瑞星网络安全威胁感知系统(TSA)是瑞星公司最新推出的一款全方位、多层次的整体病毒预警防护系统和态势感知展示系统,它能够实现网络安全可视化,将抽象的网络和系统数据以图形图像的方式展现出来,帮助分析人员分析网络状况,识别网络异常、入侵,预测网络安全事件发展趋势。
瑞星网络安全威胁感知系统(TSA)立足于大数据分析,能够有效解决传统分析方法在处理海量信息时面临的认知负担过重、缺乏对网络安全全局的认识、交互性不强、不能对网络安全事件提前预测和防御等一系列问题,而且通过在人与数据之间实现图像通信,使人们能观察到网络安全数据中隐含的模式,为揭示规律和发现潜在的安全威胁提供有力的支持。
瑞星网络安全威胁感知系统(TSA)主要包括数据分析管控中心(即预警中心)、数据采集设备(即数据探针)组成,其中数据探针可以包括病毒探针、瑞星防毒墙(包括导线式防毒墙、下一代防毒墙)、网络版杀毒软件、企业终端安全管理软件等。
各产品模块数据流向示意图如下:
瑞星网络安全威胁感知系统(TSA)集成了瑞星公司最新的AI智能反病毒引擎,引擎采用机器学习等人工智能技术和算法,对海量的样本文件进行自动化分析,结合大数据分析、语义分析、事件关联等技术手段,挖掘提取恶意代码的行为特点和规律,有效识别已知威胁和大部分未知威胁;同时,不断更新和完善恶意代码特征库和行为库,利用恶意代码行为判定技术和威胁主动防御技术,全面提升对已经和未知的病毒或恶意代码的检测能力。
目前主流的检测防御技术在面对高级持续威胁(APT)、0day漏洞攻击等高级威胁的防护表现出了一定的滞后性,在用户遭受攻击后,由于缺乏历史数据支撑,无法对攻击行为和攻击过程进行还原,丢失了重要的安全决策依据。
威胁情报通过大数据、分布式系统或其它特定收集方式获取海量的全流量数据,进行深度挖掘、提炼、整合、归并以形成与企业或资产有关的威胁线索集合,再结合大数据分析、机器等技术,还原已发生的威胁或攻击行为,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,系统能够存储时间可长达数月的全流量数据,足够应对高级持续攻击的防御间隙,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
瑞星网络安全威胁感知系统(TSA)提供了一套实时的安全威胁感知数据展示系统,根据病毒探针、防毒墙、网络版杀毒软件、企业终端安全管理软件等网络安全产品检测到的各类网络安全数据,例如各类病毒传播数据、病毒感染数据、恶意站点攻击数据、恶意行为等,利用美丽直观的数据地图实时的展示给用户查看,让用户能够全面了解网络中爆发的安全数据,以便有效的采取措施,做到及时发现、及时总结、及时处理。
瑞星网络安全威胁感知系统(TSA)提供强大的上下级级联管理功能,对于瑞星各类网络安全设备,只要安全设备指定其上级为瑞星网络安全威胁感知系统,预警系统上就能够自动获取该安全设备的基本信息,并实现管控;同时,预警系统还支持手动添加第三方厂家网络安全设备的功能,同时能够对第三方厂家的安全设备进行简单的管理。
为了满足国家及相关行业针对网络安全产品用户管理分级保护的要求和规定,瑞星网络安全威胁感知系统(TSA)实现了用户管理的分级保护功能开发,包括超级管理员、系统管理员、安全管理员、审计管理员,对防毒墙的用户权限进行合理分级,按标准进行管理和监督,确保系统的安全使用。
瑞星网络安全威胁感知系统(TSA)部署的网络拓扑结构图如下:
网络安全态势预警系统由预警管理中心和预警病毒探针两部分组成,两部分均采取旁路部署的模式,形成一个独立的网络,不会对用户网络产生任何影响。