天眼由四部分组成:传感器(对流量解析还原,发现网络攻击和web攻击能力) 沙箱(发现恶意样本投递能力) 分析平台(存储历史流量,分析威胁和溯源能力) 文件威胁鉴定器(静态检测,动态检测)
四大部分主要功能
传感器(硬件):流量信息采集与还原;应用协议信息还原,文件传输行为及记录,邮件的行为记录,数据库行为记录,入侵检测,web攻击检测
文件威胁鉴定器(硬件):文件静态检测,分析文件行为,虚拟环境动态检测
分析平台(硬件):
威胁感知系统(软件):基于云端的木马发现机制,本地已经遭受入侵的ip展示
回溯搜索(软件):对历史被攻击情况的回溯
威胁情报(服务):APT/定向攻击情报免杀/新型木马情报流行性木马情报
一.天眼流量传感器介绍:
第一步流量采集,将收集到的DNS,FTP,HTTP,SSL,SMB等等进行检测引擎:
1.基于双向会话分析的web入侵检测
2.基于沙箱的webshell上传检测
3.基于规则的网络入侵检测
威胁情报检测
基于人工智能机器自学习的入侵检测nbt引擎
得出来两种检测结果:
产生准确的入侵告警
告警信息存入分析平台,作为攻击取证及快速溯源的数据支撑
二.天眼文件威胁鉴定器
静态检测:
- 云查杀:上传md5到云端,云端返回virus_level,等级从10-80
- 数字签名引擎:检查文件签名信息,返回签名的厂商和签名MD5
- AVE引擎:PE静态引擎
- QEX引擎:非PE静态检测引擎,已知漏洞检测
- AVM引擎:APK移动应用检测引擎
- AQVM引擎:APK机器学习检测引擎
- BD引擎:Bitdefender引擎-可检测PE,非PE
- QVM引擎:机器学习引擎
天眼文件威胁鉴定器一共有六个特点
1.多文件来源:
流量还原
目录提示器(FTP&SMB)
手动提交
APL接口
2.沙箱:支持四套系统(包括win,XP,win7,搭载office 03/07等环境)
3.环境:灵活的流程控制,可基于策略进行样本归档,静态-动态检测流程自定义
4.策略:针对大数据引擎及沙箱评估进行综合打分策略设定,并在此基础上设置处置策略支持威胁情报匹配
5.异常:异常开启,异常关闭,检测沙箱环境等相关行为
6.主机行为:文件,注册表,进程,互斥体,服务等
7.网络行为:外链域名,外链主机等
天眼分析平台:
天擎检测引擎——终端恶意行为
传感器检测引擎——流量中恶意行为
威胁情报—----------------------同上
场景化分析——流量中异常行为
威胁鉴定器检测引擎——文件的异常行为
首先先侦察然后爬虫入侵
远程命令控制接下来横向渗透然后下载导致数据外泄最后痕迹清理消除后门
博主目前对天眼系统了解就这么多如果有什么地方不对还请求同行更正,望武的这篇博客可以给大家帮助!!!
版权归原作者 牧院小码农 所有, 如有侵权,请联系我们删除。