天阗高级持续性威胁检测与管理系统 V2.0.pdfVIP

2022

技术白皮书

天阗高级持续性威胁检测与管理系统V2.0

威胁分析一体机

（TAR-AIO）

目录

一.引言4

1.1背景4

1.1.1网络安全法制化建设稳步推进，数据安全逐渐成为焦点4

1.1.2威胁框架进入“攻防兼备”新阶段，并逐渐成为网络安全行业的风向标5

1.1.3Log4j2远程代码执行漏洞扩散，供应链安全脆弱性受广泛关注6

1.1.4网络犯罪产业链逐渐成型，地下黑产技术“深度融合”7

1.1.5勒索攻击已成为全球公敌，“多重勒索”、“APT化”成为勒索攻击标配9

1.1.6国家层面局势升级，必然伴随相应网络攻击11

1.1.7就地取材，LOLBins、攻击性安全工具滥用成趋势12

1.1.8新挖矿木马如雨后春笋般涌现，容器成为挖矿攻击重要目标13

1.1.9Web攻击工具逐渐自动化、加密化，办公系统、安全设备漏洞威胁愈发严重14

1.1.10IoT僵尸网络变得更加隐蔽，NAS设备成为IoT攻击新宠14

1.1.11人工智能技术距离实用仍存在距离15

1.1.12“以攻促防、以矛强盾”，漏洞攻防研究日益受到重视16

1.2面对新威胁的应对措施17

1.2.1传统防御手段难以为继18

1.2.2新技术、新应对19

二.定位与价值21

2.1产品定位21

2.2产品价值22

三.产品架构25

3.1分层设计25

3.1.1TAR-AIO网络流检测引擎25

3.1.2TAR-AIO文件检测引擎28

3.1.3TAR-AIO威胁分析系统29

3.2ELK大数据架构31

四.关键技术应用32

4.1支持双向特征匹配特征检测32

4.2动静态相结合的未知威胁检测37

4.3攻击链还原自动化扩线分析43

4.4基于算法模型的检测能力44

4.5结合威胁狩猎的主动防御47

4.6VenusEye情报云查辅助降低甄别难度50

4.7数据采集及配置管理51

北京启明星辰信息安全技术有限公司

2

/

五.功能价值呈现57

5.1基于完整流的取证与研判分析57

5.2全面实时的监测与威胁分析58

5.2.1威胁视角59

5.2.2风险感知60

5.2.3威胁分析62

5.3多维度可视化安全预警64

5.4可感知的威胁告警65

5.5加密流量检测67

5.6易运营的运维处理68

5.6.1运维管理68

5.6.2自动化联动应急处置68

5.6.3多维度报表70

5.6.4多元日志集中管理71

5.6.5APT设备集中管控72

六.部署与解决方案73

6.1一体化威胁感知场景——单机部署模式73

6.2全网威胁感知场景——整