一、全流量设备(天眼)的部署架构
天眼系统采用旁路部署模式,通过流量镜像实现非侵入式监测,核心组件包括流量传感器、分析平台和文件威胁鉴定器,具体部署架构如下:
-
传感器部署
-
关键节点覆盖:在核心交换机、出口网关、DMZ区等关键位置部署流量传感器,镜像全量网络流量。例如,在护网场景中,需覆盖办公区、服务器区、云环境等区域的核心交换节点。
-
协议解析能力:支持HTTP、DNS、SMTP、SMB等40余种协议解码,覆盖Web攻击、文件传输、邮件通信等场景,实现全流量元数据提取。
-
性能优化配置:根据网络带宽调整捕获频率(如千兆/万兆适配),设置过滤规则减少冗余数据处理,并启用双向会话分析提升检测精度。
-
-
分析平台集群化
-
集中化威胁分析:分析平台接收传感器上传的流量日志和文件样本,结合威胁情报进行关联分析。例如,某大型企业在15个产业园部署传感器,统一汇聚至总部分析平台实现全局威胁感知。
-
分布式存储与计算:采用分布式搜索引擎(如ElasticSearch技术栈),支持PB级数据存储和秒级检索,满足护网期间海量日志的快速溯源需求。
-
-
管理组件扩展
-
文件威胁鉴定器:独立部署沙箱模块,对传感器提交的可疑文件(如PE文件、脚本)进行动态行为分析,检测未知恶意代码。
-
集中管理平台:通过统一界面管理多台天眼设备,实现规则库更新、补丁升级和状态监控,提升运维效率。
-
二、对普通漏洞的防护方式与作用
针对已知漏洞(如SQL注入、XSS、弱口令),天眼通过多维度检测引擎和自动化响应机制实现高效防御:
-
规则匹配与协议分析
-
特征库检测:内置超4万条入侵检测规则(如CVE漏洞利用特征),实时匹配流量中的攻击行为,例如检测永恒之蓝漏洞(MS17-010)的SMB协议异常。
-
协议深度解析:通过HTTP请求参数解码识别SQL注入语句,或从邮件附件中提取恶意文件,阻断WebShell上传等攻击链环节。
-
-
多维度关联分析
-
攻击链还原:将离散告警(如端口扫描、漏洞利用、横向移动)关联为完整攻击事件,基于ATT&CK模型可视化展示攻击阶段(侦察-入侵-横向渗透)。
-
威胁情报联动:结合云端情报(如恶意IP、域名)进行实时碰撞,快速识别已知恶意行为。例如,匹配Shodan扫描IP或恶意证书签名。
-
-
自动化响应与处置
-
联动防御设备:通过OpenC2接口与防火墙、WAF联动,自动拦截攻击源IP或隔离受感染主机。
-
漏洞修复辅助:生成漏洞扫描报告(如Nessus格式),标记未修复的高危漏洞(如Log4j2),指导护网期间优先修补。
-
三、对0day攻击的防护能力
针对无公开特征的0day漏洞,天眼通过行为分析与动态检测技术实现主动防御:
-
沙箱动态行为检测
-
文件沙箱分析:对可疑文件(如Office文档、压缩包)在虚拟环境中执行,监控进程创建、注册表修改、网络连接等异常行为,识别无特征恶意代码。
-
内存攻击防护:检测堆栈溢出、代码注入等内存操作,阻断漏洞利用链的关键步骤。
-
-
异常行为建模
-
机器学习模型:基于历史流量建立正常行为基线(如访问频率、协议分布),识别偏离基线的异常活动(如非工作时间大量SSH登录)。
-
攻击链狩猎:通过可视化拓线分析工具,从单条告警(如异常DNS请求)追溯潜在攻击路径,发现隐蔽的C&C通信或横向移动。
-
-
威胁情报与攻击溯源
-
攻击痕迹留存:全流量原始数据包(PCAP)存储,支持按时间戳提取攻击发生时的完整流量,用于0day漏洞的逆向分析与漏洞验证。
-
EDR联动:结合终端响应系统(如天擎)获取进程树、注册表变更等数据,关联网络侧异常行为,实现跨层威胁闭环处置。
-
