天眼全流量系统的详细说明

产品概述

奇安信天眼新一代威胁感知系统（以下简称“天眼”）汇集流量传感器、文件威胁鉴定器、邮件告警、奇安信天堤防火墙、网神云锁等多种告警数据，基于奇安信自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报；同时结合部署在客户本地的软、硬件设备，奇安信天眼能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源；支持运用奇安信自研的 SOAR编排技术，实现对确定的威胁进行多种类型的响应处置，真正实现监测预警、威胁检测、溯源分析和响应处置的新一代安全感知系统。

产品组成与架构

奇安信天眼主要包括威胁情报、分析平台、传感器和文件威胁鉴定器四个模块，同时支持邮件威胁检测系统、奇安信天堤防火墙、网神云锁、补天漏洞响应平台、全包存储等系统的接入。奇安信天眼系统架构图如下所示：

图**-1** 天眼架构图

威胁情报

威胁情报来自奇安信云端的分析成果，可对 APT攻击、新型木马、特种免杀木马进行规则化描述。奇安信公司依托于云端的海量数据，通过基于人工智能自学习的自动化数据处理技术，依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑，所有大数据分析出的未知威胁都会通过专业的人员进行人工干预，做到精细分析，确认攻击手段、攻击对象以及攻击的目的，通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌，包括程序形态，不同编码风格和不同攻击原理的同源木马程序，恶意服务器（C&C）等，通过全貌特征‘跟踪’攻击者，持续的发现未知威胁，最终确保发现的未知威胁的准确性，并生成了可供天眼系统使用的威胁情报。

分析平台

天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志；其次天眼分析平台不仅可对所有数据进行快速的处理并为检索提供支持，还能将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在 4K的屏幕上展示威胁态势；此外天眼分析平台支持对告警进行深度分析，支持以告警字段进行狩猎分析及可视化展示，以攻击链的视角还原告警中的受害主机被攻击的整个过程；最后，对于判定为威胁事件的告警，分析平台提供自定义编排流程进行相应的处置指令下发。

分析平台承担对所有数据进行存储、预处理和检索的工作，由于传统关系型数据库在面对大量数据存储时经常出现性能不足导致查询相关数据缓慢，天眼分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。结合全包存储系统，分析平台可以实现针对精确告警的全包取证分析和自定义数据包分析能力。

流量传感器

天眼传感器主要负责对网络流量的镜像流量进行采集并还原，还原后的流量日志会加密传输给天眼分析平台，流量镜像中的 PE和非 PE文件还原后则加密传输给天眼文件威胁鉴定器进行检测。天眼传感器通过对网络流量进行解码还原出真实流量，提取网络层、传输层和应用层的头部信息，甚至是重要负载信息，这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块，可以在 IPv4/IPv6 网络环境下，支持 HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

同时，天眼传感器内置的威胁检测进程 serverids，可检测多种网络协议中的攻击行为，提供 ids、webids、webshell、威胁情报多种维度的告警展示，可检测如多种网络应用、木马、广告、exploit 等多种网络攻击行为，也可检测如 sql 注入、跨站、Web shell、命令执行、文件包含等多种 web攻击行为，内置的 webshell 沙箱可以精准检测

php 后门并记录相关信息，拥有威胁情报实时匹配能力，能发现恶意软件、APT事件等威胁，产生的多种告警都会加密，并传输给天眼分析平台进行统一分析管理。

文件威胁鉴定器

天眼文件威胁鉴定器主要负责对传感器、手动提交、FTP、SMB、URL等多数据来源通道的样本进行检测。整个检测过程中文件进行威胁情报匹配、沙箱检测、静态检测与动态检测等多种检测，及时发现有恶意行为的文件并告警，告警日志可传给天眼分析平台供统一分析。天眼通过文件威胁鉴定器对文件进行高级威胁检测，文件威胁鉴定器可以接收还原自传感器的大量 PE和非 PE文件，使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁，并将威胁相关情况以报告行为提供给企业安全管理人员。天眼文件威胁鉴定器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。

其他周边组件

除了以上组件，奇安信天眼支持与邮件威胁检测系统、奇安信天堤防火墙、网神云锁、补天漏洞响应平台、全包存储等系统进行对接，可实现多种告警数据的接收与统一。结合多种处置设备，分析平台支持运用奇安信自主研发的 SOAR编排技术完成自动化响应处置工作。

产品优势与特点
创新使用互联网数据发掘 APT攻击线索，提升企业对威胁看见的能力

传统的 APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关 APT学习经验，而且攻击者的逃逸水平也在不断的进步发展，本地设备会经常性的出现误报和漏报现象，经常需要人工的二次分析进行筛选。而且由于 APT攻击的复杂性和背景的特殊性，仅依赖于单一企业的数据经常无法有效的发现 APT攻击背景，难以做到真正的追踪溯源。而天眼则创新性的从互联网数据进行发掘和分析，由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到，所以从互联网进行挖掘可极大提升未知威胁和 APT攻击的检出效率，而且由于数据的覆盖面更大，可以做到攻击的更精准溯源。

以威胁情报打通攻击定位、溯源与阻断等环节，帮助企业从源头上解决安全问题传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知，这种设计往往会制约多种不同设备或系统之间的信息传递。同时由于对于消息接口缺乏一个系统化的规范化的描述，很难对复杂的攻击行为进行准确定义。而天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，可满足未来扩展攻击特征以及后续扩展联动设备的需要。
全局全状态感知威胁，进一步提升客户对未知威胁检测和行为分析能力天眼分析平台作为威胁分析中心，进一步加强告警数据的融合，对传感器、文件威胁鉴定器、邮件威胁检测、网神云锁、终端安全管理系统、天堤智慧分析管理系统的数据进行统一管理，统一字典、统一分析、统一展现。同时在已有业务场景化基础上，依托全面的数据来源进一步扩充、固化场景，结合多年积累的成功经验对行为分析进行重新分类，更加贴近用户业务场景，切实加强行为分析能力。
对任意线索的威胁狩猎分析和威胁溯源能力，提升威胁分析过程可视化能力传统的防护设备只能对攻击行为进行告警，无法向用户描述整个攻击过程。天眼依据多年积累的经验从攻击链的维度将攻击行为进行重新划分，对告警进行深度调查分析，以告警中的受害主机为线索还原整个攻击过程（侦察-入侵-命令控制-横向渗透-数据外泄-痕迹清理），并结合安全专家积累的经验给出相应的处置方案。此外，支持客户在可视分析画

布上对任意线索的自定义拓线及溯源分析，拓线分析过程支持可视化展示并支持结果快照导出；对于给定线索的溯源结果进行攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等围堵的展示。

海量数据的全量数据包存储技术，提升威胁事件溯源的精准度天眼传感器和沙箱会对企业海量流量进行采集，而对于捕获的流量，会在本地磁盘进行存储、分析，这样就会依赖沙箱或者传感器本身的硬件性能。当流量较大时，会对传感器或者沙箱的硬件性能带来更多的考验。天眼系统提供配套的全包存储组件，能提供灵活的存储能力扩展。解决了沙箱和传感器在本地对流量进行存储、分析的性能考验问题，间接提升传感器本身的业务性能。能对网络原始数据进行全流量完整保存，能对外秒级提取海量历史流量，还原网络事件发生时的全部网络通讯内容，实现数据包级的数据取证和责任判定，大幅提升威胁事件溯源的准确性。
基于大数据挖掘分析的恶意代码智能检测技术，提升了客户检测恶意代码的能力天眼采用了机器学习等人工智能算法，针对海量程序样本进行自动化分析，有效解决了大部分未知恶意程序的发现问题。由于传统杀毒技术严重依赖于样本获得能力和病毒分析师的能力，基本只能处理已知问题，不能对可能发生的问题进行防范，具有严重的滞后性和局限性。本技术对海量样本进行挖掘，能够找到恶意软件的内在规律，能对未来相当长时期的恶意软件技术做出前瞻性预测，实现不更新即可识别大量新型恶意软件，在全球处于领先水平。
已知漏洞未知漏洞相结合的检测方式，全面提升资产脆弱性检测的能力天眼分析平台实现了对补天漏洞数据的嵌入、展示和升级功能，所采用的多引擎沙箱的方法对未知的恶意代码进行检测，这种利用对恶意代码的行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测，因为免杀木马是 APT攻击的核心步骤，因此对未知恶意代码样本和利用 0-day 漏洞攻击具有良好效果。
基于轻量级沙箱的未知漏洞攻击检测技术，提升了客户检测未知漏洞的能力现有的传统安全防护措施大多数使用基于签名（Signature）的机制对已知威胁进行检测和防护，而天眼的基于轻量级沙箱的未知漏洞攻击检测引擎是针对传统基于签名的局限

性提出的解决方案，可以检测和发现主流客户端应用程序（IE/Office/AdobeReader）的可疑威胁为目标，能对客户端应用中已知漏洞和未知 0day 漏洞的攻击利用进行检测。

基于 SOAR的自动化编排响应技术，提升了客户快速响应处置的能力

天眼系统通过 openc2 接口与处置设备联动，支持告警收集与指令下发，预置多种处置场景应对常见类型的告警事件，对应不同告警事件调用预置的处置流程，通过 openc2 接口下发处理动作完成对告警事件的处置，提升业务系统的安全系数。同时系统支持通过自主编排功能，根据实际业务需求添加任务脚本、联动服务以及工作流程，实现根据业务需求量身打造处置流程，大大提升了响应处置的速度与准确性。

专业的专家运营团队，全天候为企业保驾护航为了推进自动化分析技术的发展，并对未知威胁做最终定性和跟踪，奇安信长时间维持了一个近百人的庞大安全分析团队，该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域，该团队成员的经验为云端分析系统的运行提供了宝贵输入，并支持了国内多次重大 APT事件的深度挖掘和定位。奇安信的安全专家团队可为企业提供及时有效的安全服务，帮助企业保护自身网络的安全，减少企业遭受攻击时受到的损失。

产品价值

奇安信天眼可以为用户带来以下几方面的价值：

高级威胁的全面检测分析

天眼系统内置 ATT&CK模型和可视化狩猎分析工具且配有完整帮助文档，全面助力已知威胁的快速发现和未知威胁的自主拓线分析。

重大安全事件的快速响应基于威胁情报的上下文，天眼系统可以帮助安全运营人员发现、研判和处置重大安全事件，如：永恒之蓝、APT事件、NotPetya、Marai Botnet。
网络攻击的回溯和分析天眼系统还原和存储网络流量的元数据，可以帮助客户回溯已经发生网络攻击行为，分析攻击路径、受感染面和信息泄露状况。
灵活有效的编排处置

天眼系统通过 openc2 接口与处置设备联动，通过预置场景和自定义分析场景应对各类告警事件，根据业务需求量身打造处置流程，提升响应处置的速度与准确性。

满足新等保的合规要求

天眼系统满足了新等保 2.0 对网络攻击检测和分析要求，特别是针对未知的新型网络攻击和 APT攻击。

丰富多样的可视化展示

天眼系统内置多款态势大屏，支持将发现的威胁态势在 4K的屏幕上投屏展示，满足日常巡检需求。

典型部署**

6.1.高级威胁检测及回溯方案

部署拓扑图

威胁情报中心

威胁情报

DMZ区互联网管理区

接入区边界路由器 天眼天眼天眼文件威胁鉴分析平台

流量传感器定器

文件

**流量日志 **

核心交换

主机行为

天擎客户端

办公区 B 服务器区办公区 A

图**-2** 未知威胁检测及回溯方案实施拓扑图

高级威胁检测及回溯方案说明

部署奇安信天眼未知威胁检测及回溯方案可以帮助用户及时有效的发现未知威胁，提升管理人员对未知威胁的发现速度和效率，最大限度的降低用户受攻击后的损失，可以记录内网的任何一次网络行为为回溯提供强大的支撑。

在此方案中，对用户网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于天眼的数据平台，云端威胁情报和本地文件威胁鉴定器分析结果与本地分析平台进行对接，为用户提供基于情报和文件检测的威胁发现与溯源的能力。

部署该方案后，可以为用户解决以下安全问题：

i. 检测发现传统防护手段漏过的未知威胁

ii. 在隔离网络环境下检测未知威胁 iii.对企业内的海量数据进行安全分析

iv. 对企业内已发现的问题进行攻击回溯

本地威胁发现方案
部署拓扑图

威胁情报中心

DM区Z 互联网边界路由器管理区 威胁情报 接入区天眼

天眼分析平台流量传感器

流量日志

核心交换

流量日志

主机行为

天擎客户端

服务器区办公区 A 办公区 B

图**-3** 本地威胁发现方案实施拓扑图

本地威胁发现方案说明

部署奇安信天眼本地威胁发现方案可以帮助用户及时有效的发现威胁，提升安全管理人员的发现速度和效率，最大限度的降低用户受攻击后的损失。奇安信天眼实验室在云端共搜集了 200PB与安全相关的数据，涵盖了 DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容，并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段，最终形成云端威胁情报，然后结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据，可有效帮助用户发现内部网络中的安全问题。

在此方案中，对用户网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于天眼的数据平台，结合云端威胁情报与本地分析平台进行对接，为用户提供了一条崭新的发现本地威胁的通道。

部署该方案后，可以为用户解决以下安问题：

检测发现传统防护手段漏过的未知威胁
对企业内的海量数据进行安全分析 iii.对企业内已发现的问题进行攻击回溯
文件威胁检测方案
部署拓扑图

Internet

DM区Z 互联网边界路由器管理区

接入区

天眼

天眼流量传感器

流量传感器

文件

核心交换 天眼文件文件威胁鉴定

器

天眼流量传感器

服务器区办公区 A 办公区 B

图**-4** 文件威胁检测方案实施拓扑图

文件威胁检测方案说明

部署奇安信天眼文件威胁检测方案可以有效帮助用户在攻击日益泛滥的今天，应对手段更加高明、目的性更加明确的高级威胁，为用户网络安全建设提供文件威胁检测及分析能力，有效应对当前环境下的新型安全威胁。

在该方案中，传感器负责将所有镜像流量进行还原分析，提取 HTTP、SMTP、POP3、 FTP等文件传输协议中出现的文件内容，将文件通过加密通道传送到文件威胁鉴定器；文件威胁鉴定器对所有文件进行解压缩，格式检查后，将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。

部署该方案后，可以为用户解决以下安全问题：

检测发现传统防护手段漏过的未知威胁
在隔离网络环境下检测未知威胁

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南