根据APT的攻击技术特点,应利用多种检测手段,基于大数据分析技术,对某些流量的行为进行持续性分析,才能够提升定位的精准度。
寸草心网盾采用异常流量监测、信誉检测、基于沙箱的代码检测、全包捕获与分析、综合分析等多种检测技术从网络流量、网络取证、Payload分析、终端行为分析、终端取证五个层面进行安全检测,构建起多层次的检测体系,发现已知威胁的通过动态、静态数据分析,采用Zui新大数据、机器学习和数据深度挖掘技术,发现并抵御APT攻击。具体实现过程是通过四个数据处理阶段:数据汇入:实现对多源数据的收集,流量类、文件类、业务类,通过全面的安全检测,从海量数据中提取关键信息;数据存储:数据清洗过滤、脱敏转换、归一聚合、ETL处理,实现对结构化、半结构化、非结构化数据存储;数据分析:通过多维度实时、批量可视化快速建模数据分析,并关联单点异常行为,掌控安全态势和挖掘潜在威胁,从而还原出APT攻击链;数据展示:利用可视化技术,将安全分析的结果动态的呈现出来,实现针对APT快速检测与预警,从而准确识别和防御APT攻击,避免核心信息资产损失。
结合大数据分析技术的APT防护,还可与威胁情报结合,将通过大数据分析检测到的未知威胁,形成更新威胁情报并发现影响范围,通过威胁情报共享,与下一代安全网关联动,将潜在的威胁扼杀在初期。通过外部威胁数据的采集和情报提纯处理,可为用户收集有关的威胁情报,为态势感知平台提供威胁情报数据,搭建威胁情报系统,动态更新数据,协助加固整体网络安全防护体系,提高用户综合安全防护能力。
