海水如何斗量？知道創(chuàng)宇專用目標(biāo)篩選機(jī)--海量流量“過濾器”

隨著線上直播產(chǎn)品「專用目標(biāo)篩選機(jī)」的發(fā)布，標(biāo)志著本次“云端情報(bào)賦能，強(qiáng)網(wǎng)戰(zhàn)力升級(jí)”知道創(chuàng)宇2021新品發(fā)布季圓滿落下帷幕。

不過被譽(yù)為“流量過濾器”的專用目標(biāo)篩選機(jī)，針對(duì)國(guó)家級(jí)海量流量，究竟是如何解決流量能否利用、如何利用、怎樣最高效利用等關(guān)鍵問題的呢?

無論是正常的網(wǎng)絡(luò)通信，亦或是黑客發(fā)起的網(wǎng)絡(luò)攻擊，都會(huì)有網(wǎng)絡(luò)流量的產(chǎn)生。流量包含豐富信息，黑客的攻擊行為同樣會(huì)在流量中留下蛛絲馬跡。

通過對(duì)攻擊流量進(jìn)行針對(duì)性的分析，往往可以獲得攻擊者身份信息、攻擊路徑、攻擊方法等諸多信息，進(jìn)而匯總生成黑客畫像。然而要在國(guó)家級(jí)的海量流量中，準(zhǔn)確的找到黑客攻擊流量，或者針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的流量，是一項(xiàng)巨大挑戰(zhàn)。

產(chǎn)品功能大盤點(diǎn)

專用目標(biāo)篩選機(jī)系統(tǒng)是基于知道創(chuàng)宇安全大腦的高精準(zhǔn)威脅情報(bào)而形成的一款能力型產(chǎn)品，意在幫助客戶從海量的網(wǎng)絡(luò)流量中篩選出黑客攻擊流量或關(guān)鍵基礎(chǔ)設(shè)施流量，后續(xù)對(duì)黑客攻擊流量或關(guān)鍵基礎(chǔ)設(shè)施流量進(jìn)行分析，異常時(shí)進(jìn)行預(yù)警響應(yīng)。

黑客攻擊流量篩選

從網(wǎng)絡(luò)流量中篩選出黑客攻擊流量，從可編程交換機(jī)的端口發(fā)送出去。

支持多種報(bào)文識(shí)別：2層VLAN識(shí)別、IPv4報(bào)文識(shí)別、4層MPLS標(biāo)簽識(shí)別等。

關(guān)鍵基礎(chǔ)設(shè)施流量篩選

從網(wǎng)絡(luò)流量中篩選出關(guān)鍵基礎(chǔ)設(shè)施流量，從可編程交換機(jī)的端口發(fā)送出去。

支持多種報(bào)文識(shí)別：2層VLAN識(shí)別、IPv4報(bào)文識(shí)別、4層MPLS標(biāo)簽識(shí)別等。

目標(biāo)情報(bào)更新

支持目標(biāo)情報(bào)離線更新，將目標(biāo)情報(bào)離線升級(jí)包上傳至設(shè)備上，然后通過目標(biāo)情報(bào)離線更新命令完成目標(biāo)情報(bào)更新。

目標(biāo)標(biāo)簽管理

支持目標(biāo)標(biāo)簽，每一個(gè)目標(biāo)有相應(yīng)的標(biāo)簽。例如關(guān)基目標(biāo)情報(bào)，其標(biāo)簽包含目標(biāo)的所屬國(guó)家、所屬行業(yè)等。

篩選出的目標(biāo)流量在源MAC地址中攜帶上目標(biāo)標(biāo)簽信息。

輸出端口組管理

管理員可設(shè)置輸出端口組，組內(nèi)的所有端口均作為篩選流量輸出端口，通過負(fù)載均衡的方式選擇輸出端口組內(nèi)的端口作為流量發(fā)送端口。

API

產(chǎn)品提供的API接口可完全控制整套系統(tǒng)核心能力的運(yùn)作，完全不需要人工干預(yù)。在集成場(chǎng)景下可提供強(qiáng)大的數(shù)據(jù)支撐能力。

技術(shù)優(yōu)勢(shì)全呈現(xiàn)

依賴于創(chuàng)宇安全大腦的高精準(zhǔn)威脅情報(bào)，與世界級(jí)網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪引擎ZoomEye相結(jié)合，以獨(dú)家黑客攻擊IP威脅情報(bào)與高質(zhì)量關(guān)基目標(biāo)作為篩選條件，這正是“專用目標(biāo)篩選機(jī)”的研發(fā)創(chuàng)新角度。

優(yōu)勢(shì)一 國(guó)內(nèi)領(lǐng)先的高密度大流量線速處理能力

專用目標(biāo)篩選機(jī)基于可編程交換芯片(Programmable Switch Chip/Integrated Circuit)進(jìn)行編程，可編程交換是近幾年出現(xiàn)的新技術(shù)，該技術(shù)基于ASIC，實(shí)現(xiàn)全端口線速轉(zhuǎn)發(fā)，低延時(shí)，低功耗。同時(shí)基于P4可編程模型實(shí)現(xiàn)，可以對(duì)硬件轉(zhuǎn)發(fā)進(jìn)行編程，可以根據(jù)用戶的需求對(duì)硬件轉(zhuǎn)發(fā)做多次修改，大大提高靈活性。

優(yōu)勢(shì)二 獨(dú)家黑客攻擊IP威脅情報(bào)能力

專用目標(biāo)篩選機(jī)的黑客目標(biāo)情報(bào)基于知道創(chuàng)宇安全大腦的全球威脅情報(bào)庫(kù)生成，包括GAC網(wǎng)絡(luò)攻擊追蹤平臺(tái)、ZoomEye威脅庫(kù)、暗網(wǎng)雷達(dá)、云蜜罐威脅情報(bào)庫(kù)等多種數(shù)據(jù)源，囊括全網(wǎng)惡意IP，識(shí)別精度高、質(zhì)量高。

優(yōu)勢(shì)三 高質(zhì)量關(guān)基目標(biāo)

專用目標(biāo)篩選機(jī)依托于全球領(lǐng)先的ZoomEye網(wǎng)絡(luò)空間測(cè)繪引擎，結(jié)合泛目標(biāo)辨識(shí)分析技術(shù)，針對(duì)全球定向地區(qū)的指定行業(yè)所暴露在互聯(lián)網(wǎng)上的目標(biāo)網(wǎng)絡(luò)資源進(jìn)行深度梳理、標(biāo)識(shí)，形成關(guān)基目標(biāo)庫(kù)。

專用目標(biāo)篩選機(jī)擁有重點(diǎn)方向目標(biāo)深度辨識(shí)能力，可針對(duì)重點(diǎn)方向基礎(chǔ)設(shè)施、民生設(shè)施等網(wǎng)絡(luò)資產(chǎn)深度辨識(shí);也具備重點(diǎn)網(wǎng)絡(luò)目標(biāo)拓?fù)涮綔y(cè)能力，通過自研拓?fù)涮綔y(cè)組件，可以實(shí)現(xiàn)針對(duì)互聯(lián)網(wǎng)拓?fù)涞倪B通性探測(cè)、路由發(fā)現(xiàn)及互聯(lián)網(wǎng)拓?fù)渫茰y(cè)復(fù)現(xiàn)。

同時(shí)，還擁有泛目標(biāo)擴(kuò)展測(cè)繪能力和高精度IP定位能力，既能利用大數(shù)據(jù)、AI關(guān)聯(lián)分析等方式針對(duì)泛目標(biāo)開展網(wǎng)絡(luò)空間信息測(cè)繪，又可以基于地標(biāo)定位等技術(shù)實(shí)現(xiàn)針對(duì)國(guó)際部分區(qū)域IP的物理位置高精度定位標(biāo)識(shí)能力。

專用目標(biāo)篩選機(jī)應(yīng)用

應(yīng)用場(chǎng)景

當(dāng)國(guó)家監(jiān)管機(jī)構(gòu)需要從海量網(wǎng)絡(luò)流量中篩選出對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的攻擊流量時(shí)，可采用專用目標(biāo)篩選機(jī)對(duì)流量進(jìn)行篩選，后續(xù)對(duì)篩選出來的攻擊流量進(jìn)行分析，需要時(shí)進(jìn)行預(yù)警響應(yīng)，通知關(guān)鍵基礎(chǔ)設(shè)施相關(guān)企業(yè)進(jìn)行應(yīng)對(duì)。

應(yīng)用價(jià)值

快速篩選高價(jià)值流量信息：篩選出黑客攻擊流量和關(guān)鍵基礎(chǔ)設(shè)施流量。

全流量全視角信息抓?。?/strong>2U設(shè)備即可線速抓取高達(dá)6.4Tbps流量，多臺(tái)可抓取全流量。

待分析流量減少99%：黑客和關(guān)鍵基礎(chǔ)設(shè)施流量占全流量的比重很小，可大幅減少待分析流量。

減少95%人工：客戶無需人工分析黑客和關(guān)鍵基礎(chǔ)設(shè)施威脅情報(bào)，可大量減少人工投入。

對(duì)于國(guó)家監(jiān)管機(jī)構(gòu)，面對(duì)國(guó)家級(jí)的網(wǎng)絡(luò)攻擊行為，在源源不斷的海量流量中，如果能精準(zhǔn)提取收集攻擊流量、提前掌握攻擊者的動(dòng)向、關(guān)鍵基礎(chǔ)設(shè)施的訪問情況，就可以做到在出現(xiàn)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起的攻擊行為時(shí)，及時(shí)進(jìn)行預(yù)警響應(yīng)。

而這，這也正是專用目標(biāo)篩選機(jī)的研發(fā)初衷和實(shí)際意義。