泛终端的精细化智能防御体系建设

终端合规检测项目应该覆盖：操作系统、系统配置、网络配置服务、应用程序部署配置与运行等内容。其中有客户端或者可以部署AGENT的终端合规检测包含：杀毒软件、关键文件、补丁检查、操作系统情况、账号密码复杂度、账号活跃情况、基础配置情况、注册表、服务检查、网络配置和防护情况、违规外联情况、软件检查；其他终端，如摄像头、打印机、考勤机、食堂刷卡机、专业行业终端、工业控制终端等，不具备部署agent的能力，合规检测内容包含：终端网络端口与服务风险检查、统风险与弱口令、网络连接方式异常、异常流量与行为异常检测和进程检查等。

用户进行认证时驱动安检模块进行检查，并将安检结果上报给认证服务器，认证服务器根据策略确定是否需要强制终端安检通过。如果安检不通过，提示用户访问失败的原因，并提示用户后续的操作。每次安全检查后与上一次安检结果进行比较，如果发生变化将通知认证模块重新进行认证。

一体化智能防御

通过结合桌管系统和终端杀毒软件进行协同，可以实现安全防护系统的一体化管理和资源整合，实现安全防护策略的统一管理，建立全面、集中、统一的终端安全管理体系。实现防病毒管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、日志报表管理等功能。

(2) 全面的行为和流量检测能力

攻击通常都会在内网的各个角落留下蛛丝马迹，在网络的流量、终端的操作、DNS 解析中都可以发现安全事件的真相。从威胁攻击的视角看安全事件，通过各个阶段进行有效的检测，根据上文的分析，从各个维度的数据中找到有价值的信息，发现攻击行为或攻击特征相关的新生威胁。从安全运营的视角，在高级威胁不断的今天，对所有网络流量行为进行检测，提升网络透明度及可视性，对终端的整体安全状态有全局的把控，实现谁在什么时间什么地点以什么样的方式做了什么。聚焦在及时发现和处理异常，可以快速对终端威胁进行准确定位和溯源，牢牢掌握终端安全工作的主导位置。

网络流量实时分析和监测

通过对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息，甚至是重要负载信息，这些信息将通过加密通道传送到分析平台进行统一处理。通过对终端网络行为流量的深入分析，感知并检查终端是否为NAT方式接入，并尝试分析NAT前的终端数量和操作系统信息。对无人值守终端的默认行为进行学习建模，包括入站管理行为和出站访问行为。学习建模后对其出入站网络流量进行检查，判断其行为是否发生异常。业务网络流量进行基于时间和流向的规律学习建模，对异常偏差流量进行振幅异常的检测，以判断其流量模式的异常。无代理能力终端无法感知其内在系统和应用的变化，系统会监控其网络连接状态的变化、管理与行为变化、终端身份变化，在出现异常事件时立刻出发合规检测。无变化状态的合规检测也会严格控制器时效周期，强制终端的定期合规确认。

针对对文件类型的威胁检测，通过沙箱使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现网络中的威胁行为，并将威胁相关情况以报告行为提供给安全管理人员。相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。

终端行为分析和监测

终端按照终端能否部署防病毒软件、桌面管理系统和EDR等软件可以进行终端行为数据采集的可以分为两类，部署了防病毒软件、桌面管理系统和EDR等软件可以进行全网终端的安全数据进行采集和监测，实时收集IM文件传输信息、驱动信息、操作系统信息、进程信息、DNS访问审计、IP访问记录、U盘使用记录、软件安装信息、邮件日志信息、证书相关信息等。将采集到的终端安全数据会汇总到数据采集平台上进行统一的数据分析。

对可以部署采集软件的终端可以实现一下目标：

持续监测：持续记录终端上的所有行为，将静态和动态的终端数据实时推送到大数据分析平台进行统一的存储和管理。

主动检测：实时接收大数据威胁情报、鉴定中心等告警线索信息，在大数据分析平台中主动检索、定位符合条件的威胁终端。

全面评估：针对于威胁终端进行全面的安全评估，结合终端背景数据，对于终端的安全漏洞、威胁的攻击步骤进行分析评估，发现整个攻击链与终端沦陷的根本原因。

自动响应：针对不同类型的终端威胁提供相应的自动响应手段，结合终端、业务、系统等因素提供补救手段，提升安全基线，防止同类型攻击再次发生。

对于不能部署终端数据采集软件的终端，如摄像头、打印机、专业行业终端、工业控制终端等，通过准入控制的审计检测，获取终端身份仿冒接入、终端网络端口与服务风险检查、操作系统风险与弱口令、网络连接方式、异常流量与行为异常检测、外联情况等信息，实时的提供给分析平台。

DNS安全检测和分析

DNS是互联网和物联网（IOT）的“神经系统”，是连接网络的第一步动作，DNS系统是一个基于C/S结构的巨型分布式数据库系统，实现域名到IP地址的转换，对用户访问各种互联网应用至关重要。思科2016年度安全报告指出，近91.3%的“已知不良”恶意软件被发现使用DNS作为主要手段，通过研究DNS流量或数据，可以发现网络的安全攻击以及异常行为。

统针对DNS层面的网络安全威胁，镜像的DNS流量，根据DNS请求流量数据，将域名解析记录在不同周期尺度上（每天、每周、每月）建立解析基线，计算当前周期与已有基线的偏离程度，以判定当前周期的域名请求内容、请求次数是否异常。利用某些恶意软件的多个C&C会形成DNS查询序列的特点，通过模型计算可以发现恶意软件的各种网络行为。利用威胁情报库，或攻击特征（特征可包括域名结构、域名活动周期、域名解析结果等）将具有关联的攻击进行聚类，并对攻击链路进行关联分析深度挖掘，还原攻击全貌，洞悉高级威胁。通过机器学习，DNS异常检测发现DNS隐秘隧道，有效发现攻击线索，与其它数据关联分析，可以发现高级或隐藏威胁。根据僵尸网络域名的特性和相关的IP属性、端点属性，将C&C域名分组，有助于准确分析僵尸终端感染情况，可视化展现僵尸终端的感染范围，挖掘僵尸网络端点，及时发现僵尸终端，提升网络边界和终端安全防护水平。将DNS 安全检测数据实时发送给分析平台进行分析，作为终端安全分析的重要数据支撑。

(3) 多维数据的智能分析能力

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!