海水如何斗量？知道創(chuàng)宇專用目標(biāo)篩選機--海量流量“過濾器”

隨著線上直播產(chǎn)品「專用目標(biāo)篩選機」的發(fā)布，標(biāo)志著本次“云端情報賦能，強網(wǎng)戰(zhàn)力升級”知道創(chuàng)宇2021新品發(fā)布季圓滿落下帷幕。

不過被譽為“流量過濾器”的專用目標(biāo)篩選機，針對國家級海量流量，究竟是如何解決流量能否利用、如何利用、怎樣最高效利用等關(guān)鍵問題的呢?

無論是正常的網(wǎng)絡(luò)通信，亦或是黑客發(fā)起的網(wǎng)絡(luò)攻擊，都會有網(wǎng)絡(luò)流量的產(chǎn)生。流量包含豐富信息，黑客的攻擊行為同樣會在流量中留下蛛絲馬跡。

通過對攻擊流量進行針對性的分析，往往可以獲得攻擊者身份信息、攻擊路徑、攻擊方法等諸多信息，進而匯總生成黑客畫像。然而要在國家級的海量流量中，準(zhǔn)確的找到黑客攻擊流量，或者針對關(guān)鍵信息基礎(chǔ)設(shè)施的流量，是一項巨大挑戰(zhàn)。

產(chǎn)品功能大盤點

專用目標(biāo)篩選機系統(tǒng)是基于知道創(chuàng)宇安全大腦的高精準(zhǔn)威脅情報而形成的一款能力型產(chǎn)品，意在幫助客戶從海量的網(wǎng)絡(luò)流量中篩選出黑客攻擊流量或關(guān)鍵基礎(chǔ)設(shè)施流量，后續(xù)對黑客攻擊流量或關(guān)鍵基礎(chǔ)設(shè)施流量進行分析，異常時進行預(yù)警響應(yīng)。

黑客攻擊流量篩選

從網(wǎng)絡(luò)流量中篩選出黑客攻擊流量，從可編程交換機的端口發(fā)送出去。

支持多種報文識別：2層VLAN識別、IPv4報文識別、4層MPLS標(biāo)簽識別等。

關(guān)鍵基礎(chǔ)設(shè)施流量篩選

從網(wǎng)絡(luò)流量中篩選出關(guān)鍵基礎(chǔ)設(shè)施流量，從可編程交換機的端口發(fā)送出去。

支持多種報文識別：2層VLAN識別、IPv4報文識別、4層MPLS標(biāo)簽識別等。

目標(biāo)情報更新

支持目標(biāo)情報離線更新，將目標(biāo)情報離線升級包上傳至設(shè)備上，然后通過目標(biāo)情報離線更新命令完成目標(biāo)情報更新。

目標(biāo)標(biāo)簽管理

支持目標(biāo)標(biāo)簽，每一個目標(biāo)有相應(yīng)的標(biāo)簽。例如關(guān)基目標(biāo)情報，其標(biāo)簽包含目標(biāo)的所屬國家、所屬行業(yè)等。

篩選出的目標(biāo)流量在源MAC地址中攜帶上目標(biāo)標(biāo)簽信息。

輸出端口組管理

管理員可設(shè)置輸出端口組，組內(nèi)的所有端口均作為篩選流量輸出端口，通過負載均衡的方式選擇輸出端口組內(nèi)的端口作為流量發(fā)送端口。

API

產(chǎn)品提供的API接口可完全控制整套系統(tǒng)核心能力的運作，完全不需要人工干預(yù)。在集成場景下可提供強大的數(shù)據(jù)支撐能力。

技術(shù)優(yōu)勢全呈現(xiàn)

依賴于創(chuàng)宇安全大腦的高精準(zhǔn)威脅情報，與世界級網(wǎng)絡(luò)空間資產(chǎn)測繪引擎ZoomEye相結(jié)合，以獨家黑客攻擊IP威脅情報與高質(zhì)量關(guān)基目標(biāo)作為篩選條件，這正是“專用目標(biāo)篩選機”的研發(fā)創(chuàng)新角度。

優(yōu)勢一 國內(nèi)領(lǐng)先的高密度大流量線速處理能力

專用目標(biāo)篩選機基于可編程交換芯片(Programmable Switch Chip/Integrated Circuit)進行編程，可編程交換是近幾年出現(xiàn)的新技術(shù)，該技術(shù)基于ASIC，實現(xiàn)全端口線速轉(zhuǎn)發(fā)，低延時，低功耗。同時基于P4可編程模型實現(xiàn)，可以對硬件轉(zhuǎn)發(fā)進行編程，可以根據(jù)用戶的需求對硬件轉(zhuǎn)發(fā)做多次修改，大大提高靈活性。

優(yōu)勢二 獨家黑客攻擊IP威脅情報能力

專用目標(biāo)篩選機的黑客目標(biāo)情報基于知道創(chuàng)宇安全大腦的全球威脅情報庫生成，包括GAC網(wǎng)絡(luò)攻擊追蹤平臺、ZoomEye威脅庫、暗網(wǎng)雷達、云蜜罐威脅情報庫等多種數(shù)據(jù)源，囊括全網(wǎng)惡意IP，識別精度高、質(zhì)量高。

優(yōu)勢三 高質(zhì)量關(guān)基目標(biāo)

專用目標(biāo)篩選機依托于全球領(lǐng)先的ZoomEye網(wǎng)絡(luò)空間測繪引擎，結(jié)合泛目標(biāo)辨識分析技術(shù)，針對全球定向地區(qū)的指定行業(yè)所暴露在互聯(lián)網(wǎng)上的目標(biāo)網(wǎng)絡(luò)資源進行深度梳理、標(biāo)識，形成關(guān)基目標(biāo)庫。

專用目標(biāo)篩選機擁有重點方向目標(biāo)深度辨識能力，可針對重點方向基礎(chǔ)設(shè)施、民生設(shè)施等網(wǎng)絡(luò)資產(chǎn)深度辨識;也具備重點網(wǎng)絡(luò)目標(biāo)拓撲探測能力，通過自研拓撲探測組件，可以實現(xiàn)針對互聯(lián)網(wǎng)拓撲的連通性探測、路由發(fā)現(xiàn)及互聯(lián)網(wǎng)拓撲推測復(fù)現(xiàn)。

同時，還擁有泛目標(biāo)擴展測繪能力和高精度IP定位能力，既能利用大數(shù)據(jù)、AI關(guān)聯(lián)分析等方式針對泛目標(biāo)開展網(wǎng)絡(luò)空間信息測繪，又可以基于地標(biāo)定位等技術(shù)實現(xiàn)針對國際部分區(qū)域IP的物理位置高精度定位標(biāo)識能力。

專用目標(biāo)篩選機應(yīng)用

應(yīng)用場景

當(dāng)國家監(jiān)管機構(gòu)需要從海量網(wǎng)絡(luò)流量中篩選出對我國關(guān)鍵基礎(chǔ)設(shè)施的攻擊流量時，可采用專用目標(biāo)篩選機對流量進行篩選，后續(xù)對篩選出來的攻擊流量進行分析，需要時進行預(yù)警響應(yīng)，通知關(guān)鍵基礎(chǔ)設(shè)施相關(guān)企業(yè)進行應(yīng)對。

應(yīng)用價值

快速篩選高價值流量信息：篩選出黑客攻擊流量和關(guān)鍵基礎(chǔ)設(shè)施流量。

全流量全視角信息抓?。?/strong>2U設(shè)備即可線速抓取高達6.4Tbps流量，多臺可抓取全流量。

待分析流量減少99%：黑客和關(guān)鍵基礎(chǔ)設(shè)施流量占全流量的比重很小，可大幅減少待分析流量。

減少95%人工：客戶無需人工分析黑客和關(guān)鍵基礎(chǔ)設(shè)施威脅情報，可大量減少人工投入。

對于國家監(jiān)管機構(gòu)，面對國家級的網(wǎng)絡(luò)攻擊行為，在源源不斷的海量流量中，如果能精準(zhǔn)提取收集攻擊流量、提前掌握攻擊者的動向、關(guān)鍵基礎(chǔ)設(shè)施的訪問情況，就可以做到在出現(xiàn)針對關(guān)鍵基礎(chǔ)設(shè)施發(fā)起的攻擊行為時，及時進行預(yù)警響應(yīng)。

而這，這也正是專用目標(biāo)篩選機的研發(fā)初衷和實際意義。