分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

云态势感知产品-沙箱高级威胁检测

0x00、业务需求

·产品调研
最近由于工作关系关注了市面上的态势感知产品,总结如下:

微信截图_20180408090012.png

·云态势感知产品定位
使用大数据技术关联分析数据快速整合NIDS(包含sandbox)、HIDS、EDR、WAF、DDoS、Scanner的数据,让用户更清晰的了解云上资产的安全现状,做出下一步安全整改动作。

0x01、关键技术

·沙箱技术

沙箱技术是提升网络威胁检测引擎的最有效的技术,一般在云上的用户是不愿意的安装EDR或者主机安全产品,因为侵入性太强,同时,在业务系统发现问题的时候,排查排除增加用户工作量。

·大数据实时关联分析机器学习技术

在云使用场景下,一般需要抓取流量都是海量的(单个数据中心需要几百G),也就是说NIDS会产生海量的日志,需要做聚类分析,同时需要流量异常检测能力,这需要使用机器学习技术来判断。

今天和大家探讨一下高级沙箱技术。

blob.png

沙箱集群架构设计

1、由于云数据中心每个机房都是100G+,所以需要NTA获取流量的时候,需要做一些过滤。对于业务系统有用的必须分析的二进制文件,需要上传到沙箱分析集群。根据常规模式评估,正常的沙箱分析流量会占据1%整体流量,所以,需要在本地做一下初步的判断,尽量减少上传流量。

2、需要有分布式处理能力

(1)提供WebConsole管理

(2)提供REST API批量处理分析任务

worker

· 推送分析文件 /tasks/create/file