网络安全设备:APT 检测系统

APT监测与防护系统分为发现、追踪、取证、防御四个步骤,实现安全平台的完整体系从部署结构来看,平台采用的是分布式部署,集中管理的设计。

前端可以部署在任意网络位置,包括网络出口或其它重要链路。中心和后台都部署于用户的核心机房,为用户提供私有云的方式,与其它公司采用的公有云相比,私有云更强调安全性,符合等保分保对文档安全管理的要求。后台只与中心相连,专门针对0day或未知恶意代码的。

发现:前端设备会从数据流里提取出各种文件或样本,首先,对于已知的攻击,通过前端提取的样本文件会转到分析中心,中心会将这些样本送到后台检测,已知的病毒或木马,在预检测系统就能被检测出来。

追踪、取证:而APT的价值是在未知木马的发现能力,同样通过前端提取的样本文件会转到分析中心,中心会将这些样本送到后台检测,预检测系统无法检测出未知的恶意样本,样本会传到后台的深度检测系统。深度检测系统先会采用shellcode进行检查,判断是否存在shellcode指令或代码,之后会进行动态检测,通过虚拟机技术,模拟用户真实环境,激发样本行为,进行未知恶意样本检测,并自动形成安全检测报告。

防御:无论已知还是未知恶意样本,后台都能提取出恶意行为的特征,形成特征库或策略库,并通过中心管理分发到前端。前端接收安全策略,对相应规则进行拦截,并形成整体防御体系

无论是在之前的地方,还是其它的子网,都无法通过类似的攻击。这形成了整体的一个防御体系,即一个地方受攻击,会让整个网络都具备免疫能力,达到防御保护的结果。

本文为 Wiki 文章,邀您参与纠错、纰漏和优化
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!