360天眼新一代威脅感知系統12345安全的困惑天眼是什么天眼方案競爭分析天眼報價安全問題正在日益嚴峻SONYAPPLEJPKaspersky(Duqu2.0)HackingTeamMORGAN

CHASE2014年涉及79790安全事件；2122家公司公開確認信息被竊取；500強企業超過半數；60%的案例里，攻擊者僅需要幾分鐘就可以的手；70%-90%的樣本都是有針對性的；75%的攻擊會在24小時內從一個受害者快速擴展到其他受害者。--《2015DBIR》因安全問題而被解雇的高管原因：1800萬政府工作人員信息泄露職位：美國聯邦人事管理辦公室主任姓名：KatherineArchuleta原因：1.1億顧客信息泄露職位：CEO姓名：GreggSteinhafel原因：機密郵件泄露職位：副總裁姓名：AmyPascal原因：360萬社會保險號碼泄露職位：南加州稅務局局長姓名：JimEtter原因：700萬兒童信息職位：英國收入與關稅機關（HMRC）主席姓名：PaulGray原因：1.04億信用卡數據失竊職位：27位高管中國是APT攻擊主要受害國截至2015年11月底，360威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動APT攻擊的境內外黑客組織累計29個，其中15個APT組織曾經被國外安全廠商披露過，另外14個為360威脅情報中心首先發現并監測到的APT組織，其中包括我們在2015年5月末發布的海蓮花（OceanLotus）APT組織.Source:TI.360.com2015年中國APT攻擊受害分布科研、政府、軍事、基礎設施相關都是APT攻擊的受害重災區。基本覆蓋國內全部省份。部分2015年活躍的APT攻擊組織中國第一個被公開披露的APT攻擊-海蓮花據360天眼實驗室發現，2012年4月起，某境外組織對中國政府、科研院所、海事機構、海運建設、航運企業等相關重要領域展開了有計劃、有針對性的長期滲透和攻擊，代號為OceanLotus(海蓮花)。

該組織主要通過魚叉攻擊和水坑攻擊等方法，配合多種社會工程學手段進行滲透，向境內特定目標人群傳播免殺木馬程序，秘密控制部分政府人員、外包商和行業專家的電腦系統，竊取系統中相關領域的機密資料。水坑攻擊OceanLotus組織在設置水坑時，主要采用兩類方式：一、入侵與目標相關的Web應用系統，替換正常文件或引誘下載偽造的正常應用升級包，在目標用戶系統上執行惡意代碼的目的；二、入侵與目標相關的Web應用系統后，篡改其中鏈接，使其指向OceanLotus設置的惡意網址，并在指向的惡意網址上設置木馬下載鏈接。魚叉攻擊攻擊組織會非常有針對性地挑選目標機構，并收集目標機構人員的郵箱信息，再通過向這些郵箱中投遞惡意郵件實現定向攻擊。當受害者不小心點擊執行郵件附件后，電腦就會感染特種木馬，木馬與C2服務器相連接后，用戶系統由此就落入攻擊組織的控制網絡中。高級攻擊手段可以輕松突破現有防護體系防火墻IPSSIEM防毒設備SOC合規管理我們堆砌了大量的設備，本以為可以高枕無憂，但在定向攻擊和APT攻擊下，完全失去了作用。安全馬奇諾防線高級威脅的攻擊手法能夠發現變種、多態、漏洞利用等高級攻擊手法能夠分析應對與其他多種高級分析手段結合能夠應對各種高級逃逸手段我們缺的是什么快速，能夠避免傳統SOC產品查詢速度慢，分析能力差的問題，真正讓安全人員能夠暢快的對問題進行響應分析。能夠保留充足的數據證據，用以重現或證明問題發生時的狀態。要讓人能夠真正理解告警背后的攻擊意圖。要能夠結合內網數據與互聯網龐大數據形成全局的智能分析我們所需要的本地檢測能力回溯分析能力威脅情報能力360天眼的解決思路Gartner對高級威脅檢測技術的分類網絡信息的取證和分析終端信息的取證和分析終端行為的實時檢測應用負載的實時檢測網絡流量的實時檢測天眼的檢測思路保留原始流量日志，提供快速的查詢和下鉆分析使用威脅情報回溯分析使用天擎獲取終端行為信息，提供快速的查詢和下鉆分析使用威脅情報回溯分析天擎使用沙箱檢測、人工智能檢測技術對文件進行分析使用網絡檢測技術發現高級威脅的遠控行為威脅情報天眼未知威脅解決方案360云端大數據平臺威脅情報中心威脅情報終端日志天眼分析平臺天眼文件威脅鑒定天眼采集器流量日志樣本日志全面的采集網絡及主機日志完整還原文件并進行深度分析引入360強大的威脅情報通過輕量化的大數據平臺分析威脅天眼的體系架構傳感器傳感器天擎終端數據引擎威脅感知系統日志檢索云端大數據-威脅情報分析平臺天擎天眼鑒定設備天眼采集設備靜態檢測沙箱數據引擎分析平臺擴展……能夠發現變種、多態、漏洞利用等高級攻擊手法能夠分析應對與其他多種高級分析手段結合能夠應對各種高級逃逸手段360天眼將為企業提升3大能力快速，能夠避免傳統SOC產品查詢速度慢，分析能力差的問題，真正讓安全人員能夠暢快的對問題進行響應分析。能夠保留充足的數據證據，用以重現或證明問題發生時的狀態。要讓人能夠真正理解告警背后的攻擊意圖。要能夠結合內網數據與互聯網龐大數據形成全局的智能分析我們所需要的本地檢測能力回溯分析能力威脅情報能力360天眼將為企業提升3大能力天眼本地檢測能力回溯分析能力威脅情報能力360天眼的本地檢測能力傳感器-全面的網絡日志采集能力千兆、萬兆、光口流量匯聚IPv4、IPv6UDPTCPDNSHTTPWEBMAILFTPSMTPPOP3IMAPSMBORACLEMYSQLSQLSERVERLDAPSSL……文件還原流信息、行為記錄文件威脅鑒定器-多維度檢測技術動態行為分析已知漏洞簽名檢測&半動態檢測深度漏洞利用分析已知特征匹配人工智能發現惡意文件PE文件非PE文件高危中危低危高危事件可疑事件疑似事件多種不同引擎，多維度檢測威脅已知檢測與未知檢測相互補充靜態檢測與動態監測相輔相成準確的評分機制降低誤報與漏報文件威脅鑒定器-深度漏洞利用檢測是否發起對外鏈接是否啟用HTTP或FTP是否啟用NBNS協議系統外鏈監控是否在堆棧上執行了代碼是否在數據區執行代碼是否進行了內存布局是否調用了其他函數指令內存、指令監控高級威脅是否釋放可以文件是否創建可以進程是否修改注冊表系統調用監控沙箱沙箱內完整模擬文件的執行過程捕捉文件的內存級異常行為監控文件的所有外鏈防止文件的沙箱逃逸文件威脅鑒定器-人工智能檢測機器學習樣本切片靜態模型樣本檢測模型匹配校正依賴數十億的樣本大數據挖掘惡意軟件的特征使用機器學習算法自動更新實時比對得到準確分析結果文件威脅鑒定器-豐富的檢測環境InternetExplorerOffice……豐富的沙箱環境可執行文件Office文檔Adobe文件壓縮文件多媒體；富文本…………………………多樣的文件格式HTTPFTPPOP3IMAPSMTPSMBWebmail全面的協議支持文件傳輸郵件傳輸提取文件沙箱運行7種文件傳輸協議還原數十種文件格式支持靈活的檢測環境組合可同時啟動多種不同檢測環境壓縮包內文件關聯檢測結合威脅情報的威脅發現能力傳感器傳感器終端安全數據、搜索引擎威脅感知系統數據檢索天眼分析平臺天擎天眼采集流量記錄文件傳輸行為惡意行為告警郵件記錄終端行為Web訪問記錄攻擊背景攻擊組織背景所覆蓋行業攻擊目的性……攻擊指標外聯惡意站點C2服務器惡意文件樣本…天眼云端大數據及威脅情報平臺

于2015年3月5日從下載的某惡意軟件xxx已經受控，此攻擊為XXXX團體發起，主要針對科研機構進行攻擊，造成了AAAA等危害，該威脅在其他XXX用戶也曾經發生過。天眼客戶本地大數據平臺威脅情報覆蓋威脅全生命周期的本地檢測能力進入網絡漏洞利用安裝惡意軟件遠程通信橫向滲透/泄密傳感器捕獲行為傳感器捕獲行為分析平臺根據威脅情報發現天擎捕獲行為傳感器根據特征發現文件威脅鑒定可以發現問題傳感器根據特征發現威脅生命周期天眼日志采集天眼威脅檢測360高級威脅情報能力360高級威脅情報威脅情報（ThreatIntelligence）是一種基于證據的描述威脅的一組關聯的信息，包括威脅相關的環境信息、采用的手法機制、指標、影響，以及行動建議等。與傳統的單點的病毒或信譽等信息不同，這一系列對于攻擊威脅的信息，可以讓我們了解高級威脅的全貌，并可以被抽象成可機讀威脅情報（MRTI），用來進行應對決策，并對威脅進行響應。威脅情報云端大數據攻擊特點攻擊背景攻擊組織者攻擊目的行業覆蓋度活躍程度外鏈URL惡意IP惡意域名樣本MD5…………天眼分析平臺APT活動境內感染量首次發現時間最近發現時間影響省份數影響行業感染方式Desert_Falcon32014/4/302015/3/33教育魚叉郵件、水坑GDATA_TooHash42014/6/12014/8/313科研魚叉郵件Darkhotel3342014/6/12015/3/1929教育、能源、運營商魚叉郵件、網絡層劫持DarkSeoul42014/6/52015/1/53運營商魚叉郵件EpicTurla142014/6/122015/3/216科研、教育魚叉郵件NGO_Attack62014/6/182015/3/136非政府組織魚叉郵件Dragonfly22014/7/152014/8/191能源魚叉郵件、水坑APT2812014/8/72014/8/71航空魚叉郵件Anunak3832014/9/282015/3/2626金融、電信、政府、科研魚叉郵件CARETO12014/10/282014/10/281政府魚叉郵件XSLCmd_OSX12014/10/302014/10/301金融魚叉郵件Waterbug12014/12/312014/12/311政府魚叉郵件、水坑Snake12015/2/152015/2/151金融U盤Equation12015/4/162015/4/161軍工U盤三方發現的APT情報APT活動境內感染量首次發現時間最近發現時間影響省份數影響行業感染方式APT-C-0010472012/42015/5/2229政府、海洋、海事魚叉郵件、水坑APT-C-012352012/2/152015/4/528政府魚叉郵件APT-C-02172014/4/32014/6/293科研、教育魚叉郵件APT-C-031802014/8/12015/4/149教育魚叉郵件APT-C-0452014/11/32014/12/152非政府組織魚叉郵件APT-C-05122015/2/122015/3/243政府魚叉郵件APT-C-0642015/2/242015/3/73科研魚叉郵件360獨有的APT威脅情報360獨有的APT威脅情報APT活動影響行業組織背景APT-C-09XX地區對境內國防、政府、科技、教育部門的攻擊，盜取軍事資料、海洋資料、中美關系資料等，攻擊持續8年、曾經使用過0Day、至今活躍境外組織APT-C-10未知組織對我國政府、科研部門的攻擊（還在跟進中）境外組織APT-C-11國外未知組織對中國外貿、供電基礎設施的攻擊，曾是用過Java、Office宏、合法簽名攻擊，盜取瀏覽器訪問記錄、密碼境外組織APT-C-12未知組織對福田重工山東總部發動攻擊,隨后對其中三位重要目標下發鍵盤記錄插件.在之后的觀察中發現,攻擊者將攻擊范圍擴大到福田重工天津分公司.境外組織APT-C-13未知組織對我國教育機構的攻擊未知組織APT-C-14未知組織對廣州毅龍印刷技術有限公司的多次攻擊.其中某后門使用內網地址上線.未知組織APT-C-15針對大壩工控系統造成威脅，使用硬件劫持的方法定向傳播木馬、木馬包含添加殺毒軟件白名單功能境內組織APT-C-16針對XX國家在國內貿易相關人員的攻擊境內組織APT-C-17對XX地區的攻擊，攻擊持續6年、使用過Android平臺APT攻擊、至今活躍境內組織APT-C-18對XX國家的攻擊，曾經使用過0Day，第三方報告指出日本社保資料被盜與此木馬有關（已定位到作者，但未跟進)境內組織云端數據海量情報數據存儲計算能力數據挖掘技術可視化分析技術360云端互聯網域名信息庫90億DNS解析記錄超過100個外部數據源最大的存活網址庫每天查詢300億條每天處理100億條每天攔截用戶訪問釣魚數超過1.4億URL最大中文漏洞庫總漏洞數超過47萬每天新增可達400個全球獨有的樣本庫總樣本95億每天新增900萬主防庫覆蓋5億客戶端總日志數189000億條每天新增380億學會處理數據互聯網大數據技術路線利用最廉價PC服務器+開源/自主開發軟件構建而成數據的可靠性，擴展性全部自主可控，成本不到IOE方案的1/100存儲計算能力的關鍵在于規模大數據服務器規模超過60000臺總存儲數據量接近1.3EB，每天新增超過1.5PB每天各種數據計算任務10萬個，每天處理數據量10PB具備一分鐘內調動幾十萬顆CPU核參與計算能力具備一秒鐘處理1TB數據的能力海量情報數據存儲計算能力數據挖掘技術可視化分析技術懂得挖掘數據以未知惡意軟件發現引擎為例基于海量數據挖掘、引入機器智能學習算法，能夠有效準確識別未知惡意軟件，是人工智能技術在惡意程序自動分析領域中的首次商業應用樣本聚類分析，相似樣本發現，同源樣本追蹤海量情報數據存儲計算能力數據挖掘技術可視化分析技術機器學習充分利用大數據的關鍵在于從互聯網海量多維數據中尋找規律、算法或模型，再運用于所被監控的流量深度學習協議識別/應用程序識別惡意樣本識別黑白域名判別圖挖掘資產識別與劃分線索與關聯數據分析周期性分析關聯分析交互分析數據海量情報數據存儲計算能力數據挖掘技術可視化分析技術基于多維數據的關聯，通過多種圖形展現方式，構造能夠幫助安全專家，對未知威脅進行分析、發現、回溯、跟蹤及預警的能力360安全大數據平臺架構自有樣本數據第三方樣本DNS基礎數據惡意URL數據其他數據支持機器學習搜索技術關聯分析可視化分析漏洞挖掘惡意代碼分析攻擊分析威脅情報跟蹤沙箱集群人分析技術大數據平臺數據資源云端分析威脅情報的一個實例新樣本…Client2Client1Client3樣本主防被監控流量數據威脅情報發現未知威脅歷史CnC或樣本失效樣本A曾經感染過A的客戶端查詢哪些客戶端做過樣本升級查詢哪些客戶端層下載或感染過A查詢包含此樣本的主防日志

針對樣本A查詢URL或主防日志（比如通過釣魚鏈接感染或水坑等），尋找到互聯網中曾經感染A的客戶端，然后捕獲新樣本。URL

360天眼的回溯能力回溯是安全的底線當發現無法早于攻擊，回溯將成為安全人員的最后武器防御檢測回溯安全人員的底線安全人員的理想網絡+主機日志全采集后完整回溯能力進入網絡漏洞利用安裝惡意軟件遠程通信橫向滲透/泄密傳感器捕獲行為傳感器捕獲行為天擎捕獲行為威脅生命周期天眼日志采集發現問題回溯路徑回溯路徑天眼強大的日志采集能力可以保證在攻擊鏈條任何一個地方發現威脅后，都可以完整回溯整個攻擊發生全過程依托輕量級大數據技術的快速回溯能力搜索正在進行，請等待3分鐘存儲已經100%300TB日志數據秒級搜索傳統關系型數據庫的噩夢：每一條威脅情報或告警都可以在成百上千億條日志中關聯搜索每一次攻擊事件都可能關聯到上百TB數據中的其中幾條12345安全的困惑天眼是什么天眼方案競爭分析天眼報價天眼分析平臺天眼分析平臺天眼文件威脅鑒定器-首頁天眼文件威脅鑒定器-告警天眼文件威脅鑒定器-統計分析天眼文件威脅鑒定器-詳細報告天眼產品系列TSS10000-S53TSS10000-S56TSS10000-D57TSS10000-A58/A58E硬件6核CPU、32G內存、1TB存儲2×6核CPU、64G內存、1TB存儲2×6核CPU、128G內存、4TB存儲2×6核CPU、256G內存、4TB×12存儲接口管理口：2電，監聽口：2電+2光管理口：2電，監聽口：2電+2光（萬兆）4電口4電口性能4G（實驗室性能，受網絡流量構成影響）8G（實驗室性能，受網絡流量構成影響）2w非PE文件/天20wPE文件/天單臺2weps寫入性能。1G流量單臺可存日志3個月網絡傳感器文件威脅鑒定分析平臺接收網絡鏡像流量，還原網絡流量日志、文件，并形成標準化日志推送到分析平臺接收文件，進行高級威脅檢測未知威脅檢測方案的大腦，集合所有日志，接收威脅情報進行關聯檢測天眼產品型號命名原則TSS10000–S53(E)產品名稱&型號天眼新一代威脅感知系統（TSS，ThreatSensitiveSystem）產品形態S：傳感器D：文件威脅鑒定器A：分析平臺。同一平臺下的硬件區分3：單CPU、32G內存6：雙CPU、64G內存7：雙CPU、128G內存8：雙CPU、256G內存產品硬件平臺5：服務器3：工控機E：從節點12345安全的困惑天眼是什么天眼方案競爭分析天眼報價標準方案，含文件威脅鑒定器可以為客戶解決以下安全問題：檢測發現傳統防護手段漏過的未知威脅在隔離網絡環境下檢測未知威脅對企業內的海量數據進行安全分析對企業內已發現的問題進行攻擊回溯未知威脅檢測及回溯方案標準方案，不含文件威脅鑒定器可以為客戶解決以下安問題：檢測發現傳統防護手段漏過的未知威脅對企業內的海量數據進行安全分析對企業內已發現的問題進行攻擊回溯本地威脅發現方案文件威脅鑒定器方案可以為客戶解決以下安全問題：檢測發現傳統防護手段漏過的未知威脅在隔離網絡環境下檢測未知威脅高級威脅檢測方案12345安全的困惑天眼是什么天眼方案競爭分析天眼報價首創使用互聯網數據發掘APT攻擊線索，提升企業對威脅看見的能力以威脅情報形式打通攻擊定位、溯源與阻斷多個工作環節，幫助企業從源頭上解決安全問題高效的快速搜索技術幫助企業提升數據查找的能力基于大數據挖掘分析的惡意代碼智能檢測技術，提升了客戶檢測惡意代碼的能力專業的專家運營團隊，全天候為企業保駕護航天眼優勢傳統設備劣勢：僅僅依靠特征匹配的方式進行威脅發現，而特征往往根據已獲取的樣本進行人工分析的方式提供。但在當前的安全形勢下，很多高級攻擊的樣本和攻擊工具是完全不被人所知的，所以這種檢測方式完全發揮不了作用。對于未被判黑的歷史數據缺乏必要的記錄，不利于事后的追查和定位。天眼優勢：天眼在云端可利用360的龐大樣本資源和基礎數據優勢，結合數據挖掘、沙箱、機器學習等技術可以發現和跟蹤大量的以往被忽略掉的未知威脅，它們可能包含免殺木馬、流行木馬和APT攻擊可記錄下本地所有重要網絡行為，為客戶提供事后追查和跟蹤的支持競爭分析——VS傳統設備代表廠家：趨勢、啟明、綠盟、金山。沙箱劣勢：告警復雜，需要人工二次確認和篩選，對于人員能力要求高。告警存在大量誤報和漏報，而且也是基于一定的判定規則對沙箱行為進行判斷，對于不斷變化的攻擊形式缺乏有效的應對手段。天眼優勢：由于所有情報都是云端確認過的可信情報，所以本地告警簡單直觀，不存在誤報問題。威脅情報可不斷更新，有360的數據支撐和專業運營團隊更新。而且天眼也有文件威脅鑒定器。競爭分析——VS沙箱代表廠家：科來流量分析設備劣勢：只能保存原始流量信息，無法提供快速的搜索和查找，而且占用來巨大的存儲投資提供的流量分析僅停留在流量大小和變化上，僅能對可靠性提供幫助，無法發現真正的高級威脅。天眼優勢：流量信息只存關鍵信息字段，比如文件的MD5、URL、HTTP頭等信息。這樣可以節省大量存儲投資，而且也能滿足安全分析需要。同時可以提供快速的信息檢索功能。云端的分析能力是傳統本地流量分析設備所不能提供的。競爭分析——VS流量分析設備12345安全的困惑天眼是什么天眼方案競爭分析天眼報價硬件平臺天眼傳感器TSS10000-S53天眼傳感器TSS10000-S56天眼文件威脅鑒定器TSS10000-D57天眼分析平臺主節點TSS10000-A58天眼分析平臺從節點TSS10000-A58E安全服務天眼威脅情報更新授權（1～3臺分析平臺）天眼威脅情報更新授權（4～6臺分析平臺）天眼威脅情報更新授權（7臺以上分析平臺）天眼應急響應服務天眼高級使用培訓硬件服務標準維保服務備機服務（分析平臺無）安裝服務規則升級服務（文件威脅鑒定器專屬）天眼報價包含哪些模塊標準方案（含文件威脅鑒定器）傳感器文件威脅鑒定器分析平臺威脅情報服務標準維保服務備機服務安裝服務規則升級服務標準方案（不含文件威脅鑒定器）傳感器分析平臺威脅情報服務標準維保服務備機服務安裝服務文件威脅鑒定器方案傳感器文件威脅鑒定器標準維保服務備機服務安裝服務規則升級服務產品組合模式購買一套天眼設備，自帶一年標準維保服務購買一套天眼設備，自帶一年威脅情報服務購買一年威脅情報服務，附送一次應急響應服務購買一臺天眼文件威脅鑒定器，自帶一年規則升級服務產品自帶服務標準方案（含文件威脅鑒定器）（三年服務）一臺S53傳感器一臺D57文件威脅鑒定器一臺A58分析平臺2年威脅情報更新授權（1～3臺分析平臺）2年