天眸NDR网络检测与响应系统

国舜天眸NDR网络检测与响应系统，20年深耕行业安全行业经验累积打造。汇集前沿技术——双向全流量采集、应用协议还原、文件还原，1-40Gbps高性能采集引擎；创新“网、数、端”三位一体检测技术——网络攻击检测、Web攻击检测、API数据安全检测、漏洞检测、加密流量AI检测、远程网卡监控；全方位告警溯源分析——原始日志分析、告警分析、攻击者分析、资产脆弱性分析、漏洞分析、API数据风险分析；低成本快速交付部署——“采检”一体开箱即用、软硬探针结合降低成本、快速扩容级联部署、全自动流量资产探查免于维护。集成国舜SOAR编排系统，告警自动研判。真正实现监测预警、威胁检测、溯源分析和响应处置的网络威胁检测系统。

国舜天眸NDR的技术核心在于其能够实时监测企业网络中的全部数据流量，通过对网络活动的深度分析，及时发现潜在的威胁和异常行为，利用先进的机器学习和人工智能算法，能够快速识别出传统安全工具可能遗漏的隐蔽性攻击和高级持续性攻击，具有以下几个显著特点： 1.实时监测：自主采集穿过边界的南北向流量和内网的东西向流量并针对原始流量进行持续、实时地监控，及时捕捉到流量中的任何异常活动，无论是内部的还是外部的威胁。 2.深度分析：通过利用深度包检测（DPI）和流量分析技术，能够对网络报文的有效载荷进行深度检测和详细的分析，可快速识别出可能隐藏在正常流量中的恶意活动。 3.智能分析国舜天眸NDR运用机器学习和人工智能算法，通过构建正常网络行为的基线模型，并检测与其偏离的网络活动，快速识别潜在的攻击行为或异常。 4.高效响应当系统检测到威胁时，系统能够迅速、精准地采取行动（如阻断恶意流量或触发响应流程），减少威胁的影响范围和持续时间。 5.行为建模：系统通过收集和分析网络中的大量数据，包括流量模式、连接请求、数据传输、协议使用等，构建行为模型，可有效识别未知的或零日攻击等新型威胁。 6.多源数据整合：系统通过采集核心数据流量能够获取包含传感器、现有防火墙、入侵防御/检测系统等多源数据进行处理分析，快速构建全面的数据视图，提供全网络可见性。 7.结构化告警：事件通过分析告警之间的关联性，将多个相关的告警合并成一个结构化事件，并结合威胁情报、历史信息等对事件富化及优先级排序，确保最紧急的事件优先处理。 8.持续优化和学习：系统的自动化学习机制使其能够根据新的威胁情报和历史数据持续不断的优化检测算法，通过不断的学习网络环境和威胁形势，保持其检测和响应能力的有效性。 9.自动化与人工结合：系统可对已知威胁或预定义威胁模式进行自动化执行阻断动作，对于复杂的、未知的或首次出现的威胁可通过人工分析+预定义响应策略对其进行预定义处置。 10.报告与可视化：系统提供历史数据的对比分析，及安全态势的趋势报告，同时将检测到的威胁以热力图形式标记出活跃的攻击源和目标，或通过时间线展示攻击过程。

1.大数据 天眸2.0 是建立在大数据技术机构之上，解决了数据采集、存储、计算的问题；分析平台数据检索采用分布式计算和搜素引擎技术对数据进行处理。 2.AI检测技术 基于机器学习的DGA检测技术，检测准确率达到99.9%；平台通过全流量检测技术，深度还原几十种网络协议，对失陷主机、网络入侵、僵木蠕、异常流量进行精准检测。 3.闭环管理 用户可通过平台对数据的全生命周期管理，形成覆盖威胁发现、威胁分析、威胁研判、威胁处置和持续监测的安全运营闭环能力。 4.创新“网、数、端”三位一体检测模式 网络安全、数据安全、端点流量——从攻击手段，攻击目标，横向（内部或跳板）攻三重检测即为“网、数、端”三位一体检测。 5.级联部署，多级联动 中心总部集中监测管控，下一级单位分级部署。信息安全监测“一盘棋“。 6.快速部署，开箱即用 采用网络流量直接采集，直接检测，网络攻击，Web攻击，API检测，资产识别等一体化设计。无需繁琐数据对接，零成本快速交付。

等级保护2.0与关键信息保护

目前在政策的驱动下，国家要求企业、单位需满足等级保护和关键信息基础安全保护条例。其中等级保护中明确：三级/四级系统应采取技术措施实现新型网络攻击行为的分析。应用威胁情报、行为分析、机器学习、隐蔽信道等新一代检测技术，不仅满足等保新技术要求，还能帮助进行等保基础上更高要求的关保能力建设，合规和能力建设同步实现。

攻击检测和未知攻击

攻击采用免杀或未知木马、0day漏洞攻击等复杂手段，但现有的IDS/IPS/防火墙/WAF等产品无法检测，银行、运营商、电子政务等明确发文要防范APT攻击。天眸NDR应用全球领先威胁情报，精准检测APT组织、特征检测、沙箱、机器学习、隐蔽信道、场景化检测综合技术，全面检测已知和未知攻击、可以有效检测僵木蠕毒，尤其免杀、未知木马等。

攻防演练和重保护网

攻防演练已成常态化，参与队伍逐年增加，攻防演练活动中，防守方需要及时发现攻击方的攻击行为并进行响应处置，否则会失分。在业务、办公内网、第三方接入的位置部署天眸NDR可以实时监测攻击方惯用的网站攻击、钓鱼邮件、木马控制、Webshell和进入内网后的横向移动攻击，并及时告警进行威胁阻断，有效保障业务。

勒索、挖矿检测

勒索/挖矿方式和技术手段不断升级，勒索软件种类多、更新迭代快，杀软无法检测。部署天眸NDR可以利用威胁情报、协议特征从流量中识别攻击、通信和横向扩散，应用沙箱、机器学习、勒索诱捕等多种技术识别勒索/挖矿木马，同时还可以联动终端杀软/EDR/FW等进行隔离/查杀，通知运维人员进行处置，及时联动隔离/阻断勒索软件扩散。

1、有效应对金融行业“两高一弱”问题的专项整治工作 通过旁路无感式部署，快速监听内网所有的资产、提供的网络服务、以及开放的网络端口，并且结合API信息，梳理真实的网络关系，为解决“两高一弱”问题提供准确的信息。 2.信息安全“检测为王” 任何一款网络安全产品，发现威胁，是解决一切问题的开始。传统网络安全产品，如火墙单纯防护，对已开放的ACL无法做到威胁感知；一般IDS、APT产品，安全检测告警单一，真正威胁被海量告警淹没。国舜天眸NDR2.0创新“网、数”结合检测，做到了信息安全的全过程检测——预知：威胁预警、发生：攻击检测、过程：数据泄露预警。监测了来自实际网络中不法分子的以“攻击为手段”、“数据为目的”二次威胁。 3.告警分析“定位优先” 面对日常要处理海量告警数据，如何把工作做到位，威胁响应与企业内部信息化管理密不可分。国舜天眸NDR2.0实现轻量级资产管理，流量中自动识别资产、自动关联业务负责人。 将“告警”、“业务系统”、“资产”自动关联，做到安全响应闭环。再通过分析平台分权管理，可由各自业务线直接监测预警、威胁检测、溯源分析和响应处置。 4.守住“南北”不忘“东西” 网络建设重点安全检测与防护设备部署在互联网出口或网络边界，“内外网“或”跨安全域，管理控制边界带来的信息交换安全隐患。这样”一夫当关“的安全方案较为常见，也是三层网络设备（如三层核心交换机）投入成本限制所带来的技术局限性。在实际的较为大型网络情况往往，大量业务设备”东西“向流量无法通过二层设备流量镜像（如二层接入交换机）。国舜天眸NDR2.0实现了轻量级软探针采集流量技术，解决东西向流量采集困难导致无法进行威胁检测。