天阗威胁检测与智能分析系统

可视化IDS让安全变得简单天阗威胁检测与智能分析系统TDS网络安全面临挑战

网络用户迅速增长互联网用户每年增长率在20%左右，大量的用户暴露在威胁下。

系统漏洞层出不穷广泛应用的软件系统出现几千种漏洞，自己开发的系统漏洞更是防不胜防。攻击工具自动生成只需要点击鼠标，就能自动生成独一无二攻击工具。管理员面临巨大的压力来处理大量、复杂的安全事件！网络事件数量巨大相同情况下，PC越多，事件数量越多。事件数PC数同一个网络中，多一种应用会导致事件多一倍。事件数应用网络规模越大，PC数和应用都会增加，导致事件成指数增长。一个500台PC的网络每周大约产生500万条事件！事件数网络规模X当事件数量激增时，网络管理员已经无法有足够的时间和资源来处理！管理员工作量分析管理员的绝大部分工作量都在分析识别非重点关注事件。确认需关注事件排除垃圾事件找出重点事件事件分析分析事件排除误报事件处理修复加固系统调整安全策略统计汇报量化数据辅助宏观决策工作量约占30%须关注事件量减低到百条以内工作量约占30%确认事件量在几十条工作量约占20%记录事件处理过程工作量约占20%形成报告安全必须与环境结合环境事件哪些事件值得关注？这些事件如何确认？措施有效吗？只有在实际网络环境结合分析安全事件才有意义。智能分析让威胁可视化针对不同类型事件，采用特征匹配、专有算子、异常算法，实现精确检测。威胁可视化使得管理员提供宏观信息，并能迅速直观发现重点关注事件，还能能提供辅助分析处理手段。智能分析结合事件特性、发生频率、攻击手法等信息评估事件是否为重点威胁重点威胁事件柔性检测为基础，智能分析为核心，实现威胁可视化扩充能力变形识别精确度新攻击抗躲避溢出攻击P2P端口访问智能分析模块待观察事件威胁检测与智能分析突出用户价值多维关联分析辅助处理自动执行智能分析威胁检测与智能分析减少用户工作量，突出重点事件。智能分析呈现重点事件智能分析引擎智能分析算法发生频率流行程度威胁能力用户关注度资产属性海量事件重点事件001011010100100010001攻击者分析攻击过程分析被攻击者分析从多个维度对事件进行分析，突出重点事件。智能分析-时间维度分析事件频发事件对于蠕虫类等海量链接事件，通过历史趋势来判断威胁程度突发事件对于新出现的威胁事件，往往意味着威胁形式发生了变化根据发生频率判断是否出现新的威胁，或者已知威胁在变化。初级黑客爱好者有经验的黑客爱好者高级黑客爱好者职业黑客攻击机器人采用免费工具，不具备专业入侵知识，学习工具有效性，无攻击目标，一般不会造成破坏。采用专业工具，具备一定的专业入侵知识，攻击目的以学习入侵知识为主，有一定的破坏力。采用个性化工具或者手工攻击，深入了解入侵知识，并具备工具开发能力，有针对性攻击，破坏力比较强。自创攻击手法以及攻击工具，具备发现新型攻击途径以及独创入侵工具能力，通常是有利益驱使下的有针对性攻击，破坏力很强大量攻击行为并发产生，主要是蠕虫、僵尸网络、木马等能自动发起攻击并能自动传播的攻击，破坏力很强，影响范围广。智能分析-威胁能力维度分析事件根据攻击手法判断攻击者水平，进一步判断事件性质。智能分析-攻击流行维度分析事件知识传播程度工具传播程度工具自动化程度漏洞发现时间攻击复杂度操作系统分布比例流行事件非流行事件流行事件非流行事件较强威胁较弱威胁根据攻击流行程度来判断事件威胁的强弱。事件智能分析呈现重点事件一个月发生事件页数：19966

条数：3993220当日重点事件页数：1

条数：9VS仅突出需要关注的重点事件，使需处理事件降低4个数量级！辅助处理让事件更易处理事件解释-哪里出了问题，出了什么问题，紧急程度事件处理向导-如何科学地处理主体客体时间威胁来源、等级、流行程度状态紧急程度、长/短期监测环境网络设备、应用系统、终端关键/非关键资产对威胁的全面解释供运维人员分析根据IDS提供的方法，确认威胁是否真实存在参照操作步骤，对威胁进行处理处理过程和措施进行记录，同样事件批次处理1234分析确认处理记录辅助处理模块提供与业务相关的信息，将处理步骤结构化！辅助处理-提供事件全方位信息事件处理状态事件发生定位事件影响范围事件后果分析事件长/短期状态监测辅助分析让使用者更容易判断事件的性质！辅助处理-固化处理流程分析1确认2A.确认存在安全威胁B.根据确认结果对事件进行分类处理3具体步骤详细口令使用工具对事件处理方法的记录，批处理同类事件记录4事件处理流程化并可积累处理经验！智能执行降低用户工作量重点威胁事件库待观察事件库A事件B事件C事件系统分析事件流行程度影响范围监控态势。。。分析结论A=误报事件B=待分析事件C=威胁事件抑制显示，降低无效事件处理方法历史记录自动批处理同类事件沉淀使用者处理经验，无须重复劳动！智能执行-自动处理同类事件偶尔发生的非攻击事件不存在安全威胁抑制显示短时间大量发生的事件确定存在安全威胁处理事件提高事件级别自动处理同类事件调整显示方式自动处理同类事件根据事件动态自动处理事件！多维关联分析提供可决策的报告从三维空间到多维空间每增加一个维度，对世界的认知就进一步扩展事件分类威胁事件、流量事件时间指定时间段使用者技术人员、技术管理者，行政管理者传统IDSIDS报告=（事件分类，时间，使用者、威胁程度，网络空间，业务系统）天阗TDS网络空间区域，整网安全威胁程度威胁，初级黑客，具备一定水平的黑客，高水平黑客业务系统浏览器、Web服务器、邮件服务器IDS报告=（事件分类，时间）仅两个维度突破事件分类统计局限，从多个维度进行分析！多维关联分析提供可决策的报告天阗TDS分析模型技术人员：事件列举、排序、统计、对比处理结果的统计和对比内部外部地址信息技术管理人员：区域关联事件显示，相关威胁统计信息关键事件排序和处理结果查看和度量行政管理人员：结合网络状况（节点、业务、资产）的整（区域、关键资产）威胁状况，历史同期情况对比。事件影响的整体统计以及处理结果统计最合适的分析模型为每类用户提供关心的数据！技术人员：哪个地址出事了？技术管理人员：是不是在关键业务处出事了？行政管理人员：是全网出事了还是某个区域出事了？哪里出事了？技术人员：XX病毒、XX木马发生了技术管理人员：业务系统面临的是攻击行为还是可疑行为？行政管理人员：各区域都面临哪些类威胁？出了什么事？技术人员：事件是否闭环技术管理人员：业务是否正常行政管理人员：整网状况，与同期相比状况等处理结果如何？技术人员：如何操作？技术管理人员：处理顺序如何？行政管理人员：不关注该如何处理？技术人员：窃取口令，堵塞网络技术管理人员：会不会影响业务的开展？行政管理人员：整个网络会因此受到影响么？还是区域受影响？有什么影响？

事件处理流程多维关联分析提供可决策的报告以用户为中心的数据分析报告！

哪些地址出事件了？

哪些地址在尝试攻击？

哪些系统被影响了？

哪些设备被影响了？可获得的信息：受影响的业务系统是哪些，哪些区域有问题的比例大？多维关联分析-哪里出问题了具体都是什么情况？

哪些才是问题？

需关注的事件是那些增幅大、级别高的事件蠕虫或突发事件，会给网络带