奇安信天眼新一代威胁感知系统 产品白皮书 更新时间：2020 年 9 月 27 日 地址：北京市西城区西直门外南路26号（奇安信安全中心） 邮编：100044 产品白皮书 © 奇安信集团 第 1 页，共 19 页  版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明， 版权均为奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京） 股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机 构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。 修订记录 版本 状态 修订理由和内容摘要 修订人 批准人 修订日期 状态：C-创建，A-增加，M-修改，D-删除 产品白皮书 © 奇安信集团 第 2 页，共 19 页 目 录 1. 引言 ........................................................................................................ 4 2. 产品概述 ................................................................................................. 8 3. 产品组成与架构 ...................................................................................... 9 3.1. 威胁情报 ........................................................................................... 9 3.2. 分析平台 ......................................................................................... 10 3.3. 流量传感器 ........................................................................................ 10 3.4. 文件威胁鉴定器 .............................................................................. 11 3.5. 其他周边组件 .................................................................................. 11 4. 产品优势与特点 .................................................................................... 12 5. 产品价值 ............................................................................................... 15 6. 典型部署 ............................................................................................... 16 6.1. 高级威胁检测及回溯方案 ................................................................ 16 6.1.1. 部署拓扑图 .................................................................................. 16 6.1.2. 高级威胁检测及回溯方案说明...................................................... 16 6.2. 本地威胁发现方案........................................................................... 17 6.2.1. 部署拓扑图 .................................................................................. 17 6.2.2. 本地威胁发现方案说明 ................................................................ 17 6.3. 文件威胁检测方案........................................................................... 18 6.3.1. 部署拓扑图 .................................................................................. 18 6.3.2. 文件威胁检测方案说明 ................................................................ 18 产品白皮书 © 奇安信集团 第 3 页，共 19 页 1. 引言 近年来，具备国家和组织背景的 APT 攻击日益增多，例如：2010 年攻击伊朗核电站的 “震网病毒” 、针对 Google 邮件服务器的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等，2014 年 APT 攻击的主要目标行业是金融和政府，分别高达 84% 和 77%。 2020 年初，奇安信威胁情报中心发布了《中国高级持续性威胁（APT）2019 年报告》。 报告中指出： （1）2019 年中， APT 组织最为关注的机构类型是政府（包括外交、政党、选举相 关）和军事（包括军事、军工、国防相关）依然是 APT 威胁的主要目标，能源（包括石 油、天然气、电力、民用核工业等） 、通信行业也是 APT 攻击的重点威胁对象。 由于更加组织化的网络犯罪团伙的活跃活动，导致金融（包括银行、证券、数字货币 等）和零售（电子商务、餐饮等）行业所面临的高级威胁现象越发严峻。 图 1 全球 APT 组织关注领域分布 （2）高级威胁活动涉及目标的国家和地域分布情况统计如下图，可以看到高级威胁攻 击活动几乎覆盖了全球绝大部分国家和区域。 产品白皮书 © 奇安信集团 第 4 页，共 19 页 图 2 全球 APT 组织地域分布 （2）奇安信公司累计监测到针对中国境内目标发动攻击的境内外 APT 组织 38 个，通 过研究报告等形式，对外披露了包括海莲花（越南） 、 美人鱼（中东）、摩诃草（印度） 、 蔓灵花（印度） 、黄金眼（国内）等多个由 奇安信 命名的 APT 组织 。并将数十万高精准 失陷类情报不断应用到产品的检测能力中。 2012 年 4 月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、 航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织 主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目 产品白皮书 © 奇安信集团 第 5 页，共 19 页 标人群传播免杀木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取 系统中相关领域的机密资料。根据该组织的某些攻击特点，奇安信公司将其命名为 OceanLotus（海莲花） 。在 2017 年的监测中，海莲花仍处于活跃状态，同时在不断的更新 攻击手法。 传统安全防御体系的设备和产品遍布网络 2 ~ 7 层的数据分析。其中，与 APT 攻击相 关的 7 层设备主要是 IDS、IPS、审计，而负责 7 层检测 IDS、IPS 采用经典的 CIDF 检测模 型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观 APT 攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在 这种情况下，依靠已知特征、已知行为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻 击行为模式的情况下，理论上就已无法检测 APT 攻击。 APT 攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。 传统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。但 依靠这种分析方式，传统安全设备通常都无法对 APT 攻击的各个阶段进行有效的检测，也 就无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如 果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存 储空间，组织通常没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结 构化数据、非结构化数据，涵盖了视频、图片、文本等等多种格式，无法直接进行格式化 检索，安全人员也就无法从海量的数据中找到有价值的信息。 在安全形势不断恶化的今天，政府、军队、金融、大型企业等客户所处的特殊位置， 经常会面临来自互联网的攻击威胁，如何在攻防实战中充分发挥安全防御的价值，越来越 成为安全人员所关注的重点；实战化攻防场景在安全体系如何搭建，实战化攻防经验在 HW 过程中如何传递，实战化攻防场景中红队常用哪些攻击战术和攻击手段，蓝队应对攻击常 用的战术战略，如何在攻防实战或演习中提升自身的安全能力…… 安全的对抗是动态的过程，业务在发展，网络在变化，技术在革新，人员在更替，网 络安全绝不是一劳永逸的工作，虽然企业的安全管理人员已经在网络中的各个位置部署了 大量的安全设备，但仍然会有部分威胁绕过所有防护直达企业内部，对重要数据资产造成 泄漏、损坏或篡改等严重损失。在实战攻防对抗中，监测分析是返现攻击行为的主要方 式，在第一时间发现攻击行为，可为应对提供及时支撑、为响应处置争取充足时间，因此 企业需要在其网络中部署威胁感知产品，及时发现潜藏在其网络中的安全威胁，对威胁的 产品白皮书 © 奇安信集团 第 6 页，共 19 页 恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击 者背景的研判与溯源，从源头上解决企业网络中的安全问题，尽可能地减少安全威胁对企 业带来的损失。 产品白皮