background
portfolio img

天奥科技-捕鱼app

态势感知与安全运营平台(ngsoc)

奇安信网神态势感知与安全运营平台(简称ngsoc)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势。

详述

1.海量数据采集与存储:支持国内外数十家厂商的上百种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过syslog、db、snmp、netflow、api接口、镜像流量、文件等多种采集方式。

2.威胁情报:基于奇安信在威胁情报领域独有的数据优势和技术优势,将云端大量的情报经过专业团队层层筛选后,将最有价值的失陷情报源源不断的推送至ngsoc,并将其应用于关联分析、日志匹配等场景。

3.机器学习:机器生产dga域名,其广泛应用于勒索软件、僵尸网络、远控木马。通过机器学习中一种基于自动对数据进行表征学习的方法,无需人工提取特征。基于海量的域名样本。通过有监督式特征学习和分层特征提取高效算法来发现恶意域名。在真实客户场景中通过dga检测域名检测技术成功发现多起apt事件和勒索病毒,准确率99.94%,检出率96%。

4.威胁建模:搭载分布式流式关联分析引擎sabre,提供多元异构数据关联分析、灵活威胁建模、丰富的告警上下文信息展示及分布式横向扩展能力,已获得数十个相关专利。

5.全流量检测:通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、ddos攻击等进行精准检测。

6.态势感知:ngsoc可提供11个展示内网态势感知的大屏视图:全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、安全运营态势、外部威胁态势、内网威胁态势、资产风险态势视、业务资产外连态势、攻防演练态势,分别从不同的安全运营角度对网络安全态势进行呈现。

7.威胁预警:当出现重大网络安全事件时,通过下发威胁预警包,帮助用户第一时间掌握是否遭受到攻击,失陷的设备包括哪些,业务是否受到影响,网络攻击走向,如何应急处置。

8.资产风险管理:通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。

9.持续检测:通过从宏观到微观的分析思路,基于平台强大的pb级数据查询和关联分析能力,采用强大的流式关联分析能力,结合丰富的内置bi组件用于自定义可视化视图,将威胁以安全人员的处置视角完美呈现在监控面板和分析面板之上,有助于分析人员持续监控威胁、发现线索、下钻分析,从而极大提升了企业威胁可视及处置的能力和效率。

10.异常行为分析:将奇安信多年在客户侧积累的多个重点场景通过场景化视图直观呈现给用户,针对于企业客户经常遇到的一些安全场景,平台进行了重点抽象,并且把它做成了一个内置的一个整体的分析场景,如内网安全、安全账号安全、异地登陆安全等一些常见场景,辅助安全运营/分析人员进行综合判断,提升处置效率。

核心特性

专业的安全运营服务

  • 奇安信集团具有专职产品运营服务团队,可提供原厂一线驻场、二线分析、运营方案咨询及培训服务,帮助客户解决无人运营困难

强大的威胁检测能力

  • 基于机器学习的dga检测技术,检测准确率达99.94%。
  • 搭载分布式关联分析引擎sabre, 内置400 关联分析规则, 100 语义支撑,可视化配置展现。
  • 通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、ddos攻击等进行精准检测。

先进的大数据架构

  • ngsoc分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。
  • ngsoc是建立大数据技术架构之上,运用hadoop、spark、elasticsearch等先进大数据组件,成功解决海量数据的采集、存储和计算的难题。
  • 传统数据库只能处理亿级数据且查询速度在分钟级,ngsoc可以处理千亿级数据,采集速度达10w eps,秒级查询,大大提升安全分析和响应的速度和效率
  • 分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。

完善的安全运营闭环

  • ngsoc在强有力的基础大数据架构的支撑和分布式流式引擎sabre强劲检测能力的辅助下,建立起了一套完善的威胁处置与响应流程的支撑体系。
  • 可通过平台对资产、漏洞等基础属性和告警、风险等安全属性的全生命周期管理,功能涵盖从威胁发现、展示、归纳到处置响应联动的闭环能力。
相关产品
portfolio img

奇安信终端安全准入系统(nac)主要帮企事业单位解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题,避免网络资源受到非法终端接入所引起的安全威胁。

portfolio img

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,入侵检测系统是一种积极主动的安全防护技术。

portfolio img

奇安信安全隔离与信息交换系统是一款部署于强隔离网络环境、能够有效实现不同安全级别网络之间的安全隔离和信息交换的专用产品。产品采用专用隔离设备和模块化工作组件设计,通过链路阻断、协议转换的方式,使得数据只能以专有数据块的方式静态地在两个网络之间进行“摆渡”,从而切断两个网络之间的所有直接连接,保证不同安全级别网络之间的数据能够安全、可靠地交换。