@苏苏
2年前 提问
1个回答

网络安全威胁情报检测系统至少包括哪些模块

在下炳尚
2年前

网络安全威胁情报检测系统至少包括以下这些模块:

  • 全流量日志、文件提取和告警pcap存储模块:具备全流量协议还原、网络流量日志和文件提取、所有告警和可疑网络行为的pcap存储、后续分析,以及对机器网络行为进行深入分析的可视化能力。

  • 威胁情报检测模块:对最新的专业威胁情报数据进行分钟级同步,用于实时进行流量检测,该情报包不仅包含基本的崩溃指标IOC,还包含黑客集团的情报信息。

  • 机器学习模型检测模块:应用各种机器学习算法检测传统的统计规则和威胁情报无法发现的网络威胁,如数据盗窃、隧道通信、DGA域名等。

  • 恶意文件检测引擎模块:对从流量中提取的文件应用本地文件检测引擎进行高效的恶意文件识别。

  • 沙盒检测模块:利用本地或云沙盒技术确定本地可疑文件。

  • 内网横向移动检测模块:支持访问内网流量,发现内部横向移动行为。

  • 攻击链回顾分析模块:发现的各类威胁告警,可根据攻击链进行关联,并能完整追溯攻击过程。