人工智能的未知威胁分析

流量可视化产品收集网络流量后进行初步检测和识别,将识别后数据上传到人工智能引擎模块进行深度挖掘分析。

人工智能引擎通过机器学习和深度学习,自动分析出反例样本的特征,提供基于 DGA 域名、C&C流量僵尸主机、恶意文件、恶意 URL 的分析和定位;同时与安博通威胁情报平台提供的域名、IP、文件MD5、URL四个因素进行碰撞比对,验证分析结果的准确性。这一检测手段非常适用于新型或变种的病毒、木马、恶意代码等未知威胁攻击的检测。

通过基于已知特征签名和人工智能引擎两种分析手段全面检测网络流量中的攻击行为,不仅满足等保2.0中入侵攻击的检测要求,而且依赖创新安全技术检测网络攻击威胁,能够辅助用户尽早发现攻击威胁,及时止损。

基于DPI引擎的应用协议审计

流量可视化产品采用 DPI深度包检测技术进行应用层协议解析,可准确高效识别5000+预定义应用,500种自定义应用。对网络中常见的web访问、邮件、IM聊天、文件传输、OA、数据库等互联网行为和内网行为进行全方位的识别和审计,并对用户的网络行为进行画像,以便有针对性的监控重点用户的网络行为。

网络行为的审计日志可以本地保存超过180天,并且可以加密发送给日志收集平台进行长期存储备份,方便网络维护人员追溯取证。

流量存储与追溯

高级网络攻击往往可以绕过传统的安全防护设备,并在攻击成功后擦除攻击痕迹,使得安全事件难以取证。但是任何网络攻击都会产生流量,通过流量可视化产品的元数据存储技术可以长时间完整流量存储;支持指定时间段内秒级颗粒度的流量追溯。从L2-L7层关联分析存储报文,并结合人工智能引擎分析未知的攻击行为。

等保2.0标准将传统被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,更注重全方位的主动防御、安全可信、动态感知和全面审计。安博通将以自身多年积累的网络安全技术,为国家网络安全行业发展持续贡献力量。

来源:freebuf.com 2019-06-13 10:05:42 by: abtnetworks2018

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论