威努特高级威胁检测系统NTA_网络异常行为检测系统

威努特高级威胁检测系统NTA

威努特高级威胁检测系统NTA，全流量高级威胁检测系统业务处理流程，基于大数据+人工智能+安全的数据分析收敛降噪。AI驱动的高级威胁检测分析，建立卷积神经元网络CNN模型，并设置网络结构参数和训练参数。利用检测模型对恶意代码及其变种进行家族检测。

立即咨询

威胁发展趋势：高级持续性威胁（APT）越来越多 icon

APT典型特征及攻击过程 icon

传统安全面临的挑战

未知威胁层出不穷
零日漏洞公开叫卖，高级逃逸躲避手段日新月异，传统基于签名的检测技术对未知威胁失效

APT挑战安全极限
手段组合，长期潜伏，迂回渗透，无孔不入，对整个安全体系构成全面、长期、艰巨的挑战

日志分析信息有限
日志采集不全，大量的日志采集不上来，日志信息有限，缺少原始数据，回溯取证困难

特征检测对未知威胁失效 icon

APT检测相关产品与技术 icon

基于全流量的高级威胁检测系统（AAD） icon

构建针对攻击链的交叉检测交叉验证体系 icon

全流量高级威胁检测系统业务处理流程 icon

基于大数据+人工智能+安全的数据分析收敛降噪 icon

核心技术：AI驱动的高级威胁检测分析 icon

人工智能在网络安全领域的应用成果 icon

CNN深度学习模型基因图谱检测：恶意代码变种 icon

检测方法

训练数据获取：将恶意代码映射为灰度图像，并提取其灰度图像特征

聚类：利用恶意代码灰度图像特征进行聚类，并将聚类结果进行恶意代码家族标注

建模：建立卷积神经元网络CNN模型，并设置网络结构参数和训练参数

训练：利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型

检测：利用检测模型对恶意代码及其变种进行家族检测

恶意代码映射为基因图谱 icon

流量会话映射成基因图谱 icon

恶意代码变种基因图谱检测实例 icon

发现被检测代码同已知恶意代码家族的基因有非常高的相似度，判定其是相应恶意代码家族变种。

机器学习模型检测：恶意代码加密通讯 icon

检测模型建立方法

训练数据获取：将聚类后的恶意代码家族的海量样本送入沙箱进行加密网络会话基因特征提取，提取会话前50数据包中的特征向量

建模：建立机器学习模型，设置网络结构参数和训练参数

训练：利用网络会话基因特征数据集进行训练，建立恶意代码加密通讯检测模型

检测：在现网中，高级威胁检测系统获取实时网络会话基因特征，使用检测模型对网络流量进行恶意代码加密通讯检测

基于模式识别的恶意加密流量检测 icon

恶意加密流量：受控主机：首先，利用DGA技术和Fast-Flux技术有效的隐藏控制端的域名和IP地址；然后，将恶意加密流量混合在合法加密流量和明文流量中进行通信，包括C&C通信（执行报活、获取攻击指令、执行攻击指令等）、信息泄露；控制端：解密成明文流量，对获取到的数据进行处理、转发等；

集成学习DNS隐蔽隧道检测 icon

检测模型建立方法

训练数据获取：建立DNS隧道流量捕获环境，分别使用不同的DNS隧道工具进行DNS隧道数据传输，包括但不局限于DeNiSe、dns2tcp、DNScapy、DNScat-P、DNScat-B、Heyoka、iodine、NSTX、TUNS、恶意代码使用的DNS隐秘隧道等等。放在我们的环境中，让他生成真正的隧道流量同时，在实验环境下，通过白名单获取合法DNS数据；建模：分别建立多个AI学习模型，设置模型结构参数和训练参数；训练：利用基于窗口的DNS隐蔽隧道特征向量数据集进行训练，建立多个DNS隐蔽隧道检测模型；检测：在现网中，高级威胁检测系统获取DNS隐蔽隧道特征向量，使用复合金字塔模型对网络流量进行DNS隐蔽隧道通讯检测。

隐蔽隧道问题

ICMP隐蔽隧道

受控主机：将要访问的内容编码后填充到 ICMP Echo Request的数据包，通过TCP/UDP协议转发访问的内容到控制端；控制端：控制端接收数据并解码，同时将回复数据填充到 ICMP Echo Reply的数据包中返回给受控主机；

HTTP隐蔽隧道

受控主机：受控主机先发送请求到HTTP Tunnel客户端，请求和控制端建立TCP连接。 HTTP Tunnel客户端通过HTTP隐蔽隧道与HTTP Tunnel服务端建立TCP连接；控制端： HTTP Tunnel服务端返回 HTTP 200 Connection Established 报文，隐蔽隧道连接成功建立；通信：长连接建立之后，受控主机和控制端的通信都是通过TCP进行传输，HTTP隐蔽隧道建立成功。

基于步态指纹和机器学习模型检测：Tor暗网流量 icon

检测模型建立方法

训练数据获取：建立Tor流量捕获环境，分别使用不同的应用进行数据传输，包括但不局限于浏览器、邮件、聊天工具、视频流、音频流、文件传输、P2P、VoIP等。同时，在非Tor环境下进行同类应用的数据传输；分别提取步态指纹特征数据集；建模：建立时序深度学习模型，设置网络结构参数和训练参数；训练：利用步态指纹特征数据集进行训练，建立暗网检测模型；检测：在现网中，高级威胁检测系统获取实时步态指纹特征，使用暗网检测模型对网络流量进行暗网通讯检测。

深度学习模型检测DGA域名僵尸主机 icon