山石网科 高对抗攻防下，不可忽视的内网安全—四川 成都 IT解决方案商

 

在网络攻防的大背景下，通俗的网络安防思想往往局限于网关级、边界级，如NGFW、AV、IDPS等，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的主机安全威胁却是众多安全管理人员所普遍反映的问题。

为保护内网安全，部分单位将内网与外网物理隔离，或将内部通过统一网关接入外网，并在网关处架设防火墙、IDPS等安全设备。尽管上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生，这就充分说明了在攻防对抗中内网安全防护的复杂性及重要性。

图片

主流技术

高对抗的攻防，有利于将被动防御机制演进为主动防御。保障内网安全，无疑是攻防对抗的关键举措。新网络安全时代，需要纵深部署、攻防对抗的思路。通过具备行为分析和快速响应的智能化技术，在第一时间发现内网失陷主机并清除威胁，是内网安全的核心要义。内网防护应更针对用户以及实体的行为进行分析，聚焦内部异常从而发现并消除大量高危风险，核心技术可以定位在基于流量解析、数据建模、模型匹配的机器学习维度以及高精度威胁判定视角。

机器学习与数据建模
图片

一方面对内网互访流量解析，同时建立数据行为模型，对个体行为从多个维度在时间序列和地点域进行分析，不仅仅分析个体，还要对群组行为分析，基于行为刻画和关联分析的数据，建立群组基线和个体基线；借助平均值、方差、相似度等，对个体和群组行为对比，识别出偏离正常基线的行为。

基于流量解析、数据建模以及模型匹配的结果通过机器学习对内网主机行为进行威胁判定，对正常流量学习，并进行基线调优。同时，对恶意流量样本进行预定义的反馈输入。比如在实验室环境中，工程师将百万级恶意软件行为解剖分析，拆成恶意外联、PE文件下载等几十种恶意行为分类，定为不同的行为族，再动态建立相对应行为模型。至此，内网中的失陷主机因为感染恶意软件，所爆发的行为特征，均可以被捕获到。

精准威胁判定
图片

基于静态特征可以高效的对定性威胁做检测，基于模型学习可以快速对异构威胁做研判，除以上方式外，我们发现结合情报信息可以更大程度提升威胁判定的精准性。

图片

如上图所示，圆心表示基于威胁情报收集并加工处理的已知恶意行为(预定义的负反馈)，越接近圆心的点，就说明恶意程度越高。多种行为族的划分用以确定不同的安全风险和危害等级。这样，通过对流量与行为模型的匹配，就能够实现精准的威胁判定。

图片

实际效果

山石智·感—智能内网威胁感知系统，聚焦于内网风险态势感知，致力于核心业务安全。

山石智·感重点监控核心资产服务器，检测发现已知及未知网络威胁，精准定位风险服务器和风险主机，完整的攻击链行为还原，使得内网安全可发现、可管理、可追溯、可信任。

图片

全局内网风险动态实时监控，透视内网主机及服务器的业务应用和互联流量，可视化管理内网全局威胁影响及互访关系；发现高度可确信的已知及未知网络攻击及网络行为异常，精准定位失陷主机、跳板主机、风险服务器。

 

通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表，全面掌握内网风险态势，为内网风险的判定、处置和预测提供信息支撑；弥补传统边界网络安全建设的漏洞，联动边界安全设备，形成边界+内网的整体网络安全解决方案。

安全产品设备实用内容大集锦，联动云安全产品、边界安全产品、安全运营产品、数据安全产品操作指南一起看，更高效！全方位、更清晰的产品实用讲解持续在路上，敬请期待！

图片

小身材 大能量丨山石网科A系列iNGFW 安全防护中的四两拨千斤
山石岩读丨兵马未动粮草先行 资产梳理是安全运营的第一要务
云原生丨我是山石云铠，这是我的攻击防护故事
山石岩读丨攻防对抗为什么离不开“可持续安全运营” ？
前沿安全论丨ATT&CK框架下，看攻击趋势的变化

图片

山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

山石网科为金融、政府、运营商、互联网、教育、医疗卫生等行业累计超过20,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心，业务已经覆盖了中国、美洲、欧洲、东南亚、中东等50多个国家和地区。