AhnLab_template

Size: px

Start display at page:

Download "AhnLab_template"

基经
5 years ago
Views:

1 AhnLab Malware Defense System (MDS) APT 专用解决方案标准提案书

2 Contents 提案概要 MDS 介绍 MDS 特征产品构成及规格 Appendix: 用户界面 (User Interface)

3 1. 提案概要

4 安全趋势变化 (1/2) 随着互联网基础设施的扩大和持续发展, 通过互联网的恶意软件入侵也急增特别是, 最近的恶意软件为了避免安全解决方案的检测, 使用更加巧妙且高级的技术恶意软件自我保护技术的发展利用 Non-PE 文件漏洞 (Non-PE exploit) 盗用数据签名的恶意软件的增加工业公共设施的攻击增加发展为社会工程, 尖端技术 * PE(Portable Executable): 可移植可执行文件 4

5 安全威胁趋势变化 (2/2) 攻击者通过多样的 SNS 服务, 掌握攻击对象或者把 SNS 本身利用为攻击路径特别是, 最近利用 Non-PE 文件漏洞的攻击越来越增加安全威胁比重 47% 19% 17% 8% 6% 3% Adobe Reader MS Word Flash Player LibTIFF Internet Explorer Excel 来源 : Analysis Report of Targeted Cyber Attack and Response( 日本 IPA, 2012) 5

6 安全事件 (1/3) 越来越高级化且大规模的安全事故, 使被害机关在经济方面和知名度方面受到了致命的打击 H 社公司主页遭黑客攻击泄漏 8 千名志愿该公司的个人信息 N 社计算机网络瘫痪 N사전산망마비 H 社遭黑客攻击 H 사해킹 3.4 DDoS 攻击 R 社遭黑客攻击泄漏 1 万 2 千名个人信息电子图书馆系统服务器遭黑客攻击泄漏 630 万名个人信息 S 银行泄漏客户金融交易信息 S 购物网站等泄漏 2 千万名个人信息索尼 PSN 遭黑客攻击泄漏 7,700 万名个人信息 NASDAQ 计算机网络遭黑客攻击 Facebook 遭黑客攻击雅虎中国邮件遭黑客攻击 AT&T 遭黑客攻击 Twitter 遭黑客攻击发生 Stuxnet 损害 YouTube, itunse 遭黑客攻击 Facebook 遭黑客攻击泄漏 1 亿用户的个人信息本田美国公司遭黑客攻击泄漏 22 万客户信息 Google 黑客极光行动 6

7 安全事件 (2/3) 利用 SNS 服务及 Non-PE 文件漏洞的恶意软件感染事件利用奥萨马本拉登死亡的 Facebook 利用 Twitter 传播的恶意软件利用 MS Word 零日漏洞的恶意软件 7

8 安全事件 (3/3) 高级的恶意软件长期隐匿的攻击事件 Operation Aurora ( ) 可能源自中国的一场网络攻击除了 Google 外,20 多家网站遭受攻击 Stuxnet ( ) 伊朗核电站 SCADA 系统为目标的攻击导致核电站运行被中断 EMC RSA 入侵事件 ( ) EMC RSA 信息安全事业部发生入侵事件泄漏 two-factor 有关的信息 SONY PSN 入侵事件 ( ) 泄漏 7700 万用户的信用信息发生 240 亿美元以上的损失 8

9 APT 的定义高级持续性威胁 (Advanced Persistent Threat, APT) 是基于多样的 IT 技术和攻击方式, 制作多种安全威胁并锁定特定目标持续攻击的一系列行为传统的安全威胁单一的恶意代码高级的安全威胁模块化的恶意代码更新附加功能损失只限于受感染计算机攻击不特定的多数目标长期隐匿 2 次转移攻击锁定特定目标 9

10 APT 防御的重要性恶意软件生态系统活性化体系化 (1/2) 随着恶意软件生态系统的活性化, 拥有幕后势力 ( 该势力具有拥有明确目标和资金能力 ) 的组织参与恶意软件制作和传播漏洞分析家洗钱攻击工具开发者经济目的组织化的犯罪团体政治目的军事目的资金运送人恶意软件生态系统黑客国家情报机关黑客行为主义者团体信用卡盗用者僵尸网络管理员 10

Malnet 入侵途径搜索引擎及门户网站电子邮件恶意网站未分类网站正常网站未知网站 SNS

11 APT 防御的重要性恶意软件生态系统活性化体系化 (2/2) 随着 malnet(malware delivery network) 发展, 目前有数十 ~ 数万台主机运营 500 多个 malnet Malnet 入侵途径搜索引擎及门户网站电子邮件恶意网站未分类网站正常网站未知网站 SNS 网站色情网站来源 :Blue Coat Malnet Dashboard (Shnakule malnet) 11

12 APT 防御的重要性传统的安全解决方案的局限性 (1/2) 恶意软件制作者通过多引擎分析网站或地下的测试平台验证, 制作避开当前的基于特征码 (signature) 检测的新种恶意软件, 并利用在 APT 攻击多引擎综合分析网站 (VirusTotal 等 ) 恶意软件制作者检测恶意软件排除基于特征码的检测未检测恶意软件帅选基于特征码的安全解决方案无法检测地下的恶意软件测试平台 12

13 APT 防御的重要性传统的安全解决方案的局限性 (2/2) 仅利用传统的安全解决方案已无法防御高级的 APT 攻击传统的安全解决方案 APT 拦截与否防火墙 (FW) 通过网络访问控制阻止恶意软件入侵无法拦截通过允许地址入侵的恶意软件下一代防火墙 (NGFW) 通过应用程序控制阻止恶意软件入侵无法检测恶意软件入侵防御系统 (IPS) 通过基于网络的规则阻止恶意软件入侵无法检测需要基于文件分析的恶意软件有害网站拦截系统通过恶意 URL 拦截阻止恶意软件入侵无法拦截通过允许网站入侵的恶意软件防病毒 (AV) 检测已知恶意软件无法检测未知恶意软件 13

14 APT 攻击流程及响应方案 (1/2) APT 攻击根据攻击者的目的按照下面的流程进行攻击者企业内部命令 & 控制运营层 5 访问内部数据库 6 泄漏数据 1 传播恶意软件 4 更新恶意软模块 2 下载恶意软件 3 感染新种恶意软件网络层终端 ( 服务器 & 客户端计算机 ) 14

15 APT 攻击流程及响应方案 (2/2) 为了检测和响应 APT 攻击, 需要多样领域的安全技术基于网络设备的技术利用互联网服务感染恶意软件实时云数据库 Lookup 技术网络 + 端点联系的分析技术通过 C&C 服务器的调整恶意软件分析技术 + 自动分析系统更新恶意软件功能 15

16 2. MDS 介绍

17 AhnLab MDS 介绍 AhnLab MDS(AhnLab MDS) 是专门检测和响应 APT 攻击的下一代安全威胁响应解决方案正确地检测 APT 攻击中使用的恶意软件及时检测并修复被感染的主机多引擎恶意软件分析 17

18 AhnLab 恶意软件分析技术的设备化 MDS 是拥有 20 多年恶意软件分析技术和基础设施的 AhnLab 安全响应中心 (ASEC) 的核心技术体现为设备的产品 ASEC (AhnLab 安全响应中心自动分析基础设施收集样品静态分析动态分析分析结果 ASD (AhnLabSmart Defence 专家详细分析 AhnLab MDS 利用 ASD 基础设施基于 VM 的动态分析反向工程 (Reverse Engineering) 静态分析 * ASEC(AhnLab Security Emergency response Center):AhnLab 最优的恶意软件分析专家及安全专家组成的国际响应组织 * ASD(AhnLab Smart Defense): 提供基于 AhnLab 云计算的恶意软件威胁信息的基础设施 18

19 检测进化的恶意软件战略 - 多引擎 (1/3) MDS 为了检测通过网络入侵的大部分的已知恶意软件及少数的未知的 APT 攻击, 使用基于特征码 (signature) 和 signature-less 方式 Signature 检测 Reputation Feed 检测 Signature-Less 检测 Low 检测未知恶意软件的可能性 High High 收集恶意软件样品的必要性 Low 有害网站检测引擎 C&C 流量检测引擎 DDoS 流量检测引擎基于云计算的恶意软件分析引擎基于行为的恶意软件分析引擎基于动态内容的恶意软件分析引擎 19

20 检测进化的恶意软件战略 - 多引擎 (2/3) ASD 引擎有效检测通过网络流入的 90% 以上的已知恶意软件, 为了检测剩余 10% 的新种变种恶意软件, 进行基于虚拟机的分析本地 ASD 引擎 ASD (AhnLabSmart Defence 基于行为的分析引擎基于内容的分析引擎本地虚拟机 20

21 检测进化的恶意软件战略 - 多引擎 (3/3) 为了检测未知的恶意软件, 在虚拟的操作系统环境下使用多个恶意软件分析引擎基于行为的分析引擎基于动态内容的分析引擎恶意软件多层次行为分析文件漏洞分析使用行为分析技术在虚拟机上运行恶意软件进行行为行分析后判断恶意与否使用反向工程技术在发生恶意行为之前拦截程序的运行使用 MS Office Area-Hungul PDF Reader 等 ( 最多 20 个 VM) 虚拟机 21

22 AhnLab MDS 响应 APT 流程 _1 提取所有通过网络流入的文件, 进行恶意软件分析 Web FTP Messenger PE 文件 Non-PE 文件 AhnLab MDS 22

23 AhnLab MDS 响应 APT 流程 _2 通过多引擎检测已知和未知的恶意软件 PE 文件 Non-PE 文件 ASD DOC Header /JBIG2Decode Vulnerability Push ebp (shellcode) PE PDF Header SWF(Flash) SWF(Flash) PE PE XLS Header /JS /Filter 1awsag*sda;lsk Gjawleiqwq023; SWF(Flash) PE AhnLab MDS 23

24 AhnLab MDS 响应 APT 流程 _3 通过专用 Agent 对被感染的计算机进行自动或手动的修复 AhnLab MDS 24

25 AhnLab MDS 响应 APT 流程 _4 检测并拦截通过 U 盘或内部网络等多种路径被感染的计算机发生的异常流量 AhnLab MDS 25

26 引进效果确保对不确定的 APT 因素的可视性, 提示对 APT 攻击的差别化的响应方案不确定性确保可视性差别化的响应无法掌握文件是否恶意无法掌握文件流入的时点实时掌握恶意文件的存在与否实时掌握文件流入的时点正确检测和分析新种恶意软件无法掌握文件流入的路径实时掌握文件流入的路径实时防护无法掌握下载的文件行为实时掌握文件行为无法掌握下载文件的计算机情况实时掌握下载文件的计算机情况 APT 损害减至最低响应感染计算机 26

27 3. MDS 特征

AhnLab MDS 主要特征基于行为的新种恶意软件检测使用基于虚拟机的多引擎,

优化的引擎检测 MS Office pdf 和 hwp 等 Non-PE 恶意软件静态

识别非恶意的正常文件和恶意文件通过已知正常文件的预先分类工作, 减少了误诊网络和文件的联系分析

立即删除通过 Agent 恶意代码建立文件收集分析实时监控删除恶意文件的综合进程

28 AhnLab MDS 主要特征基于行为的新种恶意软件检测使用基于虚拟机的多引擎, 提高检测可信度使用基于行为的引擎和动态内容分析引擎检测 Non-PE 型新种恶意软件优化的引擎检测 MS Office pdf 和 hwp 等 Non-PE 恶意软件静态 (static) 和动态 (dynamic) 分析相结合的强大的结合误诊率达到最低识别非恶意的正常文件和恶意文件通过已知正常文件的预先分类工作, 减少了误诊网络和文件的联系分析分析基于网络的异常流量和提取的文件通过基于云计算的 ASD, 实时共享安全威胁信息主动响应立即删除通过 Agent 恶意代码建立文件收集分析实时监控删除恶意文件的综合进程成本效益以单一设备, 检测通过 Web FTP 和 SMB 流入的恶意软件提供多样的 NIC 选项, 还可以同时监控多线路 28

行为间多层次的分析云检测行为检测信誉检测行为行为行为行为行为行为行为特征码检测行为行为相关分析

29 基于行为的新种恶意软件检测 (1/3) AhnLab MDS 的基于行为的分析引擎不是简单的基于个别行为的检测, 而是对分析对象文件 URL/IP 的危险度信誉信息和有关文件的综合行为进行多层次的分析 AhnLab MDS 行为间多层次的分析云检测行为检测信誉检测行为行为行为行为行为行为行为特征码检测行为行为相关分析 URL/IP 检测 VS 竞争公司解决方案 : 基于个别行为判断行为特定注册表行为行为行为行为行为特定文件行为行为特定 IP 行为 29

基于行为的新种恶意软件检测 (2/3) AhnLab MDS 多层次分析平台除了基于云特征码信誉行为和文件相关分析, 还在网络层综合分析 URL/IP 信息和信誉信息, 极大化了新种恶意软件的检测率 2 基于特征码检测 - 通过 DNA 扫描诊断多样的变种恶意软件 - 对最初发现文件可以预先诊断 1 基于云的检测 - 可在最新云数据库信息实时确认 - 无需特征码更新实时反应 1 云检测

30 基于行为的新种恶意软件检测 (2/3) AhnLab MDS 多层次分析平台除了基于云特征码信誉行为和文件相关分析, 还在网络层综合分析 URL/IP 信息和信誉信息, 极大化了新种恶意软件的检测率 2 基于特征码检测 - 通过 DNA 扫描诊断多样的变种恶意软件 - 对最初发现文件可以预先诊断 1 基于云的检测 - 可在最新云数据库信息实时确认 - 无需特征码更新实时反应 1 云检测 (ASD) 2 特征码检测 (TS) 3 基于信誉的检测 - 拦截未确认安全性的程序 - 反应 IP 及 Domain 信誉恶意软件流入阶段 6 URL/IP 检测多层次分析完全封锁恶意软件 3 信誉检测实时检测响应新种变种恶意软件 URL/IP 检测 - 在恶意软件下载过程中分析和响应 - 无需特征码更新实时反应相关分析 5 行为检测相关关系分析 - 实时分析文件之间的相关关系 - 检测时相关文件整批诊断 4 基于行为的检测 - 源泉封锁零日漏洞 - 无需更新特征码可以预先诊断 - 检测恶意行为的类型 - 正确的检测 ( 信誉, 相关关系信息 ) 30

31 基于行为的新种恶意软件检测 (3/3) 通过基于行为的分析技术, 无需特征码及检测规则的更新检测零日攻击的事例如下检测到破坏 MBR 的新种恶意软件 (2013) 检测到引发 DDoS 攻击的新种恶意软件 (2013) 检测到生成破坏 MBR 的进程 AgentBase.exe 的行为检测到呼出 Taskkill 命令并结束安全软件管理进程的行为检测到根据受感染系统的 Windows 版本, 生成破坏硬件线程 (Thread) 的行为对使用 Anti-VM 功能的特定加壳 (packer) 包装的文件执行动态分析及判断恶意与否通过 tor ( 虚拟隧道网络 ) 网络, 检测到下载主 dropper 的行为向特定的 DNS 服务器生成随机域名并进行 DDoS 攻击发生 TCP 数据包 Outbound 网络连接破坏 MBR 功能发生 DDoS 流量 31

型恶意软件 Dynamic Intelligence Content Analysis DLL DLL

32 检测 Non-PE 型新种恶意软件 (1/4) 动态内容分析 (Dynamic Intelligence Content Analysis, DICA) 引擎是为了检测 MS Office PDF 等 Non-PE 型恶意软件而优化的引擎, 是 AhnLab 积累 20 多年恶意软件分析技术结晶文档形式的未知应用程序漏洞优化于检测利用已知漏洞的变种 Non-PE 型恶意软件 Dynamic Intelligence Content Analysis DLL DLL exe DLL Shellcode analysis exe DLL ROP ROP: Return-Oriented Programming 32

检测 Non-PE 型新种恶意软件 (2/4) AhnLab MDS 的 DICA 引擎装载了 Anti-ROP 技术, 该技术可以检测使用 ROP(Return-Oriented Programming) 攻击方式的 Non-PE 型恶意软件可以检测最近增加的利用 ROP gadget 的 Non-PE 型恶意软件可以检测迂回 Windows 本身内存保护功能的利用 ROP gadget

33 检测 Non-PE 型新种恶意软件 (2/4) AhnLab MDS 的 DICA 引擎装载了 Anti-ROP 技术, 该技术可以检测使用 ROP(Return-Oriented Programming) 攻击方式的 Non-PE 型恶意软件可以检测最近增加的利用 ROP gadget 的 Non-PE 型恶意软件可以检测迂回 Windows 本身内存保护功能的利用 ROP gadget 的 exploit Return-Oriented Programming(ROP) detection of DICA 恶意 shellcode 组合 (a-2+b-1) ROP gadget a-2 b-1 pop %eax; ret Mov (%eax), %ebx; ret 动态内容分析引擎 (DICA) 监控 ROP gadget 有可能引起的所有行动 ROP monitoring 检测内存领域, 该内存判断为利用 ROP 方式运行 shellcode 检查内存领域是否是恶意 shellcode a-1 a-2 a-3 正常进程 (A) b-1 b-2 b-3 正常进程 (B) ROP(Return-Oriented Programming) 组合存在于计算机内存的正常代码碎片运行恶意攻击代码, 迂回操作系统提供的内存保护功能, 最近广泛利用在 APT 攻击专利名 : 迂回内存保护功能的攻击诊断方法和装置申请号 : 申请日 : DICA 的 ROP 恶意软件诊断技术 33

34 检测 Non-PE 型新种恶意软件 (3/4) AhnLab 拥有有关动态内容分析 (DICA) 的独步的技术及恶意软件诊断专有技术, 并对相关的技术已注册或申请了国内外多数的专利动态内容分析有关的专利 DICA 1.0 DICA 2.0 hwp.exe hwp.exe hwp.exe hwp.exe DLL #1 DLL #1 DLL #1 DLL #1 DLL #2 DLL #2 DLL #2 DLL #2 DLL #3 DLL #3 DLL #3 DLL #3 Debug process Shell Code Shell Code Shell Code 正常 Suspicious Mode Candidate Mode Debugging Mode 专利名 : 恶意文件检测方法和装置申请 ( 注册 ) 号 : 申请日 : 注册日 : PCT: 申请 / 美国 : 申请 / 日本 : 注册 DICA 的有关检测未知恶意软件的技术专利名 : 检测 Non-PE 文件的方法和装置申请号 : 申请日 : 注册日 : PCT:: 申请 / 美国 : 申请 / 日本 : 申请 DICA 的有关检测 Non-PE 的技术专利名 : 利用调试事件的检测恶意 shellcode 的方法和装置申请号 : 申请日 : 注册日 : 美国 : 申请 DICA 的有关检测 shellcode 的技术 34

35 检测 Non-PE 型新种恶意软件 (4/4) 通过基于行为的分析技术, 无需特征码和检测规则可以检测到零日攻击的事例如下 Adobe Reader zero-day 恶意代码 (2013/02/18) Adobe Flash Player zero-day 恶意代码 (2013/02/13) 邮件附件形式 Visaform Turkey.pdf 嵌入 (Embedded) MS word 文件形式 * 참고 : CVE , CVE * 참고 : CVE 및 CVE Hwp 文件 zero-day 恶意代码 (2013/01/19) Hwp zero-day 恶意代码 (2012/10/10) 邮件附件形式邮件附件形式 35

36 误诊率达到最低 AhnLab MDS 通过 ASD 引擎实时分析已知恶意文件 ( 黑名单 ) 及正常文件 ( 白名单 ), 使误诊达到最少, 并只在检测新种变种恶意软件时使用虚拟机引擎, 从而提高性能 AhnLab MDS 竞争公司解决方案分析样品分类 Signature 分析产品 Signature-less 产品基于特征码黑名单黑名单特征码基于行为基于动态内容 VM 分析对象 graylist VS graylist VM 分析对象基于行为 graylist VM 分析对象基于特征码白名单误诊可能性 (+) VM 负载 (+) 误诊可能性 (++) VM 负载 (++) 误诊可能性 (+++) VM 负载 (+++) 36

37 网络和文件的联系分析 (1/2) 利用多样的引擎执行基于流量和文件的分析, 从而可以预先对应恶意文件和僵尸机基于网络的分析 Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine ASD (AhnLabSmart Defence) 恶意软件信息恶意 URL 网络行为特性 DDoS 攻击特性信誉信息恶意 URL, C&C 信息基于文件的分析 Cloud based Malware Analysis Engine Behavior based Malware Analysis Engine Dynamic Intelligent Content Analysis Engine 虚拟机环境 PE 文件 Non-PE 文件文件特性行为特性动态码分析 37

38 网络和文件的联系分析 (2/2) 反映了自己装载的引擎的分析和诊断, 并基于云的最新安全威胁执行正确的分析提供庞大的检测策略基于多样文件的分析检测分类引擎种类规则数基于网络的检测基于文件的检测 Malicious Site Detection Engine Flow Inspection Engine DDoS Attack Detection Engine Cloud based Malware Analysis Engine Behavior based Malware Analysis Engine Dynamic Intelligent content Analysis(DICA) 约 10,000 个 (URL) 约 900 个约 1,000 个约 8 亿个约 200 个不需要规则分类详细项目说明基本文件信息检测文件行为 File Basic Information Mail Information File Monitor Process Monitor Registry Monitor Network Monitor Injection Monitor Kernel Monitor API Monitor 基本文件运行信息邮件发送行为信息检测生成文件等行为检测进程的行为检测注册表更改的行为检测网络访问的行为检测文件进程注入行为检测内核行为检测 API 行为文件动态分析 Content Analysis 文件内容动态分析多样协议文件的分析协议 HTTP, FTP, POP3, IMAP, SMTP, SMB, NFS, IM 等 ( 各协议可以设置 16 个服务端口 ) HTTP = Any Port PE 文件 EXE, COM, DLL, DRV, OCX, SCR, SYS 等 PE 格式的可移植可执行文件 non-pe 文件文档文件宏文件脚本文件可执行压缩文件图像文件 hwp, doc(x), ppt(x), xls(x), pdf, gul 等 doc(x), xls(x), ppt(x), SHS 等 ASP, BAS, BAT, CHM, DRV, EML, HTA, HTM, HTML, HTT, INI, JS, JSE, KEY,..LNK, MRC, NWS, PHP, PIF, PL, SH, VBE, VBS 等与文件扩展名无关, 可以收集协议内的所有文件 DIET, LZEXE, PKLITE 等 gif, bmp, pdf, jpeg, jpg, jpe, png 等 38

39 主动响应 (1/3) AhnLab MDS 对于访问 C&C 服务器及恶意软件发布网站等异常流量, 提供在网络级别的拦截功能 ( 与安装专用 Agent 与否无关 ) 网络级别的拦截功能网络层拦截对象事件 Internet TCP Reset C&C 流量检测事件 C&C 服务器 Mal-site 访问恶意网站检测事件传送上下重置封包网络层拦截方式 TCP Reset 对象协议 TCP UDP DNS 请求拦截方式传送 TCP 重置封包到客户端和服务器传送 ICMP 不能到达的数据包到客户端和服务器传送 garbage DNS 响应数据包到客户端用户 39

40 主动响应 (2/3) AhnLab MDS 利用专用 Agent 对于下载恶意软件的主机进行自动 / 手动删除 AhnLab MDS 竞争公司解决方案网络层收集文件网络层收集文件诊断恶意软件 VS 诊断恶意软件自动 / 手动删除指令首次响应延迟 - 无法掌握计算机用户端点层端点层删除恶意软件 2 次响应延迟 - 无法实际采取措施运行 AV? 手动删除? 计算机格式化? 40

41 主动响应 (3/3) AhnLab MDS 利用专用 Agent, 对于未确认恶意与否的文件保留运行, 即提供运行保留 (execution holding) 功能分析所需时间响应所需事件提取文件及开始分析下载计算机里的文件运行下载的文件分析完成及判断为恶意传达删除指令基本的修复功能运行恶意软件, 可能发生恶意行为 1 4 AhnLab MDS AhnLab MDS Agent AhnLab MDS Manager MDS MDS 3 MDS MDS 2 5 运行保留功能 execution holding 判断为正常允许运行 Execution Holding 判断为恶意维持运行保留拦截潜在的恶意软件的运行 41

42 成本效益 (1/2) AhnLab MDS 通过单一的分析系统, 收集 HTTP, SMTP/POP3/IMAP, FTP, SMB( 文件共享 ) 等主要互联网服务的流量, 并进行恶意软件分析, 不需要引进特定协议专用的解决方案 AhnLab MDS 竞争公司解决方案 Web SMB FTP Web SMB VS AhnLab MDS Web 专用分析系统专用分析系统 File 专用分析系统 42

43 成本效益 (2/2) AhnLab MDS 提供弹性网络接口选项, 客户无需额外的费用就可以构筑, 用 1 台设备就可以同时监控多线路, 因此管理很容易 AhnLab MDS 竞争公司解决方案 10G 10G AhnLab MDS 1G copper x 10 port 1G fiber x 8 port 10G fiber x 2 port 分配器 / 聚合器 43

44 竞争公司比较资料分类 MDS 海外 A 公司海外 B 公司主要技术基于行为的文件分析基于动态内容的文件分析基于行为的文件分析基于 AV 引擎的文件分析构成及性能通过 Agent 修复 Out-of-band 方式提供 10G fiber 选项无 Agent In-line / Out-of-band 方式不支持 10G fiber : 需要 Smart TAP 通过 Agent 修复 Out-of-band 方式不支持 10G fiber : 需要 Smart TAP 恶意软件分析体系基于特征码的分析基于行为的分析 ( 虚拟系统 ) 基于内容的分析 ( 虚拟系统 ) 基于特征码的分析基于行为的分析 ( 虚拟系统 ) 基于特征码的分析沙箱模拟判断已知正常 / 恶意文件的技术利用内部及基于云的数据库同时判断恶意文件和正常文件利用内部及基于云的数据库基于行为的分析结果, 恶意 / 正常判断模糊利用 AV 引擎, 只对恶意文件进行判断判断未知恶意文件的技术基于行为的分析 ( 判断恶意 / 正常 ) 基于内容的分析 ( 判断恶意 / 正常 ) 基于行为的分析结果, 恶意 / 正常判断模糊沙箱模拟委托海外分析中心判断支持本地应用程序与否分析 Non-PE 文件 : 支持 ( 包含 Area Hangul) 分析压缩文件 : 支持 ( 包含 alz) 分析 Non-PE 文件 : 部分支持分析压缩文件 : 部分支持分析 Non-PE 文件 : 部分支持分析压缩文件 : 部分支持误诊响应能力对正常文件的误诊率为 0 % 响应 Agent 技术删除检测到的恶意软件 ( 自动 / 手动 ) 回复删除的文件提取可疑文件运行保留功能 (execution holding) 没有正常文件信息有可能对正常文件误诊因没有 Agent, 无法修复受感染计算机没有正常文件信息有可能对正常文件误诊删除检测到的恶意软件回复删除的文件备注对基于行为的恶意软件分析局限没有克服的方案 ( 发生大量的误诊 ) 因为不是 AV 供应商, 因此通过恶意软件分析的特征码数据库很贫乏虽然增加了沙箱模拟功能, 但是目前为止进行 AV 引擎中心的特征码分析因为依赖于特征码分析, 所以对未知恶意软件分析存在局限性 44

45 NSS Labs 评价结果 ( ) AhnLab MDS 在 2013 年 7 月 NSS Labs 发表的违反检测系统产品分析 [Breach Detection System Product Analysis] 测试中记录高分, 并获得了 NSS 认证吞吐量 Mbps 违规检测 % 稳定性和可靠性 AhnLabMDS 在本次测试中记录了 1,000 Mbps 的吞吐量, 94.7% 的信息泄漏防止及诊断率并且, 在对稳定性和可靠性检测中通过了所有的项目 " NSS Labs (www. nsslabs.com) NSS Lab 是全球最知名的独立安全研究和评测机构, 向多数企业 CEO, CIO, CISO 及信息安全专家提供可以信任的测试结果 45

46 4. 产品构成及规格

47 产品构成 (1/3) 基本单独型检测恶意软件和异常流量 (Analyzer) 综合监控和日志管理 (Data Viewer) 修复和 Agent 管理 (Host Controller) AhnLab MDS 综合监控和日志管理 (Data Viewer) 修复和 Agent 管理 (Host Controller) AhnLab MDS Manager 删除检测到的恶意软件和收集可疑文件 (Agent) MDS Agent 47

48 产品构成 (2/3) AhnLab MDS 产品名称 AhnLab MDS 主要功能收集和分析主要互联网服务协议文件 (HTTP, SMTP, SMB, FTP 等 ) 监控入站和出站流量通过基于虚拟机的分析, 分析新种恶意软件 ( 同时运行最多 10 个虚拟机 ) 装载了 Non-PE 型恶意软件分析引擎 (MS Office,pdfreader 等 ) 检测并阻止通过受感染计算机或 C&C 通信访问有害网站检测从受感染计算机的 DDoS 流量支持多种的网络接口选项 (1G copper/fiber 及 10G fiber) 通过仪表板提供安全状态及主要事件信息下载检测到的文件对 VM 分析过程及 C&C 检测内容, 提供基于 PCAP 的数据包捕获, 并下载 PCAP 文件修复受感染的主机上的恶意软件 ( 自动 / 手动 ) 对于恶意软件分析中的 PE 文件, 提供运行保留 (execution holding) 功能提取被恶意软件感染的主机上的可疑文件恢复已删除的文件提供多种分析报告模版提供自动及手动备份数据库设备类型产品阵容 AhnLab MDS 2000 (Throughput: 1 Gbps / Hosts: 500) AhnLab MDS 6000 (Throughput: 3 Gbps / Hosts: 1,000) 48

49 产品构成 (3/3) AhnLab MDS Manager 产品名称主要功能产品阵容 AhnLab MDS Manager 通过仪表板提供安全状态及主要事件信息实时确认恶意软件和异常流量状态显示事件日志 IP 地址行为细节 ( 文件 / 进程 / 注册表 / 网络 ) 下载检测到的文件对 VM 分析过程及 C&C 检测内容, 提供基于 PCAP 的数据包捕获, 并下载 PCAP 文件提供多种分析报告模版修复受感染的主机上的恶意软件 ( 自动 / 手动 ) 提取被恶意软件感染的主机上的可疑文件对于恶意软件分析中的 PE 文件, 提供运行保留 (execution holding) 功能恢复已删除的文件通过 Controller, 提供 Agent 功能及补丁更新提供对个别 / 所有主机的公告对 Agent 数量增加可以弹性响应的 Server farm 形式的扩张功能对未安装 MDS Agent 的主机自动发布安装文件自动及手动数据库备份功能与第三方安全管理系统 (SIEM, ESM) 互操作的系统日志转发支持 RAID 5 选项 (5000R 及 10000R 型号 ) 设备类型 AhnLab MDS Manager 2000 (Log: Max 20,000 MPS, Host: Max 2,000) AhnLab MDS Manager 5000 (Log: Max 25,000 MPS, Host: Max 5,000) AhnLab MDS Manager 5000R (Log: Max 25,000 MPS, Host: Max 5,000) AhnLab MDS Manager 10000R (Log: Max 50,000 MPS, Host: Max 10,000) 49

构筑方案 (1/4) 提供基本的检测日志修复功能一体化的设备 (MDS), 还根据客户环境弹性构成 ( 如,MDS + MDS Manager) 小公司分公司 (SOHO) 中型企业

AhnLab MDS Agent AhnLab MDS Analyzer ( 检测分析 ) AhnLab MDS Manager Data Viewer ( 监控 ) Host

监控 ) AhnLab MDS Manager Host Controller ( 修复 ) AhnLab MDS Agent AhnLab MDS 2000 AhnLab MDS 6000 -

AhnLab MDS Manager 5000R AhnLab MDS Manager 10000R - AhnLab MDS Manager 5000R AhnLab MDS Manager

50 构筑方案 (1/4) 提供基本的检测日志修复功能一体化的设备 (MDS), 还根据客户环境弹性构成 ( 如,MDS + MDS Manager) 小公司分公司 (SOHO) 中型企业 (SMB) 大企业 (Enterprise) AhnLab MDS Analyzer ( 检测分析 ) Data Viewer ( 监控 ) Host Controller ( 修复 ) AhnLab MDS Agent AhnLab MDS Analyzer ( 检测分析 ) AhnLab MDS Manager Data Viewer ( 监控 ) Host Controller ( 修复 ) AhnLab MDS Agent AhnLab MDS Analyzer ( 检测分析 ) AhnLab MDS Manager Data Viewer ( 监控 ) AhnLab MDS Manager Host Controller ( 修复 ) AhnLab MDS Agent AhnLab MDS 2000 AhnLab MDS AhnLab MDS agent AhnLab MDS 2000 AhnLab MDS 6000 AhnLab MDS Manager 2000 AhnLab MDS Manager 5000 AhnLab MDS Manager 5000R AhnLab MDS Manager 10000R - AhnLab MDS agent AhnLab MDS 2000 AhnLab MDS 6000 AhnLab MDS Manager 2000 AhnLab MDS Manager 5000 AhnLab MDS Manager 5000R AhnLab MDS Manager 10000R - AhnLab MDS agent 50

51 构筑方案 (2/4) Type A MDS MDS Manager MDS agent 检测恶意软件及异常流量 + 综合监控及日志管理 + 修复及 Agent 管理设备型 (HW 及 SW 一体化 ) AhnLab MDS Agent AhnLab MDS Manager MDS Agent SW 型 51

52 构筑方案 (3/4) Type B MDS MDS Manager MDS agent 检测恶意软件及异常流量 AhnLab MDS (Analyzer) 设备型 (HW 及 SW 一体化 ) 综合监控及日志管理 + 修复及 Agent 管理 AhnLab MDS Manager (Data Viewer + Host Controller) 设备型 (HW 及 SW 一体化 ) Agent AhnLab MDS Agent MDS Agent SW 型 52

Viewer) 设备型 (HW 及 SW 一体化 ) 修复及 Agent 管理 AhnLab MDS Manager (Host

53 构筑方案 (4/4) Type C MDS MDS Manager MDS agent 检测恶意软件及异常流量 AhnLab MDS (Analyzer) 设备型 (HW 及 SW 一体化 ) 综合监控及日志管理 AhnLab MDS Manager (Data Viewer) 设备型 (HW 及 SW 一体化 ) 修复及 Agent 管理 AhnLab MDS Manager (Host Controller) 设备型 (HW 及 SW 一体化 ) 专用 Agent AhnLab MDS Agent MDS Agent SW 型 53

54 AhnLab MDS 结构图 : 基本 AhnLab MDS 提供收集恶意文件分析监控响应的综合响应 APT 流程 2 检测异常流量 3 分析和检测恶意文件 1 接收 Mirroring Traffic MDS 4 监控检测情况对恶意文件采取措施的指令 5 ( 自动 / 手动 ) 8 结果监控 6 发送修复命令 MDS Agents 7 删除恶意软件 54

55 AhnLab MDS 结构图 : 扩张 AhnLab MDS 提供收集恶意文件分析监控响应的综合响应 APT 流程 4 监控检测情况 1 接收监控流量 2 3 检测异常流量分析和检测恶意文件 MDS Manager (Data Viewer) 恶意文件删除指令 5 ( 自动 / 手动 ) MDS 8 结果监控 MDS Manager (Host Controller) MDS Manager (Host Controller) 6 传达指令 MDS Agent 7 对恶意文件采取措施并传送结果 55

AhnLab MDS 提案构成事例 : 总部 - 分公司区间 Centrally controlled by HQ HQ MDS (Analyzer for HQ Internet zone) MDS (Analyzer) MDS Manager (Host Controller) Branch A MDS Manager (Data Viewer for HQ

56 AhnLab MDS 提案构成事例 : 总部 - 分公司区间 Centrally controlled by HQ HQ MDS (Analyzer for HQ Internet zone) MDS (Analyzer) MDS Manager (Host Controller) Branch A MDS Manager (Data Viewer for HQ Monitoring) MDS Manager (Logs sent to HQ s Data Viewer) MDS (Analyzer) Branch B MDS Manager (Host Controller) MDS Manager (Host Controller for HQ Client PCs) MDS Manager (Logs sent to HQ s Data Viewer) 56

57 AhnLab MDS 产品规格 (1/2) 类别 AhnLab MDS 2000 AhnLab MDS 6000 性能 1 Gbps 500 host 3 Gbps 1,000 host CPU Intel Xeon 3.4 Ghz Intel Nehalem 2.53 Ghz * 2 EA 内存 16 GB (4 GB * 4 EA) 32 GB (8 GB * 4 EA) HDD 1 TB 1 TB SSD 256 GB 512 GB 产品规格接口 ( 基础 ) 1G Copper * 5EA 1G Copper/Fiber * 4EA 1G Copper * 2 EA 1G Fiber * 8 EA 接口 ( 选项 ) - 1 G Copper * 8 EA 10 G Fiber * 2 EA 冗余双电源支持支持机箱 2U, 19 英寸 2U, 19 英寸监控方式镜像 / TAP 镜像 / TAP 转载 VM 分析用 SW 5 EA (No additional VM) 20 EA 57

58 AhnLab MDS 产品规格 (2/2) 类别 AhnLab MDS Manager 2000 AhnLab MDS Manager 5000 AhnLab MDS Manager 性能最大 10,000 MPS 500 host / 2,000 hosts 最大 25,000 MPS 1500 host / 5,000 hosts 最大 50,000 MPS 3,000 host / 10,000 host CPU Intel i3-2100(3.1ghz) Intel Xeon E3-1230(3.2GHz) Intel Xeon E3-1270(3.4GHz) 内存 4GB(2GB * 2EA) 8GB(2GB * 4EA) 16GB(4GB * 4EA) HDD 500GB 1TB(500GB*2EA) 4TB(1TB*4) HDD Bay 2 个 4 个 12 个产品规格 RAID 不支持选项 (RAID 5) 基本 (RAID 5) 接口 1G Copper*2EA 1G Copper*2EA 1G Copper*2EA 冗余双电源不支持不支持不支持机箱 1U, 19 英寸 1U, 19 英寸 2U, 19 英寸 SATA 3 500GB/ 7,200RPM HDD 选项 SATA 3 1TB/ 7,200RPM SATA 3 2TB/ 7,200RPM MPS: Message Per Second 类别操作系统 Client PC OS : Windows 2000 / XP / Vista / 7 / 8 Server OS : Windows Server 2000 / 2003 / 2008 * 支持 32/64 bit MDS Agent 58

59 Appendix: 主要用户界面

60 主要用户界面主仪表板 60

61 主要用户界面 Discovery > Host 61

62 主要用户界面 Discovery > Malware 62

63 主要用户界面 Discovery > Malware 63

64 主要用户界面 Discovery > Infection Path 64

65 主要用户界面 Discovery > Infection Path 65

66 主要用户界面 Discovery > C&C Traffic 66

67 D E S I G N Y O U R S E C U R I T Y

Magic Desktop

基础指南本手册介绍如何使用 Magic Desktop 概述... 2 外观... 3 操作... 4 规格... 19 PFU LIMITED 2013 Magic Desktop Magic Desktop 是让您在移动设备和云时代中管理信息的软件应用程序以下数据可分入不同工作群组或个人群组中通过 ScanSnap (*1) 扫描的数据在 ipad/iphone/ipod