未知病毒防御检测

面对未知风险,人类的第一反应是束手无策,但主动智能分析不一样

当前挑战

2017年影响最恶劣的 “WannaCry” 勒索病毒,攻击范围遍及全球,100多个国家和地区遭受攻击,包括政府部门、教育、医院、能源、通信、制造业等多个行业的数十万台电脑受到攻击感染。
面对不断变种的勒索病毒和新型的恶意软件,传统基于病毒特征码/病毒库的检测手段存在滞后性和准确率低等缺点,很难对新型的未知病毒进行有效地检测和防御。

勒索病毒横行

新型病毒频发

传统检测滞后

防御手段升级

解决方案

事前

安全漏洞预警与处置

对新型病毒攻击的过程、利用方法以及解决方案及时进行预警通报,协助客户进行网络环境进行排查、补丁升级、病毒感染检测与清除等服务

事中

未知病毒实时检测分析

利用安全异常监测、威胁情报、关联分析等技术,对各种未知病毒进行实时监测、精准定位,为快速处置未知病毒提供必要的技术与时间保障

事后

未知病毒响应与处置

利用攻击溯源、云图分析、机器学习算法快速定位未知病毒感染源,通过安全设备联动、专家应急处置对未知病毒进行封堵、拦截与查杀处理

事前·安全漏洞预警与处置

瀚思科技安全分析团队依据最新出现的病毒攻击事件,将新型病毒攻击的过程、利用漏洞以及解决方案向行业客户进行预警通报。

瀚思科技一线安全服务团队依据安全预警,协助客户对网络环境进行排查,协助客户进行补丁升级、病毒感染检测与清除等处置活动。

事中·未知病毒实时检测分析

网络异常检测未知病毒

通过建立网络异常监控模型,实时监控如SMB、445、RDP、3389等特殊协议与端口,并依据端口、IP、协议等异常,判断是否可能遭到未知病毒入侵。

通过对网络流量进行识别与解析,建立流量监控模型,对特定端口、特定协议、特定资产的流量监控,并依据波峰、或异于常态的流量峰值时参考以往的监控结果,判断是否可能遭到是未知病毒入侵。

主机异常检测未知病毒

采集主机的进程、网络、文件、注册表、DLL加载、驱动加载等行为信息,对采集的行为数据进行扫描分析,检测异常主机操作行为,判断是否遭到未知病毒入侵。

行为异常检测未知病毒

对病毒传播、活动执行、通信、安装控制、爆发等阶段的行为进行分析,建立病毒异常行为检测模型。

通过建立病毒异常行为关联分析规则,在实时安全检测过程中发现各种病毒异常活动,如端口扫描异常、网络连接异常、文件下载异常等,来判断是否遭到未知病毒入侵。

威胁情报检测未知病毒

瀚思科技安全分析团队对新型病毒相关的恶意IP、URL以及恶意代码等信息提取进行,持续地将各种最新病毒攻击相关的IOC更新到威胁情报数据中。

通过建立威胁情报数据关联分析规则,在实时安全检测过程中的威胁情报命中告警,检测是否遭到未知病毒的入侵。

事后·未知病毒响应与处置

未知病毒溯源分析

对未知病毒检测告警进行合并,通过查询、下钻、关联分析,快速溯源定位可疑IP。

对未知病毒感染告警的感染主机进行云图分析,通过机器学习算法进行病毒攻击行为进行统计和趋势分析,快速定位未知病毒感染源。根据已经检测出的病毒告警,建立针对性的检测规则,在整个网络环境进行全网扫描,确定病毒感染范围。

未知病毒应急处置

通过安全设备(如防火墙、IPS等)联动,下发安全防护策略,对恶意IP、域名、文件、进程等进行封堵、拦截。根据未知病毒溯源分析结果,对所有感染病毒的资产进行下线隔离,确保网络环境中不再有新的感染源。对已经感染的资产进行病毒分析,对病毒进行查杀处理,确保病毒清除干净后再次上线。

适用行业

  • 所有行业

支持系统

  • 主机操作系统
  • 终端操作系统
  • 网络系统等

应用场景

  • 安全漏洞预警与处置
  • 网络异常检测未知病毒
  • 主机异常检测未知病毒
  • 行为异常检测未知病毒
  • 威胁情报检测未知病毒
  • 未知病毒响应与处置

数据源

  • 网络流量
  • 安全设备日志
  • 操作系统日志
  • 威胁情报数据
  • EDR告警等

合规与最佳实践

  • 《网络安全法》
  • 《等级保护》
  • 行业监管要求
  • ISO 27001等

客户收益

弥补传统防御不足

实时监测未知病毒

精准定位感染资产

有效避免业务中断

应用案例

不中断业务检测处理勒索病毒

对网络异常、行为异常进行实时监控,通过关联分析、云图分析快速定位感染源,全网扫描确定感染范围,隔离下线并处置所有感染设备

利用威胁情报检测处理挖矿病毒

对网络连接、网络活动进行实时监控,通过关联资产非法外联高置信威胁情报中的矿池域名,有效检测、定位、处理感染挖矿病毒资产

利用行为分析监测处理木马感染

对网络连接异常、文件下载异常进行实时监控,通过网络流量监测、关联分析快速定位感染源,通过设备联动隔离挂马网站,处置感染设备