加拿大28坑了多少人:孚泽行为分析系统-北京祥云天地科技有限公司

孚泽监控概述


        孚泽是一个安全监控响应平台,体现的是整体安全理念。由于近年来的安全趋势是以业务为核心的安全。也就是说,近年来安全边界在逐渐变模糊,单单利用边界防护的安全技术完全无法阻止近年来的新型攻击。例如APT攻击这种长期的,专注于绕过企业防护设备的攻击,更是可以无视企业的边界防护设备来进行数据窃取,为企业带来了无可估量的经济损失。

        

        传统的安全解决方案一直以来都是以各自的视角对各自的维度进行安全分析与防护,例如数据安全解决方案就会针对数据库和非结构化数据进行数据角度的安全加固,添加数据库审计设备,对外发数据进行内容分析,等等局限于数据安全的内容,各种安全解决方案针对不同的固定情况,没有一个很好的整合,各种设备的日志无法自动进行关联分析,只能依靠运维人员人工进行分析,并且经常出现误告警,严重影响了运维人员的运维效率。


        孚泽平台注重整体安全理念,从已知威胁和未知威胁两方面入手来打造一个整体的安全监控与响应体系。一方面,我们从已有的各种安全设备上采集该设备的告警数据与日志信息,依照我们定义的数据格式来将这些告警存储,作为数据源的一部份;另一方面,我们利用全流量解析来收集一切异常流量信息,通过人工智能对您的正常业务流程进行学习,经过学习后再与这些异常信息结合,分析出其中的安全隐患,并将分析结果和其他从安全设备上取得的告警自动进行关联分析。

        利用已有设备的已有策略来对已知威胁进行防护,利用全流量分析来应对未知威胁,这样就形成了一个完整的防护体系,也是孚泽平台理念的具现。


        孚泽平台会利用数据层的分析结果,并根据客户需求进行定制化的展示,例如:您是一位数据安全管理者,您更关心数据安全相关的异常信息,并且关注目前哪些数据库存在告警,就可以通过对展示界面的定制来针对性的展示一切有关数据的告警信息。



孚泽整体安全平台


孚泽整体监控平台通过实时采集底层全流量数据,并运用专业的解包技术,详尽剖析每个网络数据包,通过人工智能技术对用户业务正常访问行为的分析,掌握用户访问业务功能情况及业务系统运行情况 ,当分析得到异常事件时,系统会即时告警。 

孚泽平台打破了传统产品对特征库匹配的技术依赖,通过对用户全流量解析来获取底层数据,并以大数据模型整合外部威胁情报进行分析,针对具体业务与行为进行关联分析,建立以事件为核心的监测模型,对核心业务应用系统及核心数据表的访问行为进行监控。

 


孚泽行为监控系统的主界面为可定制化界面,该界面是我们从攻击者的角度将所有的安全事件通过归类总结分为三类:“侦查”“入侵”“数据安全”,即我们的异常行为规则库,这个规则库目标是将攻击者的行动清晰的展示出来,并将受到攻击的程度直观的分级。左边的攻击源与目标TOP5也就是运维人员所关心的“哪些人”在攻击“哪些服务器”,可以将攻击者的来源清晰的展示,使防守方的企业也能够清晰的掌握攻击来源。以下是我们采用的技术细节:

流量解析


即全流量分析,传统的安全分析SIEM平台只利用收集来的各种安全产品的日志进行分析分析,这样的行动只能解决已知威胁,并且还是在延续边界防护的理念,无法防御新型攻击。为此我们引入了全流量数据的概念,通过对网络数据包中字段的解析来发现其中的异常参数,通过人工智能技术学习企业的业务正常数据包,通过全流量技术来提取出异常数据,作为我们的监控平台的底层的数据支持。

                情报库与大数据分析


   情报库即外部威胁情报,我们可以整合其他公司提供的外部威胁情报来对网络上已知的恶意网络,黑名单,可疑代理等和全流量解析后的底层数据进行关联分析,由于黑客需要利用已攻陷主机来向他们的服务器发送数据,也就是说,掌握了已知的恶意地址就可以发现网络内已被攻陷的主机。可以针对性的修复漏洞。通过对底层数据包的解析与情报库情报来源进行大数据分析来更精准的确认异常流量是否是误告,提高准确率,减少运维人员浪费在误告上的时间。

   

异常行为规则库


   异常行为规则库即我们自主定义的一些规则,我们从攻击者入侵一个网络的角度来将各种攻击行为和异常行为划分成三部分,即侦查,入侵与数据安全。侦查即一些通用的攻击行为,例如漏洞扫描,目录遍历等,不针对某个业务,而是对整个系统进行信息收集的异常行为。入侵即针对具体业务进行的攻击行为,无论该次攻击是否成功,都会对业务产生危害。数据泄漏即黑客已经成功进入系统,开始尝试获取核心数据的行为。这三个分类可以将黑客的攻击进度透明化,使我们防守方能够掌握主动权,增加对自身网络的了解     

   

    部署方式


孚泽系统采用旁路部署,适用于任何业务场景,无论采用何种WEB开发技术都可以即插即用,不需要在现有Web系统上做任何的改变(IP拓扑,DNS),不开启任何额外的功能,不增加现有系统的负担,不在现有系统上安装任何软件,而且对用户的访问体验不会产生任何影响。

  

近年来,网络技术及计算机信息系统技术的迅速发展对证券、保险及银行等行业发展带来巨大推动和冲击。为确保信息安全,保证证券、保险及银行等行业不被非法入侵及访问,北京祥云天地科技有限公司自主研发了孚泽安全平台,孚泽安全平台实时监控所有业务的一切异常行为,并对其进行结果分类,对所监控业务异常情况实时报警。










本网站由阿里云提供云计算及安全服务 Powered by

Baidu
sogou