近日,赛迪顾问“2024 IT市场权威榜单”公布,奇安信威胁图谱分析系统获颁“新一代信息技术创新产品”奖,以表彰此系统在威胁情报领域,对推动技术进步、业态创新、促进行业数字化转型的引领作用。
| 奇安信威胁图谱分析系统,基于奇安信自有知识产权的“图关系模型和大数据分布式关联引擎的威胁情报自动化分析技术”,以及威胁发现能力模型,展示数据实体间的关联关系,并提供多方位下钻查询、拓线溯源能力,提供全面而深入的威胁情报视图,实现一定程度的威胁活动预测。
本系统支持对IP、URL、Hash、Domain、Email等多类型数据实体的单个查询及批量查询,快速、精准匹配想要的数据,提升情报查询效率及查询结果的关联丰富度,分析各类实体之间的关联关系和各种行为之间的因果依赖关系。
产品优势
| 智能化的多源异构数据采集及模型构建能力
通过NLP技术,可以从安全领域相关文章、博客、Twitter等数据中提取有价值的信息,并进行分类、聚类、实体抽取、关键词抽取等功能。将资产、威胁、漏洞、流量、日志等信息进行统一描述,打破数据鸿沟, 建立一套安全领域知识图谱的数据模型,包含安全领域实体、实体关系及相关属性。
| 丰富的基础数据驱动全面安全分析与决策能力
威胁知识图谱基础数据库构建在奇安信海量真实日志、样本和流量抽取的客观数据基础上,通过人工和机器的数据更新运营不断充实。该基础数据库包含百亿量级的节点和边,并每日以亿级别的更新量持续增长。它涵盖十多种节点类型和三十多种边类型,每个节点和边都具备独特的属性,用于辅助扩展分析。此外,基础数据库还积累了多个真实APT(高级持续性威胁)和现实关联分析案例的成果。
| 灵活可扩展的数据存储查询分析能力
奇安信威胁图谱分析系统采用 Nebula Graph 技术作为威胁知识图谱的存储和分析工具。Nebula Graph 是一种高性能的分布式图数据库,具备出色的横向扩展能力和并行查询处理能力。这使得威胁知识图谱能够快速地存储和处理大规模的关系数据,满足复杂查询和分析的需求。通过水平扩展的方式,系统可以轻松应对不断增长的数据量和查询负载,保持高效的性能。
应用场景
| 情报搜索和关联分析、拓展
- 知识图谱将搜索视为实体的搜索而非简单的字符串搜索,可用于构建知识层级的查询系统, 达到提升情报查询结果的相关程度及查询效率的目的;
- 通过构建威胁知识图谱并应用关联分析技术,可以扩展出一个之前未被发现的新C2服务器,并将其纳入威胁知识图谱中,扩大威胁情报的覆盖范围,丰富图谱中节点之间的关联关系,进一步提高对恶意组织的整体认知;
- 深入分析新的C2服务器,能够了解其特征、活动范围和攻击手法,从而更准确地评估该恶意组织对企业网络的威胁程度。通过与其他安全团队或合作伙伴共享威胁信息,有助于更好地应对恶意组织的威胁,提高整体网络安全水平。
| APT溯源分析及APT家族情报信息可视化展示
- 威胁知识图谱依托可视化关联分析技术,对威胁情报、网络原始日志、终端日志、告警日志进行关联分析,从攻击者视角完整还原攻击路径,从被控主机视角完整描绘被控主机网络行为,完整呈现威胁全貌,实现溯源分析;
- 通过将已知APT家族团伙的情报信息(团伙概要信息、基础设置、安全分析报告、技战法)整合到图谱中,安全研究人员可以更全面地分析和理解攻击者的行为,并提供对应的防御措施。这种可视化展示有助于跨团队合作、情报共享,加强对威胁的理解和防范能力。
| 未知黑产组织发现
- 通过构建威胁知识图谱,将非法恶意域名、证书信息和威胁情报等数据源进行整合,可以揭示未知黑产组织的关联关系和行为模式。例如,发现大量非法恶意域名解析到同一IP,并且这些域名都关联到两个特定的证书。利用威胁情报中的证书信息,包括证书所有者名称、所有者组织、所有者国家、证书状态以及与该数字证书相关的IP信息,可以推断出这些非法域名和IP都属于同一个黑产组织。进一步对所属IP和域名进行深入分析,可以获取更多关于该黑产组织的情报信息。
- 通过图谱的可视化展示,安全团队可以清晰地看到非法恶意域名、证书和IP之间的关联关系,帮助他们快速了解这个黑产组织的规模、活动范围和攻击手法。基于这些发现,安全团队可以制定相应的响应策略,如阻断恶意域名解析、封锁相关IP或向执法机构提供情报,以便打击该黑产组织并保护网络安全。
| 企业安全画像
-
通过基于DNS威胁检测引擎,结合企业出口IP、流量、样本和DNS请求数据,并融合威胁情报、漏洞情报、沙箱样本检测能力和安全通告资讯,构建了一个完整的基于企业的安全知识图谱。在这个图谱中,不同资产与威胁、漏洞或攻击类型形成关联,提供详细的威胁画像,使客户更清晰地了解各个资产所面临的具体威胁情况。
-
实时的威胁情报和安全通告资讯帮助企业及时了解新发现的威胁,采取相应的防御措施。通过将这些信息与企业现有的安全数据相结合,全面分析和评估当前的威胁态势,帮助企业进行风险评估和管理。
使用入口
目前,奇安信威胁图谱分析系统作为威胁情报分析的创新能力,用户可通过奇安信威胁分析平台ALPHA(https://ti.qianxin.com)体验完整功能。