绿盟公共互联网安全监控解决方案

　　安全挑战

　　网络恶意代码（包括僵尸网络、木马、病毒、蠕虫）给网络系统带来了极大的危害，尤其是僵尸网络、木马和蠕虫。僵尸网络会对通信服务质量产生严重影响，是DDOS攻击发生的主要原因；木马攻击不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为远程操控的工具；早期的蠕虫仅仅是恶意代码的传播手段，但新型的蠕虫（如飞客蠕虫等）已经具备了攻击特征，成为网络系统的安全隐患。

　　工信部2009年即颁发了《木马和僵尸网络监测与处置机制》，2017年又颁发了《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202号），加强网络安全威胁信息共享、监测处置等技术手段建设，不断提高网络安全威胁监测与处置的及时性、准确性和有效性。同时下发了《省级基础电信企业网络与信息安全工作考核要点与评分标准》，明确要求对恶意IP、域名、URL、僵尸网络等恶意网络资源的监控及处置能力，并要求对基础电信企业的出口检测能力覆盖范围、监测的准确性等。

　　方案概述

　　绿盟公共互联网安全监控解决方案，可以在运营商省网出口节点、骨干网出口、IDC机房出口、国际网出口等大流量节点进行严密监控，及时检测危害网络安全的大规模僵尸、木马、蠕虫及移动恶意代码事件，随时掌握公共互联网安全发展趋势，深度挖掘追踪安全事件，有效降低安全事件的频度和损失。

　　绿盟互联网威胁检测系统：基于强大的僵木蠕特征库和信誉库，对网络流量进行实时监测，尽可能发现各种已知事件，分离出可疑事件。

　　绿盟互联网威胁分析系统：集成业界领先的网络行为特征分析引擎，恶意代码自动化静态和动态分析引擎，样本虚拟执行分析引擎，使木马病毒无藏身之地。

　　绿盟安全监控平台：基于大数据技术的安全管理平台，支持层次化部署，可实现对全网的安全管理。

　　绿盟威胁情报中心：拥有42亿全球资产及侦测能力（端口／应用／banner），覆盖IP、Web、漏洞、恶意文件等多个威胁维度，30万+高质量漏洞库，4亿+IP/Web指纹特征库，同时具备丰富的威胁分析模型。

　　特点优势

　　01、威胁情报实时共享

　　IP情报，URL情报，文件情报，实时分发，全网共享。快速提升检测率和响应时间，有效应对各种新型僵木蠕事件。实现了全网“情报共享”，将海量安全威胁情报信息汇集起来，体现出了最大的防护效果和效率。

　　02、威胁分析事件挖掘能力

　　通过收集僵木蠕设备上的会话日志、告警日志等数据信息并结合威胁情报的数据，利用大数据技术，对安全事件进行归并去重、汇总、关联进行操作，实现对安全威胁事件进行深度分析，并追踪溯源到真正的源头。

　　03、恶意样本捕获与提取

　　通过文件还原技术，支持多种格式文件类型的还原如doc／docx、xls／xlsx、ppt／pptx、pdf、rtf、 wpt、pot、wps、pps、mpp、et、dpt、dps、ett、dot等等，经过僵木蠕的的分析检测引擎，实现对恶意样本的还原、检测、保存、上报以及特征分发等能力。

　　04、多种检测技术无缝融合

　　整合了行为特征库检测引擎、流式病毒检测引擎、静态文件分析引擎、动态沙箱检测引擎、绿盟威胁情报等多种技术手段，从已知到未知的威胁检测能力，大大提升了僵木蠕的检测能力，同时也缓解了客户对僵木蠕监测考核的压力。

　　客户价值

　　01、多维度威胁事件分析，深度挖掘追踪安全事件

　　告警日志归并，多维度事件下钻分析，分层次统计展示，为打击僵木蠕源头提供有力武器。

　　02、及时发现恶意样本文件，有效降低安全事件的频度和损失

　　对恶意样本文件进行还原、检测、保存、上报，最后再将特征分发到其他检测设备上进行情报共享，真正实现对安全事件的预警、检测、响应、取证。

　　03、降低网络攻击事件，节约投资，提升客户满意度

　　僵尸网络引发的网络攻击事件，是造成网络带宽拥堵的重要原因之一。打击僵尸网络，可以有效提升主干网络带宽利用率，提升网络租户的服务满意度。

　　04、实时掌握本地僵木蠕事件，宏观把控本地网络安全趋势

　　监控客户重要资产的网络安全，随时掌握本地区僵尸、木马及蠕虫的事件数量和发展趋势，准确获得本地区安全事件第一手信息。

　　05、高效检测僵木蠕事件，防范网络安全隐患，满足监管要求

　　对重要网络出口和网络节点进行严密监控，及时检测危害网络安全的大规模僵尸、木马及蠕虫事件，实现僵木蠕事件的监控、追踪、预警、统计分析以及事件上报。

　　获得荣誉

　　CSA云安全联盟中国分会创始人单位

　　国家信息安全漏洞库（CNNVD）一级技术支撑单位

　　责任编辑：广汉