内网威胁情报中心

内网威胁情报中心，突破了传统被动防御的安全理念，采用应用服务伪装技术，有效解决了现有安全产品误报率搞，无法准确发现内网攻击行为等问题。结合日志审计、流量审计等产品，可为内网多源日志的关系分析提供高可信情报信息，有效提升APT攻击和横向移动攻击的识别准确率。同时本系统还可以准确定位内网蠕虫病毒传播源IP地址，协助管理人员快速定位内网勒索病毒、挖矿病毒主机。

安全现状

席卷全球的勒索病毒（中文译名：永恒之蓝)在全球范围大爆发，部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。相比勒索病毒，门罗币挖矿病毒更加隐秘，该病毒会造成中毒设备显卡满载，远程为黑客挖矿。卡巴斯其下实验室数据显示，从2015年到2017年间，利用电脑病毒、蠕虫等手段控制电脑挖矿的攻击增加了近1.5倍。

同时高级持续性威胁(APT攻击)，也在不断的威胁着企业的核心数据安全。APT攻击是针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。现有安全防护技术很难发现APT攻击、内网横向攻击行为。

解决方案

针对以上问题，企业的网络安全防护思维要有所转变，企业网络安全不仅要有优秀的防御能力，更要有快速的安全应急响应能力。面对边界网络安全设备不能保证100%网络安全的现状，能大幅提高企业的安全应急响应能力产品越来越重要。

钛安内网威胁情报中心是国内首款应用伪装欺骗技术检测蠕虫病毒、APT攻击的产品，采用应用服务伪装技术，在用户的内网中部署与真实资产相似的节点来欺骗攻击者，不仅能够快速定位到内网中的威胁行为和蠕虫病毒传播源，还能迷惑攻击者，为企业的安全应急响应争取更多的时间。

在通过内网威胁情报中心获取内网威胁情报信息的同时，钛安日志大数据分析系统全面采集现网安全设备（IDS、防病毒、上网行为管理、桌面终端管理）日志信息，网络流量数据。运用关联分析、数据建模、机器学习等技术手段，进行大数据分析。并通过可视化技术进行多样化的展现，使用户可以在一个统一的平台上，全方位实时感知内网安全态势，检测安全威胁和异常行为，快速响应和处置安全事件，实现安全管理的智能化。

主要功能

本系统包括两个部分：诱捕节点和情报中心。

1. 诱捕节点

诱捕节点基于入侵欺骗技术，通过系统服务高仿真技术，在企业内网重要网段分布式部署，发现内网攻击行为和异常操作行为。诱捕节点可将收集到的攻击日志信息发送给情报中心模块，经过分析后，可为内网多源日志的关联分析提供高可信情报信息。有效提升APT攻击和横向移动攻击的识别准确率，并能及时发现内网蠕虫病毒的传播。

不同诱捕程序封装在各自的docker容器中，确保了良好的安全隔离环境并且更容易更新。诱捕节点提供以下类型的虚拟服务功能：

高交互SSH服务：可记录暴力攻击账号密码，并提供伪造的文件系统环境记录黑客操作行为, 包括wget/curl下载的文件，或是SFTP、SCP上传文件。

高交互Web应用：可模拟用户真实网站或web漏洞，针对自动化漏洞扫描/利用工具，返回对应的合理结果。

常见服务模拟：可模拟常见服务，包括数据库、SMB服务、SIP协议等，当有外来连接时，模拟正常服务给予反馈，同时记录下出入网络数据流。

ES应用模拟：模拟elastcisearch RCE漏洞，通过伪造函数在/,/_search, /_nodes的请求上回应脆弱ES实例的JSON格式消息。

诱捕节点为1U标准硬件设备，采用旁路部署方式，诱捕节点有5个工作接口，可分别部署在5个网段内。也可以为每个接口配置多IP地址，通过trunk方式接入更多网段内。

2. 情报中心

情报中心采用软件形式，在完成首次部署后，即可进入工作状态，无需人工介入。情报中心支持对诱捕节点进行集中管理。情报中心通过诱捕节点反馈的大量日志信息，为用户故障定位、攻击分析提供精准的情报信息。同时可以情报中心为核心，全面采集现网安全设备（IDS、防病毒、上网行为管理、桌面终端管理）日志信息和终端网络流数据，运用关联分析、数据建模、机器学习等技术手段，进行大数据分析。并通过可视化技术进行多样化的展现，使用户可以在一个统一的平台上，全方位实时感知内网安全态势，检测安全威胁和异常行为，快速响应和处置安全事件，实现安全管理的智能化。