久亚洲精品无码观看不卡,日韩无码防屏蔽在线,狠狠人妻久久久久久综合

當(dāng)前位置：思瀚首頁(yè) >> 行業(yè)新聞 >> 產(chǎn)業(yè)資訊

廣州市天河區(qū)-新一代APT威脅檢測(cè)與防御系統(tǒng)項(xiàng)目建議書(shū)
思瀚產(chǎn)業(yè)研究院藍(lán)盾信息 2023-02-23

1、項(xiàng)目概況

藍(lán)盾新一代 APT 威脅檢測(cè)與防御系統(tǒng)將在已有產(chǎn)品藍(lán)盾 APT 系統(tǒng)的基礎(chǔ)上進(jìn)行技術(shù)升級(jí)，對(duì)藍(lán)盾 NxSOC 安全運(yùn)維管理系統(tǒng)、ITIL 工單流程處置系統(tǒng)、態(tài)勢(shì)感知以及應(yīng)急服務(wù)隊(duì)伍的豐富經(jīng)驗(yàn)進(jìn)行功能整合與擴(kuò)展，建設(shè)一套以攻防自動(dòng)化安全防御為核心的新一代 APT 威脅檢測(cè)與防御系統(tǒng)平臺(tái)。將數(shù)據(jù)、操作、技術(shù)、流程、規(guī)范、自動(dòng)化作為關(guān)鍵因素，采用流量還原、AI 人工智能、動(dòng)態(tài)沙箱、情報(bào)關(guān)聯(lián)等重點(diǎn)技術(shù)，實(shí)現(xiàn)安全、風(fēng)險(xiǎn)、數(shù)據(jù)、工單、處置與環(huán)境協(xié)同的信息安全解決方案。最終目標(biāo)是建立 AI 技術(shù)和大數(shù)據(jù)安全情報(bào)體系關(guān)聯(lián)，針對(duì) APT攻防自動(dòng)化安全防御。

新一代 APT 威脅檢測(cè)與防御系統(tǒng)，基于大數(shù)據(jù) AI 智能：惡意代碼及惡意流量映射為圖片基因圖譜分析，文件基因分析等；同時(shí)也結(jié)合靜態(tài)特征匹配、威脅情報(bào)關(guān)聯(lián)及動(dòng)態(tài)行為檢測(cè)，能很好地彌補(bǔ)傳統(tǒng)被動(dòng)的防御體系檢測(cè)缺陷，能更精確、更迅速地檢測(cè) APT 攻擊。

2、項(xiàng)目投資計(jì)劃

本項(xiàng)目估算新增總投資18,843.00萬(wàn)元，其中新增設(shè)備購(gòu)置費(fèi)4,227.39萬(wàn)元、新增軟件購(gòu)置費(fèi) 2,572.61 萬(wàn)元、開(kāi)發(fā)技術(shù)人員人工費(fèi) 5,386.00 萬(wàn)元，鋪底流動(dòng)資金 3,830.00 萬(wàn)元%。本項(xiàng)目擬使用募集資金 9,550.00 萬(wàn)元。

3、項(xiàng)目實(shí)施的背景

隨著 IT 技術(shù)的迅速發(fā)展和信息化建設(shè)的不斷深入，各企事業(yè)單位的 IT 環(huán)境變得日趨復(fù)雜，各種 IT 基礎(chǔ)設(shè)施的數(shù)量和類(lèi)型在不斷增多，各企業(yè)單位常用的業(yè)務(wù)系統(tǒng)由于作業(yè)需要也在不斷擴(kuò)充，同時(shí)更多的安全風(fēng)險(xiǎn)也進(jìn)一步顯露出來(lái)，安全威脅發(fā)生了很大變化，尤其是高級(jí)持續(xù)性威脅（APT）有愈演愈烈之勢(shì)。

為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防火墻、UTM、入侵檢測(cè)和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng)等等，構(gòu)建了多道安全防線(xiàn)，獨(dú)立地解決了來(lái)自某個(gè)方面的安全威脅，然而縱觀近年來(lái)的網(wǎng)絡(luò)攻擊手段，APT 攻擊已經(jīng)成為最具威脅的攻擊方法之一。

在 APT 攻擊中，由于黑客可能?chē)L試多種方式進(jìn)行攻擊，所以無(wú)法使用一種方法就能有效的檢測(cè)出 APT 攻擊。因此彼此孤立的多道安全防線(xiàn)在 APT 攻擊面前顯得無(wú)能為力，需要利用多種檢測(cè)手段，對(duì)監(jiān)測(cè)到的海量日志數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián)挖掘分析，才能更有效的發(fā)現(xiàn) APT 攻擊行為。

面對(duì)新型 APT 攻擊，通過(guò)全面采集網(wǎng)絡(luò)中包括原始網(wǎng)絡(luò)數(shù)據(jù)包、業(yè)務(wù)和安全日志等各種數(shù)據(jù)形成大數(shù)據(jù)庫(kù)，再通過(guò)大數(shù)據(jù)分析技術(shù)和智能分析算法來(lái)檢測(cè)APT 攻擊是最可靠的辦法，所以，通過(guò)大數(shù)據(jù)分析、AI 等技術(shù)對(duì)安全產(chǎn)品進(jìn)行全局化智能化升級(jí)成為信息安全行業(yè)的重要發(fā)展方向。

4、項(xiàng)目實(shí)施的必要性

（1）彌補(bǔ)傳統(tǒng) APT 設(shè)備檢測(cè)能力問(wèn)題

傳統(tǒng)的惡意代碼檢測(cè)識(shí)別技術(shù)主要包括兩類(lèi)：一類(lèi)是以惡意代碼二進(jìn)制特征作為判識(shí)依據(jù)的靜態(tài)技術(shù)，這類(lèi)技術(shù)只能識(shí)別特征庫(kù)中已有特征的惡意代碼，隨著惡意代碼的種類(lèi)激增，特征庫(kù)將越發(fā)巨大，查殺效能也會(huì)急劇下降，即以體征為視角無(wú)法得知惡意代碼的行為，識(shí)別范圍受到認(rèn)知的體征種類(lèi)限制；另一類(lèi)是以惡意代碼行為特征作為判識(shí)依據(jù)的動(dòng)態(tài)技術(shù)，這類(lèi)技術(shù)能夠識(shí)別具有已知惡意行為的代碼，但由于需要虛擬環(huán)境執(zhí)行惡意代碼，因此只能運(yùn)行在用戶(hù)終端，難以在高速鏈路的防護(hù)中使用，即以行為為視角無(wú)法與惡意代碼的體征關(guān)聯(lián)，難以以較高的速度來(lái)識(shí)別惡意代碼。

因此，無(wú)論采用“動(dòng)”還是“靜”的惡意代碼識(shí)別技術(shù)，都需要對(duì)惡意代碼進(jìn)行分析，然后將其二進(jìn)制特征或行為特征，采用“亡羊補(bǔ)牢”的方式添加到查殺或防御工具之中。目前，受限于傳統(tǒng)代碼分析技術(shù)，多數(shù)安全界人士還是采用半人工半自動(dòng)的動(dòng)態(tài)調(diào)試技術(shù)進(jìn)行惡意代碼分析，難以實(shí)現(xiàn)惡意代碼“行為”和“體征”的關(guān)聯(lián)。這種“亡羊補(bǔ)牢”式的防御，割裂式地對(duì)待惡意代碼的“行為”和“體征”，造成了傳統(tǒng)惡意代碼識(shí)別技術(shù)逐步陷入困境。

當(dāng)前，我們需要符合現(xiàn)代信息安全要求技術(shù)能力的 APT 檢測(cè)設(shè)備。

（2）補(bǔ)齊傳統(tǒng)安全設(shè)備檢測(cè)短板問(wèn)題

當(dāng)今社會(huì)已經(jīng)進(jìn)入到“無(wú)時(shí)不在線(xiàn)，無(wú)處不互聯(lián)”的信息化網(wǎng)絡(luò)時(shí)代，人們的生產(chǎn)、生活，社會(huì)的政治、經(jīng)濟(jì)，國(guó)家的穩(wěn)定、安全，離開(kāi)網(wǎng)絡(luò)空間安全都無(wú)從談起。惡意代碼作為網(wǎng)絡(luò)空間安全威脅的重要源頭，日趨“泛化”、“多源化”，其威脅目標(biāo)從主機(jī)、服務(wù)器，拓展到移動(dòng)終端、工業(yè)控制系統(tǒng)，甚至是可穿戴設(shè)備，呈現(xiàn)出快速增長(zhǎng)、種類(lèi)日益繁雜、威脅愈發(fā)嚴(yán)重的態(tài)勢(shì)。因此，對(duì)惡意代碼的檢測(cè)、識(shí)別和分析一直是網(wǎng)絡(luò)空間安全領(lǐng)域的重要研究課題之一。

而現(xiàn)有網(wǎng)絡(luò)安全設(shè)備普遍不具備對(duì) APT 類(lèi)型的攻擊的檢測(cè)能力。

（3）針對(duì)性的攻擊越發(fā)頻繁影響巨大

近年來(lái)，各類(lèi)媒體披露的未知攻擊不勝枚舉。一些專(zhuān)業(yè)級(jí)黑客組織在不斷對(duì)我國(guó)的各級(jí)政府部門(mén)、行業(yè)組織和企業(yè)單位發(fā)起攻勢(shì)。這些攻擊針對(duì)性極強(qiáng)，一旦成功不只對(duì)企事業(yè)單位、政府機(jī)關(guān)、科研機(jī)構(gòu)造成不可彌補(bǔ)的損失，還會(huì)造成重大的社會(huì)影響。此類(lèi)攻擊往往借助漏洞并且使用社會(huì)工程學(xué)，有組織有紀(jì)律，傳統(tǒng)防御手段對(duì)此深感無(wú)力。APT 攻擊難以被發(fā)現(xiàn)，不僅竊取網(wǎng)絡(luò)內(nèi)部的敏感信息，甚至控制或破壞整個(gè)網(wǎng)絡(luò)。因此，市場(chǎng)迫切需要一款能快速，精確檢測(cè)APT 攻擊的設(shè)備。

（4）實(shí)現(xiàn)威脅發(fā)現(xiàn)及自動(dòng)化處理流程

隨著信息時(shí)代的快速發(fā)展，IT 運(yùn)維已經(jīng)成為 IT 服務(wù)內(nèi)涵中重要的組成部分。面對(duì)越來(lái)越多復(fù)雜的業(yè)務(wù)、多樣化的用戶(hù)需求，不斷擴(kuò)展的 IT 應(yīng)用需要越來(lái)越合理的模式來(lái)保障 IT 服務(wù)能靈活便捷、安全穩(wěn)定地持續(xù)保障。從初期的數(shù)臺(tái)服務(wù)器發(fā)展到龐大的數(shù)據(jù)中心，單靠人工已無(wú)法滿(mǎn)足在技術(shù)、業(yè)務(wù)、管理等方面的需求。標(biāo)準(zhǔn)化、自動(dòng)化、架構(gòu)優(yōu)化、過(guò)程優(yōu)化等降低 IT 服務(wù)成本的因素越來(lái)越受廣大行業(yè)客戶(hù)重視。

基于大數(shù)據(jù) AI 智能分析、威脅情報(bào)關(guān)聯(lián)的新一代防御系統(tǒng)，能很好地彌補(bǔ)傳統(tǒng)的基于特征庫(kù)的被動(dòng)防御體系的檢測(cè)缺陷，并且根據(jù)事件的重要性、嚴(yán)重性和威脅可能性，實(shí)時(shí)自動(dòng)計(jì)算風(fēng)險(xiǎn)，幫助企業(yè)實(shí)現(xiàn)安全風(fēng)險(xiǎn)分析與運(yùn)維管理，自動(dòng)完成事件的采集、分析、評(píng)估、響應(yīng)等全過(guò)程。能自動(dòng)識(shí)別 APT 攻擊，并可與防火墻等串行網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)，提升防護(hù) APT 攻擊的能力。實(shí)現(xiàn)針對(duì) APT攻擊的自動(dòng)化安全防御。

5、項(xiàng)目建設(shè)方案

（1）總體設(shè)計(jì)

藍(lán)盾新一代 APT 威脅檢測(cè)與防御系統(tǒng)將人工智能、大數(shù)據(jù)技術(shù)與安全技術(shù)相結(jié)合，實(shí)時(shí)分析網(wǎng)絡(luò)流量，監(jiān)控可疑威脅行為。不僅可以通過(guò)多病毒檢測(cè)引擎有效識(shí)別出病毒、木馬等已知威脅；通過(guò)基因圖譜檢測(cè)技術(shù)檢測(cè)惡意代碼變種；還可以通過(guò)沙箱（Sandbox）行為檢測(cè)技術(shù)發(fā)現(xiàn)未知威脅，對(duì)檢測(cè)及防御 APT 攻擊起到關(guān)鍵作用。

整體架構(gòu)圖如下：

項(xiàng)目采用大數(shù)據(jù)分布式架構(gòu)體系，使用接口通信，降低模塊之間的耦合度，可以靈活的進(jìn)行分布式部署。同時(shí)，對(duì)于小型場(chǎng)景提供單節(jié)點(diǎn)部署模式，有效降

低小企業(yè)落地成本。通過(guò)異構(gòu)計(jì)算模型，將各類(lèi)計(jì)算設(shè)備通過(guò)高速網(wǎng)絡(luò)連接而成并行計(jì)算環(huán)境。充分利用各個(gè)設(shè)備性能優(yōu)勢(shì)，完成應(yīng)用任務(wù)。

（2）具體建設(shè)內(nèi)容

新一代高級(jí)持續(xù)性威脅（APT）檢測(cè)系統(tǒng)按模塊功能組件劃分包含：靈活部署架構(gòu)，異構(gòu)計(jì)算，敵情預(yù)警監(jiān)測(cè)，下一代入侵檢測(cè)，網(wǎng)絡(luò)異常檢測(cè)，僵尸網(wǎng)絡(luò)檢測(cè)，病毒/木馬檢測(cè)，軟件基因分析，基因圖譜檢測(cè)，沙箱動(dòng)態(tài)行為檢測(cè)，元數(shù)據(jù)追溯取證，攻擊鏈分析等。

各個(gè)子系統(tǒng)的技術(shù)要求如下：

1）敵情預(yù)警監(jiān)測(cè)

支持?jǐn)硨?duì)安全信息數(shù)據(jù)在線(xiàn)收集，包括內(nèi)部發(fā)現(xiàn)的敵對(duì)威脅信息與外部敵情信息。通過(guò)實(shí)時(shí)下發(fā)敵情數(shù)據(jù)與大數(shù)據(jù)引擎緊密結(jié)合，提升全面檢測(cè)能力。通過(guò)聯(lián)動(dòng)提交 IP、域名、URL、文件或文件的 HASH 值、漏洞等到云端敵情分析系統(tǒng)進(jìn)行追溯取證及可視化關(guān)聯(lián)分析。

2）網(wǎng)絡(luò)異常檢測(cè)

異常檢測(cè)子系統(tǒng)支持 DoS&DDoS 攻擊檢測(cè)、會(huì)話(huà)連接行為異常檢測(cè)、中間人劫持攻擊檢測(cè)、非標(biāo)準(zhǔn)協(xié)議檢測(cè)、SMTP 行為異常檢測(cè)、可疑 SMTP 源 IP 檢測(cè)、垃圾郵件檢測(cè)、釣魚(yú)郵件檢測(cè)、掃描行為檢測(cè)、密碼猜測(cè)行為檢測(cè)、密碼暴力破解行為檢測(cè)等。

3）僵尸網(wǎng)絡(luò)檢測(cè)

通過(guò)檢測(cè)網(wǎng)絡(luò)流量中的 DGA 域名，可以有效定位網(wǎng)絡(luò)內(nèi)部已經(jīng)被僵尸/木馬控制的主機(jī)（失陷主機(jī)）。DGA（DomainGenerateAlgorithm，域名生成算法）域名常用于僵尸/木馬的 C&C（Command&Control，命令與控制）通訊，一般是用一個(gè)私有的隨機(jī)字符串生成算法，按照日期或者其他隨機(jī)種子，每天生成一些隨機(jī)字符串然后用其中的一些當(dāng)作 C&C 域名。在僵尸/木馬程序里面也按照同樣的算法嘗試生成這些隨機(jī)域名然后碰撞得到當(dāng)天可用的 C&C 域名。

4）入侵檢測(cè)

對(duì)網(wǎng)絡(luò)內(nèi)部的掃描探測(cè)、入侵攻擊、橫向滲透等行為進(jìn)行檢測(cè)。支持 SQL注入攻擊檢測(cè)、Bash 漏洞攻擊檢測(cè)、心臟出血漏洞攻擊檢測(cè)、協(xié)議動(dòng)態(tài)識(shí)別、、網(wǎng)絡(luò)應(yīng)用攻擊檢測(cè)、C&C 通訊檢測(cè)、網(wǎng)絡(luò)木馬檢測(cè)等。支持協(xié)議分析及文件還原，包括 PE 格式文件還原、TXT 格式文件還原、OFFICE 格式文件還原、FLASH格式文件還原、PDF 格式文件還原、JAVA 格式文件還原、WEB 格式文件還原、PYTHON 格式文件還原、RAR 格式文件還原、ZIP 格式文件還原、VBS 格式文件還原等。

5）病毒木馬檢測(cè)

采用多個(gè)反病毒引擎對(duì)流量中的文件進(jìn)行交叉檢測(cè)和交叉驗(yàn)證，從而發(fā)現(xiàn)其中的已知威脅。

6）基因圖譜檢測(cè)

通過(guò)采用基因圖譜模糊比對(duì)技術(shù)對(duì)流量中的文件進(jìn)行靜態(tài)檢測(cè)，通過(guò)結(jié)合圖像文理分析技術(shù)與惡意代碼變種檢測(cè)技術(shù)，將可疑文件的二進(jìn)制代碼映射為無(wú)法

壓縮的灰階圖片，與已有的惡意代碼基因庫(kù)圖片進(jìn)行相似度匹配，根據(jù)相似度判斷是否為威脅變種。支持 Windows、Linux 和 Android 所有的文件格式；支持基因樹(shù)快速查找比對(duì)技術(shù)。

7）沙箱行為檢測(cè)

采用沙箱行為模式匹配技術(shù)對(duì)流量中的文件進(jìn)行動(dòng)態(tài)檢測(cè)，根據(jù)惡意行為判斷是否為威脅變種。支持沙箱環(huán)境定制；支持各種 Windows 文件、PE 文件、Office文件、PDF 文件、HTML 文件等；支持反沙箱行為檢測(cè)；支持惡意代碼的行為相似性聚類(lèi)。通過(guò)聚類(lèi)分析和文件追溯判斷該文件是否為惡意文件。若該文件具有多個(gè)惡意行為且成功逃過(guò)多個(gè)反病毒引擎的檢測(cè)及基因圖譜檢測(cè)，則該文件極有可能為新型的惡意代碼，即未知威脅。

8）軟件基因檢測(cè)

使用靜態(tài)反編譯技術(shù)對(duì)文件進(jìn)行逆向和碎片化切割，根據(jù)軟件的功能語(yǔ)義提取基因片段，并結(jié)合大數(shù)據(jù)分析方法，對(duì)未知軟件進(jìn)行惡意性判定、同源性分析、漏洞基因檢測(cè)等。

9）元數(shù)據(jù)追溯取證

元數(shù)據(jù)追溯取證：內(nèi)置網(wǎng)絡(luò)流量元數(shù)據(jù)審計(jì)取證引擎，對(duì)網(wǎng)絡(luò)流量中的應(yīng)用層元數(shù)據(jù)進(jìn)行提取及事后追溯取證；

協(xié)議解析：對(duì)網(wǎng)絡(luò)流量進(jìn)行協(xié)議解析；

應(yīng)用識(shí)別：對(duì)網(wǎng)絡(luò)流量進(jìn)行應(yīng)用識(shí)別；

會(huì)話(huà)分析：對(duì)網(wǎng)絡(luò)流量進(jìn)行會(huì)話(huà)分析；

10）攻擊鏈分析

高級(jí)持續(xù)性威脅（APT）檢測(cè)系統(tǒng)能夠?qū)?APT 攻擊鏈的各個(gè)階段進(jìn)行全面的安全檢測(cè)，包括 1、掃描探測(cè) 2、工具投送 3、漏洞利用 4、木馬下載 5、遠(yuǎn)程控制 6、橫向滲透 7、行動(dòng)收割。

11）溯源取證

支持解析并存儲(chǔ) http、dns、ftp、smtp 等幾十種協(xié)議的元數(shù)據(jù)，具有完整的追溯取證能力。通過(guò)可視化操作，可快速定位攻擊者，并定位出攻擊者的 IP，MAC，攻擊方式，攻擊協(xié)議，以及攻擊目標(biāo)等詳細(xì)信息。

12）資產(chǎn)監(jiān)測(cè)分析

系統(tǒng)支持通過(guò)關(guān)聯(lián)分析結(jié)果、規(guī)則特征配結(jié)果、算法模型分析結(jié)果、動(dòng)態(tài)行為分析結(jié)果與敵情情報(bào)關(guān)聯(lián)，確定網(wǎng)絡(luò)內(nèi)部已經(jīng)出現(xiàn)問(wèn)題的資產(chǎn)。

13）安全聯(lián)動(dòng)

能自動(dòng)識(shí)別 APT 攻擊，并可與防火墻、入侵防御、網(wǎng)閘等串行網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)，提升防護(hù) APT 攻擊的能力。

6、項(xiàng)目的實(shí)施主體

本項(xiàng)目由藍(lán)盾股份的子公司藍(lán)盾技術(shù)自行建設(shè)，建設(shè)地點(diǎn)設(shè)在廣州天河軟件園。

7、項(xiàng)目效益情況

經(jīng)測(cè)算，項(xiàng)目主要財(cái)務(wù)分析指標(biāo)如下：

年銷(xiāo)售收入 6,951.11萬(wàn)元，年均凈利潤(rùn)1,798.96萬(wàn)元，財(cái)務(wù)內(nèi)部收益率 28.76%，投資回收期 2.93年。

8、項(xiàng)目批準(zhǔn)情況

本項(xiàng)目已取得廣東省廣州市天河區(qū)發(fā)展和改革局出具的《廣東省企業(yè)投資項(xiàng)目備案證》，項(xiàng)目代碼 2020-440106-65-03-007217。

此報(bào)告為完整版摘取部分，需定制化編制政府立項(xiàng)、銀行貸款、投資決策等用途可行性研究報(bào)告咨詢(xún)思瀚產(chǎn)業(yè)研究院。

免責(zé)聲明：
1.本站部分文章為轉(zhuǎn)載，其目的在于傳播更多信息，我們不對(duì)其準(zhǔn)確性、完整性、及時(shí)性、有效性和適用性等任何的陳述和保證。本文僅代表作者本人觀點(diǎn)，并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。
2.思瀚研究院一貫高度重視知識(shí)產(chǎn)權(quán)保護(hù)并遵守中國(guó)各項(xiàng)知識(shí)產(chǎn)權(quán)法律。如涉及文章內(nèi)容、版權(quán)等問(wèn)題，我們將及時(shí)溝通與處理。