隐卫-内网安全风险监测系统（IRS）

边界防御失效，如何有效发现内网受控主机？

如果您认为自己的安全建设很完备，可以完全抵抗外部威胁，请三思而行。据不完全统计，我国关键信息基础设施单位每年受到大约 350,000 次网络攻击，其中大约有20%攻击是成功的，平均发现时间大于200天。在成功的攻击中，数据和软件被读取、窃取、修改或破坏。这些网络攻击带来的损失超乎想象。随着黑客攻击手法的迭代创新，企业内部网络威胁形式呈现了多样化、复杂化的特点。特别是涉及重要网络设施和数据的关键单位面临更加严峻的网络威胁，一方面不仅仅是常规的网络渗透，另一方面，会长期面临着境外国家级黑客组织更加隐蔽的网络攻击威胁。在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要，更加需要加强针对受控主机的风险监测预警能力。

黑客组织控制的失陷主机往往具有无规律性、高隐蔽性的特点，IP、域名跳板往往只存活几个小时，常规威胁情报失效。“影卫”系统通过对主机失陷后的异常流量行为建模，可以有效发现内网受控主机，将受控主机的发现时间缩短到24小时内。

//Product

产品简介

隐卫定位于针对内网安全风险监测进行自动化风险评估，该系统通过旁路方式部署于内部核心交换区，通过高性能处理能力实现对实时万兆并发流量的处理，通过对流量数据的深度学习，实现对内网重要网络资产的有效识别，结合流量基线模型、关系模型、异常网络行为模型、数据转发模型等高级数据分析能力，实现对内部网络的自动化风险评估，并能在小时级的时间范围内自动化发现潜伏中的黑客，准确定位受控主机，最终实现将已失陷主机的损失降到最低。

//Product value

产品价值

发现潜伏中的攻击行为

本系统通过对TCP会话、ICMP会话、IP会话等多种通讯日志进行自动化模型匹配，能够在万兆海量流量中发现攻击者的蛛丝马迹。

缩短受控主机发现时间

黑客一旦攻入内网，将会想方设法的隐藏自己。传统的安全防御机制往往缺乏受控主机发现能力。系统通过能够在最短15分钟内自动发现受控主机。

及时发现横向渗透

攻击者往往将第一个受控主机作为落脚点，进而对内网发起横向渗透寻找高价值目标。系统通过模型能够有效发现攻击者的内网横向渗透行为。

//functions

主要功能

被动资产识别

在高速发展的大型网络中，能够有效管理所有网络资产是一项艰巨的任务。该系统基于流量深度学习技术，采用被动模式收集网络通讯行为，端口，周期，流量，成功会话等因素，实现对内网资产的准确识别。

资产风险自动评估

网络安全运营团队每天都要面临大量的告警，除了外部威胁，还要实时关注内部应用系统是否面临风险。系统基于多种检测模型、实现对每个资产的安全风险进行自动评估，有效提升安全运营工作效率。

多维度安全检测

再高级的攻击者都会留下痕迹，对于APT攻击者而言会利用加密流量、端口复用、隐蔽信道等手段隐藏自己。本系统利用行为模型、风险端口、弱密码、特权行为等自动化检测能力，实现对受控主机的准确发现。

全流量数据回溯分析

黑客一旦渗透进入内网，一定会想法设法寻找重要资产和重要网络设施，安全团队也需要对于内网渗透对象和手法分析，才能全面评估和正确响应，系统能够基于全流量、元数据、样本、等数据进行回溯分析，快速评估受害面。

防火墙联动

通过自动化的风险评估，多种告警风险叠加，以及对不同网络资产的风险响应策略管理，系统能够于防火墙自动化联动，快速有效的阻断攻击者对于受控主机的控制能力。防止黑客对重要数据进行窃取或破坏。

可视化风险监控

系统基于对海量通讯行为的基线学习，能够自动绘制内网的关键节点通讯图，并自动形成网络拓扑关系图。分析人员通过监控视图可以直观了解所有重要资产服务关系，是否存在影子资产，是否存在新的风险因素等信息。

//topology

Gallery

Contacts