极元攻击溯源系统(又称:极元自动护网系统、自动重保系统、英文名:Oxtrea Threat Traceability System)采用大数据分析技术架构,运用大数据技术汇聚全网安全数据,深度挖掘这些原始数据素材之间的内在关联,同时整合了可信访问控制,欺骗式防御等主动防御技术,自动发现、管理与处置安全风险。本系统同时适用于物理架构和虚拟化架构,是一个多架构的南北与东西向安全威胁的整体解决方案。该系统可以对挖掘出的威胁进行全自动阻断,可广泛用于HW行动中。
一、应用场景
自动HVV:自动对攻击源进行锁定和拦截,减少红方对蓝方弱点的探测进度,降低蓝方防守的压力。
勒索病毒发现:自动对内网和外网的勒索病毒进行大数据关联发现、高低交互蜜罐的主动监测。
内网渗透事件发现:对内网的跳板主机进行分析,发现和减少失陷主机对整网造成的危害。
二、技术架构
1、整体结构
安全分析引擎:完成威胁检测、异常发现、攻击溯源、态势呈现和联动响应等功能。
智能学习引擎:完成判别模型、预测模型、关联模型和学习进化模型的构建。
网络流量扫描引擎:进行网络流量处理,资产及业务运维、流量及访问关系发现。
入侵检测引擎:进行漏洞利用及僵木蠕等各种病毒性威胁攻击检测。
Web安全检测引擎:进行检测Web攻击、Webshell检测。
全息诱捕引擎:进行诱捕、检测勒索病毒横向扩散、沦陷主机及僵尸主机。
安全威胁往往隐藏在海量数据之中,极元安全溯源系统基于海量进行多维数据的深度挖掘与关联分析并以线索链的方式呈现出来,让用户能够发现安全威胁以及来自于何处,从而迅速的对威胁进行预判及防护。针对攻击全过程对攻击者留下的任意线索进行多维关联合并,绘制出完整的可视化攻击链条。
基于ATT&CK攻击杀伤链的事件分析:
2、全息诱捕
通过在网络中部署大量的恶意感知逻辑单元,首先通过IP扩张压缩恶意非法接入空间,拒绝违规内联。然后通过感知单元进行诱捕网内的恶意行为,如勒索病毒感染、内网扫描等等,当感知到恶意行为后,逻辑单元立即联动宿主设备对恶意来源进行阻断并封锁所有端口并告警,避免攻击主机去攻击其它真实主机,从而抵御黑客或者勒索病毒的攻击。
3、主动拦截
可自动将恶意来源加入黑名单进行封堵,自动保护网络,大大节省了人工介入分析的工作量。
1、配合极元可信防御系统(Oxtrea SwitchWall),可以对安全问题来源进行单点拦截与阻断,保证业务连续性。
2、支持与第三方防火墙联动实现“一键断网”功能。
3、 支持黑洞路由的方式旁路阻断恶意来源。
4、大屏展示
可提供安全总览、外部世界、外部世界3D、内部攻击等多个维度的可视化安全大屏展示。
四、阻断方式
1、互联网出口阻断
效果:1) 阻挡外部到内部的攻击
2、数据中心出口阻断
效果:
1) 阻挡外部到数据中心的攻击
2) 阻挡办公网络到数据中心的攻击
3、分布式阻断
效果:
1) 阻挡外部内部的攻击
2) 阻挡内部到内部的攻击
3) 阻挡办公网络到数据中心的攻击
五、部署方式
物理部署方式
虚拟化部署方式