睿眼Web攻击检测及溯源技术交流资料北京中睿天下信息技术有限公司2015年6月目 录一、技术优势 (3)二、产品介绍 (5)1、产品描述 (5)2、技术创新 (5)3、系统架构 (5)4、工作流程 (6)5、智能分析引擎 (7)6、大数据溯源基础 (9)三、产品特点 (11)四、工作原理 (12)1、检测攻击威胁 (12)2、还原攻击过程 (12)3、攻击溯源 (13)4、弱点分析 (13)五、关键技术 (14)1、以攻击模型为基础的检测技术 (14)2、基于大数据引擎的攻击者溯源技术 (14)3、大数据联动技术 (14)六、功能模块 (15)1、睿眼前端展示中心 (15)2、睿眼攻击溯源联动中心处理设备 (16)七、典型部署 (18)1、核心交换单机旁路部署 (18)八、应用领域 (19)一、技术优势1、业界目前使用的IDS、IPS、WAF主要依靠本地检测引擎进行分析，没有云端检测引擎，也没有大数据分析；主要通过定时检测规则库更新来升级本地规则库。

IDS、IPS、WAF只能通过匹配规则库特征码来进行检测防御，且只能检测出攻击的类型，没办法进行深度的溯源分析。

IDS、IPS、WAF本地特征库检测范围有限很容易被攻击者绕过，无法检测出真正的攻击，导致重要数据丢失，更严重可能导致系统瘫痪，造成严重的后果。

2、睿眼检测威胁除了本地规则库以外，最主要的是依靠十几个云端引擎和云端大数据对攻击者进行智能检测分析，攻击者很难绕过；并且可以分析出攻击者的攻击目的、所采用的攻击工具、攻击者的背景甚至身份。

3、睿眼云端威胁联动平台配合本地规则库，关联攻击者在互联网上其他的攻击行为。

深度预处理，高达2亿个域名进行预处理分析，打造即时的基于域名与IP的新型查杀技术；规则库更齐全不容易被绕过。

4、睿眼可根据事件的推动机制，精准的攻击者攻击事件定性，准确的攻击成功与失败判断，告别传统的大量无效的攻击分析，大大提高误报率。

5、态势可视化，还原攻击者的攻击流程，清晰的展示出攻击者是如何一步步进行攻击的，通过总流程可能会分析出ODAY攻击。

也可通过互联网地图，时时捕获全球互联网态势。

6、事件关联性，通过把一个单独的攻击事件尽可能的关联出其曾经是否在互联网上有过其它的攻击行为，能为分析攻击者提供更多的详细资料。

7、弱点报告生成，根据攻击者的攻击轨迹，生成系统存在的漏洞报告，及时修复漏洞，防止受到二次攻击，二次损害。

8、睿眼只是旁路部署，不会影响到任何业务，并且程序支持大流量分析，所有架构均采用大数据时代的标准。

二、产品介绍1、产品描述睿眼Web攻击溯源联动中心是以检测攻击威胁，还原攻击过程、攻击溯源、弱点分析集一身的新一代网络安全产品。

本解决方案具有更强的检测能力以及最大亮点是攻击溯源。

主要解决以下四个问题：是否遭受到攻击？攻击者如何攻击的？谁在攻击？弱点报告，免遭二次攻击。

2、技术创新基于攻击模型的威胁深度检测；基于云端大数据的联动态势感知；对攻击过程的完整还原；对攻击者进行目的、背景、身份进行深度分析溯源；3、系统架构睿眼攻击溯源联动中心主要采用B/C/S架构，实现对web服务器的可疑数据的监控、分析、识别、预警。

系统架构如下图所示：睿眼攻击溯源联动中心网关设备通过在网络出口、核心交换设备上对流出和流进的网络通信数据进行实时监控，发现网络中攻击行为，并及时进行预警，保障用户网络的安全，防止木马后门窃取重要资料等行为。

如果检测到攻击行为，则会对攻击者的所有攻击过程进行可视化还原，清晰的展示出攻击者如何一步一步对目标进行攻击的。

借助溯源中心和联动中心，对攻击者进行详细分析，分析出攻击者的目的、背景、身份。

根据攻击者攻击成功的流程，最后生成弱点分析报告，提供给管理员，及时修复这些漏洞，防止二次攻击。

4、工作流程该系统通过对所有入口网络包进行深度分析，经过大数据威胁检测中心（包含多个本地分析引擎以及云端分析引擎）进行威胁检测，通过溯源中心（云端引擎）分析攻击者目的、背景、身份。

最后生成弱点分析报告，提出解决方案。

工作流程如下图所示：5、智能分析引擎该系统借助18个分析引擎对网络威胁全方位深度分析，联动全球互联网安全厂商的检测体系，联动云端态势感知威胁引擎，智能感知攻击行为。

示意图如下：部分引擎介绍：（1）基础信息分析引擎，通过该引擎智能化分析大量互联网真实存在的信息，有助于还原攻击者的身份信息。

（2）规则包处理引擎，主要针对web攻击类，检测各种web威胁，比如独有的双向检测机制，检测web后门成功率100%。

（3）全球域名分析引擎，该引擎是实时监控记录全球所有域名信息，包括其解析记录，对应的IP开放端口记录，注册信息记录，通过大量数据的收集并深度挖掘能对恶意域名提前判断功能，当攻击还未进行，系统已经预知了其下一步的攻击行动和攻击者的一些资料信息。

（4）恶意ip分析引擎，包含两部分，第一部分已知恶意IP库，通过各种方法收集的全球恶意IP记录达到千万条，并且库中记录了该IP曾经的恶意行为和攻击事件，该库也在持续更新中；第二部分是通过引擎智能化分析规则，对全球IP进行可疑分析。

（5）互联网地图引擎，该引擎包含两部分，包括全球IP和详细地理位置对应信息库，绘出全球真实的互联网地图。

（6）程序指纹分析引擎，该引擎主要应用于识别黑客工具类软件，该程序指纹不是用来识别程序本身，而是程序产生的数据包等特征，比如扫描程序，产生扫描的数据包，通过对数据包的模糊算法识别分析出对应的工具。

所以当拦截到数据包就能分析出对应的软件。

在web服务器遭受攻击时，通过该引擎能自动识别攻击者使用的黑客工具，有助于判断黑客的身份。

（7）黑客手法分析引擎，该引擎能根据收集的大量黑客攻击手法进行深度分析，不仅能分辨出黑客的水平，甚至能根据黑客的攻击手法确定黑客的身份和组织。

（8）黑客身份定位引擎，该引擎实时收集全球大量黑客个人和组织信息，以及对应的攻击事件，当检测到攻击时，联动其他引擎，包括程序指纹分析引擎、黑客手法分析引擎等，能自动识别是否为对应的攻击者，如果未识别，也会自动收集该攻击行为的指纹和手法，下次遇到同样攻击行为指纹和手法也能识别。

（9）沙箱引擎，分为脚本沙箱引擎和程序沙箱引擎，对脚本类和程序类后门都能做智能行为判断。

（10）联动引擎，通过智能算法联动所有引擎以及互联网上所有可能用到的资源，对攻击行为进行全面溯源。

比如联动云引擎可以根据攻击者的IP，指纹以及攻击手法能关联出攻击者曾经在其他地方的攻击历史，联动其他互联网安全厂商资源可以关联出攻击者曾在互联网上的其他攻击行为。

6、大数据溯源基础对攻击者进行溯源，必须以大数据做支撑。

以下为该系统需要的部分基础数据。

（1）拥有全球IPV4信息知识库，包括该IP对应的国家地区、对应的操作系统详情、浏览器信息、电话、域名等等。

并对全球IP地址实时监控，通过开放的端口、协议以及其历史记录，作为数据模型进行预处理。

（2）拥有全球虚拟空间商的IP地址库，如果访问者属于该范围内，则初步可以判定为跳板IP。

（3）拥有全球域名库，包括两亿多个域名的详细信息，并且实时监控域名动向，包括域名对应的IP地址和端口变化情况，打造即时的基于域名与IP的新型判断技术，通过该方式可以初步判断是否为C&C服务器、黑客跳板服务器。

（4）拥有黑客互联网信息库，全球部署了几千台蜜罐系统，实时收集互联网上全球黑客动向。

（5）独有的黑客IP库，对黑客经常登录的网站进行监控、对全球的恶意IP实时获取。

（6）黑客工具指纹库，收集了所有公开的（部分私有的）黑客工具指纹，当攻击者对网站进行攻击时，可以根据使用的黑客工具对黑客的地区、组织做初步判断。

（7）黑客攻击手法库，收集了大量黑客攻击手法，以此来定位对应的黑客或组织。

（8）其他互联网安全厂商资源，该系统会充分利用互联网各种资源，比如联动50余款杀毒软件，共同检测服务器木马程序。

（9）永久记录黑客攻击的所有日志，为攻击取证溯源提供详细依据。

三、产品特点1. 智能检测，对 web 攻击行为进行精准检测，智能捕捉 0day 攻击；2. 智能态势感知，自学习功能，自更新式威胁分析；3. 云端威胁联动平台，关联攻击者在互联网上其他的攻击行为；4. 深度预处理，高达 2 亿个域名进行预处理分析，打造即时的基于域名与 IP的新型查杀技术；5. 事件推动机制，准确的攻击成功与失败判断，告别传统的大量无效攻击分析；6. 态势可视化，通过世界互联网地图，时时捕获全球互联网态势；7. 事件溯源分析系统，让攻击者无处藏匿；8. 弱点报告生成，根据攻击者的攻击轨迹，生成系统存在漏洞的报告。

及时修复漏洞，防止二次攻击。

四、工作原理1、检测攻击威胁睿眼攻击溯源联动中心通过分析服务器入口的网络数据包，提取数据包中的各种信息进行深度分析。

（1）基于规则库的深度检测把攻击者所有可能的方法进行总结，采用广谱加智匹配算法相结合，增加检测率的同时降低了误报，采用流量包双向检测技术，自动识别攻击是否成功。

（2）基于攻击模型的深度检测传统的攻击检测技术往采用特征码匹配， 攻击者经过深入研究总能绕过，而该系统通过对攻击行为的进数学建模分析，总结了大量攻击模型，攻击者很难绕过检测，比如异常流量模型，文件异常访问模型等。

（3）基于云端联动引擎的态势感知云端联动引擎包含了多个检测，以及互联网其他安全资源进行动，借助互联网大数据对攻击行为进行态势感知，在攻击者还未真正做出攻击的时候已经做出来危险感知。

2、还原攻击过程睿眼攻击溯源联动中心在确定攻击事件后会回溯所有攻击相关的网络数据包，对系统近期的所有行为进行串联，确定攻击事件的整个事件周期，展示整个攻击事件的所有细节。

以时间轴的方式将攻击者的所有攻击动作列举出来。

还原攻击过程以检测威胁为基础，也许攻击者采用多种绕过技术绕过了大部分检测机制，但只要有一个点出现可疑情况，还原引擎会对该ip的所有行为重新回滚，进行二次分析，避免了因为攻击者不连续的攻击而造成漏报。

比如某攻击者第一天对网站仅仅是简单的扫描探测，达不到入侵的标准，所以无法报警，但如果几天后又对网站有进行其他疑似攻击行为，单条行为都不满足攻击的报警条件，传统安全设备则会单独处理不同的安全事件，而该系统则会利用还原引擎对不同时间的攻击行为进行串联，做二次深度分析。

3、攻击溯源睿眼攻击溯源联动中心是以攻击手法作为模型进行检测，这些攻击手法的模型源自于设计者对于攻击行为的熟悉程度，该系统的设计者和开发者都是资深的网络安全专家，对全球的黑客攻击事件有着很深的研究。

他们对于黑客攻击手法了如指掌，对黑客的攻击思路一清二楚，只要进行网络攻击就会通过网络，一定会留下线索，即使刻意隐藏自身，也一定会留下蛛丝马迹。