1、/4/12中國(guó)網(wǎng)絡(luò)安全形勢(shì) &趨勢(shì)科技安全處理方案第1頁(yè)關(guān)于趨勢(shì)科技超國(guó)界1988年成立于美國(guó)加州1998年于日本東京證交所上市 入選日經(jīng)225指數(shù)成份股，并連續(xù)5年入選道瓊斯可連續(xù)發(fā)展指數(shù)年, 38個(gè)分企業(yè)遍布全球，員工總數(shù)4,000人全球市值最高防毒軟件企業(yè)美國(guó)哈佛大學(xué)列入MBA 案例可信賴創(chuàng)建第一個(gè)集中防病毒處理方案，適合用于網(wǎng)關(guān)、電子郵件系統(tǒng)和文件服務(wù)器擁有五項(xiàng)國(guó)際主要專利首創(chuàng)病毒暴發(fā)預(yù)防設(shè)備N(xiāo)VW，可保護(hù)多個(gè)網(wǎng)段和服務(wù)器推出原廠教授服務(wù)EOG，1200名安全教授提供全天候支持率先推出云安全技術(shù)，在Web威脅抵達(dá)之前將其攔截獲認(rèn)可30%全球財(cái)富500強(qiáng)企業(yè)，超出50%中國(guó)百?gòu)?qiáng)企業(yè)、 8

2、0%華爾街金融用戶共同選擇承接奧運(yùn)保障網(wǎng)絡(luò)安全防護(hù)項(xiàng)目在全球，Dell和Hotmail是趨勢(shì)長(zhǎng)久合作搭檔；在中國(guó)，金融業(yè)（財(cái)政部、工行等）、制造業(yè)（一汽大眾、聯(lián)想、金士頓等）、航空業(yè)（東方航空等）等都應(yīng)用趨勢(shì)最新產(chǎn)品第2頁(yè)目錄技術(shù)及互聯(lián)網(wǎng)環(huán)境現(xiàn)實(shí)狀況網(wǎng)絡(luò)安全挑戰(zhàn)給用戶提議趨勢(shì)科技云安全處理方案Classification 9/7/20223第3頁(yè)目錄技術(shù)及互聯(lián)網(wǎng)環(huán)境現(xiàn)實(shí)狀況網(wǎng)絡(luò)安全挑戰(zhàn)給用戶提議趨勢(shì)科技云安全處理方案Classification 9/7/20224第4頁(yè)回顧趨勢(shì)科技安全教授在初對(duì)當(dāng)年做出了以下預(yù)測(cè)，經(jīng)過(guò)實(shí)際檢驗(yàn)，這些預(yù)測(cè)都是準(zhǔn)確社交網(wǎng)站將繼續(xù)成為威脅攻擊重點(diǎn)社會(huì)工程學(xué)將變得愈加

3、流行，行騙伎倆繼續(xù)翻新不一樣于全球經(jīng)濟(jì)低迷，黑色產(chǎn)業(yè)鏈將繼續(xù)擴(kuò)張Classification 9/7/20225第5頁(yè)中國(guó)互聯(lián)網(wǎng)繼續(xù)快速發(fā)展截至年底，中國(guó)網(wǎng)民規(guī)模到達(dá)3.84億人，上網(wǎng)普及率到達(dá)28.9%。網(wǎng)民規(guī)模連續(xù)擴(kuò)大，互聯(lián)網(wǎng)普及率平穩(wěn)上升。 Classification 9/7/20226數(shù)據(jù)起源：第25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展情況調(diào)查統(tǒng)計(jì)匯報(bào)，中國(guó)互聯(lián)網(wǎng)信息中心 (CNNIC) 于1月公布第6頁(yè)中國(guó)互聯(lián)網(wǎng)安全形勢(shì)依舊嚴(yán)峻依據(jù)公安部網(wǎng)絡(luò)安全保衛(wèi)局公布第九次全國(guó)信息網(wǎng)絡(luò)安全情況與計(jì)算機(jī)病毒疫情調(diào)查分析匯報(bào)，新增病毒數(shù)量是新增病毒數(shù)量3.2倍，其中木馬程序巨量增加，占病毒總量72.9%Classi

4、fication 9/7/20227數(shù)據(jù)起源：第九次全國(guó)信息網(wǎng)絡(luò)安全情況與計(jì)算機(jī)病毒疫情調(diào)查分析匯報(bào)，公安部網(wǎng)絡(luò)安全保衛(wèi)局于2月公布第7頁(yè)網(wǎng)站被篡改Classification 9/7/20228數(shù)據(jù)起源： CNCERT/CC被黑網(wǎng)頁(yè)統(tǒng)計(jì)匯報(bào)絕大部分被篡改網(wǎng)站是被插入木馬下載鏈接（掛馬），被利用來(lái)傳輸病毒第8頁(yè)DOWNAD病毒情況DOWNAD病毒（又稱Conficker）是整年當(dāng)中感染力最強(qiáng)病毒，也是全球傳輸最廣泛病毒依據(jù)監(jiān)測(cè)，中國(guó)大約有180余萬(wàn)獨(dú)立IP地址感染了該病毒，全球約有700余萬(wàn)獨(dú)立IP地址受到感染Classification 9/7/20229數(shù)據(jù)起源： Shadowserver

5、 Foundation圖片：中國(guó)地域感染DOWNAD病毒IP地址分布圖圖片起源：Conficker Work Group第9頁(yè)網(wǎng)絡(luò)釣魚(yú)依舊呈上升之勢(shì)截止到10月22日，經(jīng)中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟秘書(shū)處認(rèn)定并處理釣魚(yú)網(wǎng)站域名已累計(jì)達(dá)8342個(gè)。騰訊、淘寶網(wǎng)、工商銀行位列網(wǎng)絡(luò)釣魚(yú)對(duì)象前三位，針對(duì)這三大網(wǎng)站網(wǎng)絡(luò)釣魚(yú)占舉報(bào)總量80%以上。Classification 9/7/202210第10頁(yè)互聯(lián)網(wǎng)訪問(wèn)方式多樣化數(shù)字罪犯經(jīng)過(guò)互聯(lián)網(wǎng)竊取主要信息來(lái)?yè)Q取金錢(qián)當(dāng)前，個(gè)人電腦是數(shù)字罪犯主要攻擊目標(biāo)個(gè)人電腦存放主要信息，比如各種帳號(hào)及密碼大部分個(gè)人電腦經(jīng)常連接到互聯(lián)網(wǎng)Classification 9/7/202211

6、第11頁(yè)社交網(wǎng)站社交網(wǎng)站訪問(wèn)者逐步增多，這個(gè)人群成為數(shù)字罪犯新目標(biāo)Facebook已經(jīng)有超出3億用戶開(kāi)心網(wǎng)有超出6千萬(wàn)用戶，而且天天增加20萬(wàn)注冊(cè)用戶正當(dāng)商業(yè)機(jī)構(gòu)也經(jīng)過(guò)社交網(wǎng)站與用戶聯(lián)絡(luò)，并尋找新商機(jī)。這些商業(yè)機(jī)構(gòu)也一樣要面對(duì)數(shù)字罪犯攻擊Classification 9/7/202212第12頁(yè)世界范圍內(nèi)互聯(lián)網(wǎng)滲透越來(lái)越多人使用英語(yǔ)以外語(yǔ)言文字在互聯(lián)網(wǎng)上溝通數(shù)字罪犯也看準(zhǔn)這種趨勢(shì)，開(kāi)始使用當(dāng)?shù)卣Z(yǔ)言文字實(shí)施攻擊，主要有：漢字印度文俄文葡萄牙文Classification 9/7/202213第13頁(yè)漢字域名或成為數(shù)字罪犯下一目標(biāo)中國(guó)互聯(lián)網(wǎng)信息中心（CNNIC）已于11月向互聯(lián)網(wǎng)名字與編號(hào)分配機(jī)構(gòu)

7、（ICANN）遞交了“.中國(guó)”域名國(guó)際申請(qǐng)，預(yù)計(jì)最早將于明年年初實(shí)現(xiàn)“.中國(guó)”全球訪問(wèn)。數(shù)字罪犯可能會(huì)利用漢字拼寫(xiě)相近詞，冒名著名網(wǎng)站，誘使用戶進(jìn)入虛假網(wǎng)站，進(jìn)而使用戶系統(tǒng)感染病毒。Classification 9/7/202214第14頁(yè)目錄技術(shù)及互聯(lián)網(wǎng)環(huán)境現(xiàn)實(shí)狀況網(wǎng)絡(luò)安全挑戰(zhàn)給用戶提議趨勢(shì)科技云安全處理方案Classification 9/7/202215第15頁(yè)黑色產(chǎn)業(yè)鏈日益成熟黑色產(chǎn)業(yè)鏈各個(gè)步驟將愈加完善因?yàn)橥度肷倩貓?bào)多，黑色產(chǎn)業(yè)鏈將會(huì)吸引更多數(shù)字罪犯參加其中黑色產(chǎn)業(yè)鏈中分工顯著愈加細(xì)化，造成攻擊伎倆越來(lái)越多分工包含制作病毒，反偵測(cè)，挖掘漏洞等數(shù)字罪犯攻擊效率將更高為了贏得“同行”之間

8、競(jìng)爭(zhēng)比如BEBLOH木馬，這只木馬不但會(huì)自動(dòng)竊取用戶銀行帳號(hào)及密碼，而且會(huì)自動(dòng)登錄網(wǎng)絡(luò)銀行，將帳號(hào)內(nèi)錢(qián)轉(zhuǎn)賬至數(shù)字罪犯名下Classification 9/7/202216第16頁(yè)僵尸網(wǎng)絡(luò)愈加盈利僵尸網(wǎng)絡(luò)是指那些感染病毒后，聽(tīng)從數(shù)字罪犯指揮計(jì)算機(jī)僵尸網(wǎng)絡(luò)將會(huì)繼續(xù)想盡各種方法，反抗安全企業(yè)檢測(cè)P2P結(jié)構(gòu)僵尸網(wǎng)絡(luò)會(huì)更難對(duì)付基于HTTP方式通信僵尸網(wǎng)絡(luò)能夠輕松穿透防火墻僵尸網(wǎng)絡(luò)盈利方式更多樣化除了將僵尸網(wǎng)絡(luò)控制權(quán)租給他人使用，用來(lái)發(fā)送DDOS攻擊外，“按安裝點(diǎn)付費(fèi)”業(yè)務(wù)模式悄然出現(xiàn)在僵尸網(wǎng)絡(luò)中。這種新業(yè)務(wù)模式是在僵尸機(jī)器上安裝“用戶”指定程序，然后按照安裝數(shù)量向“用戶”收費(fèi)。Classificatio

9、n 9/7/202217第17頁(yè)互聯(lián)網(wǎng)架構(gòu)IPv6作為IPv4替換品，IPv6一直處于試驗(yàn)階段因?yàn)槭褂寐实?，?shù)字罪犯不會(huì)將IPv6作為主要攻擊目標(biāo)國(guó)際化域名有越來(lái)越多當(dāng)?shù)卣Z(yǔ)言文字用作域名，比如漢字域名這也會(huì)給那些數(shù)字罪犯以可乘之機(jī)，他們能夠用類(lèi)似域名來(lái)混同用戶，到達(dá)誘使用戶訪問(wèn)惡意網(wǎng)站目標(biāo)Classification 9/7/202218第18頁(yè)云計(jì)算及虛擬化因?yàn)樵朴?jì)算及虛擬化本身優(yōu)點(diǎn)，以及嚴(yán)峻經(jīng)濟(jì)形勢(shì)，使得越來(lái)越多企業(yè)采取這兩項(xiàng)新技術(shù)分析師預(yù)測(cè)，未來(lái)4年內(nèi)，虛擬化產(chǎn)業(yè)產(chǎn)值可達(dá)70億美元云計(jì)算及虛擬化即使給我們帶來(lái)很多好處，不過(guò)它們安全問(wèn)題也不能忽略有大約95%數(shù)據(jù)中心采取了虛擬化技術(shù)，但有6

10、0%用于生產(chǎn)虛擬機(jī)缺乏安全防護(hù)處于云端數(shù)據(jù)一樣缺乏安全防護(hù)Classification 9/7/202219第19頁(yè)數(shù)據(jù)中心及云計(jì)算云端數(shù)據(jù)未及時(shí)清空可能造成新威脅當(dāng)一個(gè)用戶停頓使用云服務(wù)后，留在云端數(shù)據(jù)沒(méi)有及時(shí)清空，這些數(shù)據(jù)所在空間可能被分配給另一個(gè)新用戶，新用戶就會(huì)訪問(wèn)到殘留數(shù)據(jù)，造成數(shù)據(jù)泄露攻擊數(shù)據(jù)中心數(shù)據(jù)中心用戶所使用系統(tǒng)或網(wǎng)站可能會(huì)被數(shù)字罪犯控制，而數(shù)字罪犯可能會(huì)利用這些系統(tǒng)或網(wǎng)站作為墊腳石，深入攻擊數(shù)據(jù)中心不安全管理系統(tǒng)管理虛擬機(jī)系統(tǒng)控制臺(tái)（ hypervisor ）是很主要，無(wú)疑會(huì)成為數(shù)字罪犯攻擊對(duì)象Classification 9/7/202220第20頁(yè)社交網(wǎng)絡(luò)成為威脅溫床專

11、門(mén)用于建立社交網(wǎng)絡(luò)社交網(wǎng)站在迅猛發(fā)展數(shù)字罪犯也經(jīng)過(guò)各種方式滲透到社交網(wǎng)站用戶信任圈，然后竊取用戶各種信息，或者誘使用戶感染病毒Classification 9/7/202221第21頁(yè)網(wǎng)頁(yè)威脅繼續(xù)危害用戶數(shù)字罪犯將繼續(xù)經(jīng)過(guò)網(wǎng)頁(yè)散播威脅有毒搜索結(jié)果數(shù)字罪犯經(jīng)過(guò)數(shù)據(jù)挖掘以及觀察互聯(lián)網(wǎng)上流行趨勢(shì)，將惡意網(wǎng)頁(yè)鏈接加入到熱門(mén)關(guān)鍵字搜索結(jié)果列表中，比如“杰克遜之死”等。惡意腳本繼續(xù)增多惡意腳本通常是數(shù)字罪犯誘使用戶感染病毒最有效伎倆之一，也是整個(gè)感染過(guò)程起點(diǎn)。Classification 9/7/202222第22頁(yè)23引人注目標(biāo)事件將連續(xù)是黑客利用犯罪工具！第23頁(yè)漏洞漏洞通常是網(wǎng)絡(luò)攻擊及傳輸病毒最有效

12、伎倆之一Windows微軟公布了Windows 7以及64位系統(tǒng)使用率提升，使得這兩個(gè)系統(tǒng)成為數(shù)字罪犯挖掘漏洞重點(diǎn)Apple Mac全球Mac用戶正逐步增加，這部分用戶自然成為數(shù)字罪犯下一個(gè)攻擊目標(biāo)Classification 9/7/202224第24頁(yè)對(duì)安全趨勢(shì)預(yù)測(cè)總結(jié)沒(méi)有全球性病毒暴發(fā)，但區(qū)域性病毒攻擊會(huì)繼續(xù)連續(xù)數(shù)字罪犯最終目標(biāo)依舊是為了取得金錢(qián)僵尸網(wǎng)絡(luò)不會(huì)停頓新惡意攻擊可能會(huì)出現(xiàn)在虛擬化環(huán)境和云環(huán)境病毒會(huì)在更短時(shí)間內(nèi)產(chǎn)生新變種企業(yè)及社交網(wǎng)絡(luò)都會(huì)有數(shù)據(jù)泄露危險(xiǎn)Windows 7會(huì)成為攻擊對(duì)象即使更換瀏覽器以及操作系統(tǒng)，都無(wú)法降低安全風(fēng)險(xiǎn)Classification 9/7/202225第

13、25頁(yè)目錄技術(shù)及互聯(lián)網(wǎng)環(huán)境現(xiàn)實(shí)狀況網(wǎng)絡(luò)安全挑戰(zhàn)給用戶提議趨勢(shì)科技云安全處理方案Classification 9/7/202226第26頁(yè)給企業(yè)用戶提議制訂出用戶權(quán)限及密碼保護(hù)策略制訂定時(shí)掃描病毒機(jī)制，尤其針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)共享制訂出補(bǔ)丁升級(jí)制度，確保各種補(bǔ)丁能夠在短時(shí)間內(nèi)能應(yīng)用到企業(yè)內(nèi)部提防釣魚(yú)網(wǎng)站對(duì)企業(yè)聲譽(yù)損害天天閱讀一些安全博客或新聞（比如TrendLabs Malware Blog），了解當(dāng)前安全形勢(shì)制訂與客戶溝通標(biāo)準(zhǔn)策略，使得用戶很輕易就能識(shí)別出信息是正規(guī)信息，不是釣魚(yú)信息布署基于云技術(shù)安全防護(hù)方案，比如趨勢(shì)科技Web網(wǎng)關(guān)或網(wǎng)絡(luò)內(nèi)部安全監(jiān)控產(chǎn)品Classification 9/7/202

14、227第27頁(yè)目錄技術(shù)及互聯(lián)網(wǎng)環(huán)境現(xiàn)實(shí)狀況網(wǎng)絡(luò)安全挑戰(zhàn)給客戶提議趨勢(shì)科技云安全處理方案Classification 9/7/202228第28頁(yè)Feb A compromised web siteOne click in a link.Fake news by email.TROJ_CHOST.E郵件信譽(yù)評(píng)定中心Web信譽(yù)評(píng)定中心文件信譽(yù)評(píng)定中心趨勢(shì)科技云安全與關(guān)聯(lián)分析技術(shù)云安全1.0第29頁(yè)云安全1.0云安全1.0 Web信譽(yù)技術(shù)1.用戶收到黑客垃圾郵件2.點(diǎn)擊鏈接4.發(fā)送信息/下載病毒W(wǎng)ebWebWebWebWeb對(duì)客戶所訪問(wèn)網(wǎng)頁(yè)進(jìn)行安全評(píng)定 阻止對(duì)高風(fēng)險(xiǎn)以及可疑網(wǎng)頁(yè)訪問(wèn)3.下載惡意軟件云

15、安全1.0第30頁(yè)云安全1.0 IWSA帶給客戶價(jià)值真正三層立體防護(hù)體系過(guò)濾掉80%病毒威脅，大量降低內(nèi)網(wǎng)防護(hù)壓力提升網(wǎng)絡(luò)資源利用率和員工工作效率靈活布署模式（Bridge, Proxy, ICAP, WCCP等）管理簡(jiǎn)單、報(bào)表豐富連續(xù)兩年穩(wěn)居內(nèi)容安全硬件市場(chǎng)首位（IDC）設(shè)備內(nèi)部：實(shí)時(shí)掃描和去除阻止惡意程序侵入網(wǎng)內(nèi)：損害去除服務(wù)自動(dòng)去除中毒節(jié)點(diǎn)網(wǎng)外：Web信譽(yù)評(píng)定(云安全技術(shù))阻止高風(fēng)險(xiǎn)URL訪問(wèn)IWSA第31頁(yè)云安全1.0客戶對(duì)云安全1.0 Web信譽(yù)技術(shù)認(rèn)可108家客戶調(diào)查，94%高滿意度客戶遍布各行各業(yè)，政府、金融、電信、能源IWSA銷(xiāo)售量穩(wěn)步成長(zhǎng) 超出6,700萬(wàn) RMB第32頁(yè)每小

16、時(shí)1800多支新病毒當(dāng)今病毒安全挑戰(zhàn)每小時(shí)誕生新病毒每2秒一支新病毒第33頁(yè)當(dāng)今病毒安全挑戰(zhàn)每小時(shí)新增威脅樣本每七天增加 3MB 病毒碼假如病毒增加速度繼續(xù)加緊.3年后1GB病毒碼？第34頁(yè)發(fā)覺(jué)威脅取得病毒碼病毒碼布署完成傳統(tǒng)防病毒技術(shù)保護(hù)到位需要時(shí)間 （小時(shí)）當(dāng)今病毒安全挑戰(zhàn)傳統(tǒng)病毒碼布署到1000臺(tái)終端所需要時(shí)間超出4小時(shí)第35頁(yè)QueryCloud-Client File Reputation文件信譽(yù)數(shù)據(jù)庫(kù)QuertResultsClient移動(dòng)用戶客戶端移動(dòng)用戶實(shí)時(shí)查詢自動(dòng)更新、實(shí)時(shí)或手動(dòng)更新實(shí)時(shí)查詢“Local Cloud”惡意程序特征Local CloudScan ServerOf

17、ficeScan 10 文件信譽(yù)技術(shù)Query客戶價(jià)值客戶當(dāng)?shù)刂恍枰√卣鲙?kù)無(wú)需更新與分發(fā)永遠(yuǎn)是最新和最全方面防護(hù)第36頁(yè)郵件信譽(yù)評(píng)定中心網(wǎng)頁(yè)信譽(yù)評(píng)定中心文件信譽(yù)評(píng)定中心OfficeScan 10 文件信譽(yù)技術(shù)優(yōu)勢(shì)在云端連續(xù)更新病毒碼零時(shí)差病毒碼更新TROJ_CHOST.E第37頁(yè)OfficeScan 10 文件信譽(yù)技術(shù)優(yōu)勢(shì)Memory Usage Over Time(Conventional vs. Cloud-Client Approach)零增加資源占用第38頁(yè)內(nèi)存使用 (MB) 傳統(tǒng)防病毒技術(shù)云安全客戶端架構(gòu)帶寬消耗 (kb/天) 傳統(tǒng)防病毒技術(shù)云安全客戶端架構(gòu)降低帶寬消耗較低內(nèi)存使

18、用OfficeScan 10 文件信譽(yù)技術(shù)優(yōu)勢(shì)第39頁(yè)企業(yè)網(wǎng)絡(luò)互聯(lián)網(wǎng)當(dāng)?shù)貟呙璺?wù)器 查詢文件署名即時(shí)響應(yīng)文件信譽(yù)在云端進(jìn)行不停實(shí)時(shí)更新查詢文件署名即時(shí)響應(yīng)OfficeScan 10 文件信譽(yù)技術(shù)優(yōu)勢(shì)零時(shí)間防護(hù)布署第40頁(yè)OfficeScan 10 儲(chǔ)存設(shè)備控制OfficeScan 10 設(shè)備控制可阻止U盤(pán)病毒傳輸?shù)?1頁(yè)31.98,118.77第42頁(yè)31.98,118.77定位 趨勢(shì)中國(guó)研發(fā)中心南京第43頁(yè)企業(yè)網(wǎng)絡(luò)病毒是從哪里來(lái)?被企業(yè)控管終端與服務(wù)器攻擊其它終端第44頁(yè)云安全2.0關(guān)鍵- 關(guān)聯(lián)分析技術(shù)在互聯(lián)網(wǎng)世界中，我們每時(shí)每刻都在面對(duì)著各種各樣威脅，比如病毒，木馬，網(wǎng)絡(luò)釣魚(yú)。這種種威脅之

19、間往往都會(huì)有直接或者間接聯(lián)絡(luò)。而關(guān)聯(lián)分析技術(shù)就是利用智能算法和教授分析將每個(gè)威脅事件背后所隱藏全部其它威脅快速挖掘出來(lái)并進(jìn)行分析，從而愈加全方面而快速地防范各種已知或者潛在威脅。 挖掘威脅中關(guān)聯(lián)全部原因，如域名、IP等（直接/間接聯(lián)絡(luò)） 分析和標(biāo)識(shí)有潛在威脅原因 驗(yàn)證和判別 創(chuàng)建處理方法第45頁(yè)云安全 2.0 關(guān)聯(lián)分析網(wǎng)絡(luò)(1/4)惡意URL - 路徑關(guān)聯(lián):/jj/cc.exeTR/Crypt.NSPM.Gen/jj/ff.exeTR/Crypt.NSPM.Gen02:80/jh0619.exeTR/Dropper.Gen02:80/sh0619.exeTR/Agent.12129:80/bu

20、gsy.exeBackDoor.Hupigon3.KIJ:80/is.exeDonloader.Generic4.GSS:80/las63.execlean:80/sooo2.execlean發(fā)覺(jué)新變種發(fā)覺(jué)新病毒生成新特征碼第46頁(yè)云安全 2.0 關(guān)聯(lián)分析網(wǎng)絡(luò) (2/4)惡意URLIP地址brcporb.ru/ngg.js738korfd.ru.ru/ngg.js1338btoperc.ru/ngg.js738grtsel.ru/ 從文件名(ngg.js) 到 IP- 相同域名 vs. 不一樣IP 不一樣域名 vs. 相同IP從已知病毒名稱挖掘出更多惡意URL甄別出更多惡意 IP第47頁(yè)關(guān)聯(lián)分

21、析: 從 文件名 進(jìn)而檢驗(yàn) Whois發(fā)覺(jué)惡意域數(shù)量90發(fā)覺(jué)IP數(shù)量115注冊(cè)郵箱 17(*)* 經(jīng)過(guò) whois獲知注冊(cè)郵箱信息* 將這些關(guān)系進(jìn)行關(guān)聯(lián)分析.云安全 2.0 關(guān)聯(lián)分析網(wǎng)絡(luò) (3/4)已知病毒文件 - 惡意域Whois 惡意域 - 注冊(cè)郵箱已知病毒文件 - 惡意域Whois 惡意域 - 可疑 IP第48頁(yè)MSN 密碼偷竊 24 .等1000多個(gè)域名全部指向24關(guān)聯(lián)分析: 從 監(jiān)控惡意IP 到 監(jiān)控域云安全 2.0 關(guān)聯(lián)分析網(wǎng)絡(luò) (4/4)第49頁(yè)云安全2.0關(guān)聯(lián)分析網(wǎng)絡(luò) 結(jié)構(gòu)圖已知惡意域用 Whois 來(lái)獲知注冊(cè)郵箱找出更多惡意域第50頁(yè)Classification當(dāng)類(lèi)似多協(xié)議關(guān)

22、聯(lián)分析技術(shù)應(yīng)用于企業(yè)網(wǎng)絡(luò)內(nèi)部第51頁(yè)企業(yè)網(wǎng)絡(luò)TDS威脅發(fā)覺(jué)系統(tǒng)優(yōu)勢(shì) 準(zhǔn)確定位從網(wǎng)絡(luò)，定位有傳輸病毒終端第52頁(yè)TDS威脅管理系統(tǒng)優(yōu)勢(shì) 輕松布署多層及、多協(xié)議關(guān)聯(lián)分析全天候網(wǎng)絡(luò)威脅監(jiān)測(cè)鏡像布署第53頁(yè)EthernetInternetProtocol(IP)分析OSI 2-7層協(xié)議中應(yīng)用層信息TDS 分析OSI 2-7層協(xié)議中信息TransportLayer(TCP/UDP)Email (SMTP, POP3), Web (HTTP/S),File Transfers (FTP)IM, P2P(80各種協(xié)議與應(yīng)用)第54頁(yè)HTTPSMTPIRCP2P80+ 其它協(xié)議零時(shí)差攻擊未知安全問(wèn)題肉雞TDS

23、 分析超出80種網(wǎng)絡(luò)協(xié)議和應(yīng)用DNSDCE-RPCTelnetRDPSSHHTTPAIMIRCFTPTFTPSMBSMTPGmailBit TorrentIRCMSNICQGoogle TalkSlingboxiTunesWindows MediaeMuleeDonkey第55頁(yè)TDS/TDA 怎樣發(fā)覺(jué) WORM_MYDOOM.EA56被感染PC僵尸網(wǎng)絡(luò)服務(wù)器213.23.X.210:443213.23.X.41:53213.23.X.41:137216.199.X.203:80.PCPCWORM_MYDOOM.EAWORM_MYDOOM.EA蠕蟲(chóng) WORM_MYDOOM.EA經(jīng)過(guò)一臺(tái)電腦感染

24、其它電腦* TDA 經(jīng)過(guò)對(duì)傳輸數(shù)據(jù)分析能夠及時(shí)發(fā)覺(jué)蠕蟲(chóng)傳輸行為被感染電腦鏈接僵尸網(wǎng)絡(luò)服務(wù)器 * TDA 能夠發(fā)覺(jué)對(duì)這個(gè)僵尸網(wǎng)絡(luò)鏈接 ,（ 使用167號(hào)安全規(guī)則）DDoS攻擊 DDoS 攻擊第56頁(yè)業(yè)務(wù)風(fēng)險(xiǎn)表檢測(cè)威脅相關(guān)風(fēng)險(xiǎn)受影響資產(chǎn)威脅統(tǒng)計(jì)感染源趨勢(shì)破壞性應(yīng)用TDS 評(píng)定匯報(bào)受威脅團(tuán)體及終端網(wǎng)絡(luò)中惡意軟件類(lèi)型病毒來(lái)自于何處？趨勢(shì)和比較數(shù)據(jù)網(wǎng)絡(luò)里破壞性應(yīng)用程序第57頁(yè)看得見(jiàn)：全部威脅及隱患，一目了然定位準(zhǔn)：定位精準(zhǔn),確實(shí)定位感染源可處理：依據(jù)威脅發(fā)覺(jué)制訂安全策略 效率高：專業(yè)服務(wù)團(tuán)體，提供詳細(xì)處理方案威脅發(fā)覺(jué)系統(tǒng)、準(zhǔn)確定位第58頁(yè)為何需要多層次終端安全防護(hù)?第59頁(yè)競(jìng)爭(zhēng)對(duì)手處理方案主機(jī)入侵檢測(cè)防火墻先進(jìn)防火墻系統(tǒng)強(qiáng)化技術(shù)用戶應(yīng)用程序控制 模式匹配技術(shù) 微軟Windows系統(tǒng)當(dāng)操作系統(tǒng)