泛终端的精细化智能防御体系建设

对于不能部署终端数据采集软件的终端，如摄像头、打印机、专业行业终端、工业控制终端等，通过准入控制的审计检测，获取终端身份仿冒接入、终端网络端口与服务风险检查、操作系统风险与弱口令、网络连接方式、异常流量与行为异常检测、外联情况等信息，实时的提供给分析平台。

DNS安全检测和分析

DNS是互联网和物联网（IOT）的“神经系统”，是连接网络的第一步动作，DNS系统是一个基于C/S结构的巨型分布式数据库系统，实现域名到IP地址的转换，对用户访问各种互联网应用至关重要。思科2016年度安全报告指出，近91.3%的“已知不良”恶意软件被发现使用DNS作为主要手段，通过研究DNS流量或数据，可以发现网络的安全攻击以及异常行为。

统针对DNS层面的网络安全威胁，镜像的DNS流量，根据DNS请求流量数据，将域名解析记录在不同周期尺度上（每天、每周、每月）建立解析基线，计算当前周期与已有基线的偏离程度，以判定当前周期的域名请求内容、请求次数是否异常。利用某些恶意软件的多个C&C会形成DNS查询序列的特点，通过模型计算可以发现恶意软件的各种网络行为。利用威胁情报库，或攻击特征（特征可包括域名结构、域名活动周期、域名解析结果等）将具有关联的攻击进行聚类，并对攻击链路进行关联分析深度挖掘，还原攻击全貌，洞悉高级威胁。通过机器学习，DNS异常检测发现DNS隐秘隧道，有效发现攻击线索，与其它数据关联分析，可以发现高级或隐藏威胁。根据僵尸网络域名的特性和相关的IP属性、端点属性，将C&C域名分组，有助于准确分析僵尸终端感染情况，可视化展现僵尸终端的感染范围，挖掘僵尸网络端点，及时发现僵尸终端，提升网络边界和终端安全防护水平。将DNS 安全检测数据实时发送给分析平台进行分析，作为终端安全分析的重要数据支撑。

(3) 多维数据的智能分析能力

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!