4月16日至19日, RSA 2018安全大會在美國三藩市Moscone中心舉行, 大會以“Now Matters(現在很重要)”為主題, 面向世界安全行業發出號召, 共同應對網路安全威脅。 國內互聯網安全領軍企業360公司參加本次大會, 並向世界首次集中展示了由DDoSMon、ScanMon和DNSMon三項系統構成的全網威脅即時監控系統, 讓整個安全行業看到了我國先進的威脅情報服務能力。
DDoSMon——監測全球範圍內DDoS攻擊日均2萬次
DDoS攻擊即分散式拒絕服務攻擊, 將多個電腦串聯作為攻擊平臺, 利用大量合法請求佔用網路資源以達到網路癱瘓的目的, 從傳統單一的網路攻擊, 到最近的MiraiIoTbotnet攻擊和Memcachereflection amplification攻擊, 伴隨著T時代的來臨, DDoS攻擊的規模越來越大, 給網路安全造成了難以估量的損失。
基於360長期積累的網路分析資料和能力, DDoSMon監測系統可即時感知DDoS攻擊行為、受害者, 該系統最早於2016年RSAC大會公佈, 其核心技術是流量統計模型和使用者監控物件體系,
目前針對骨幹網路流量的分析, 360公司將DDoSMon系統升級, 能夠即時監測全球平均每天兩萬次左右的DDoS攻擊, 為免費用戶提供全球DDoS攻擊統計概述, 包括攻擊事件數量, 攻擊類型, 攻擊目標分佈等內容。 同時, 為合作夥伴及付費用戶提供包括揭示相關DDoS攻擊命令和DDoS攻擊預警訂閱服務, 説明使用者及時應對並減少損失傷害。
ScanMon——第一時間感知網路掃描和識別相應的攻擊者
作為網路空間中普遍存在的安全威脅, 本是用來探查主機和服務的網路掃描, 常被攻擊者用來定位潛在受害使用者, 而ScanMon系統可為使用者提供全球網路掃描行為和即時資料、歷史情況的追溯服務。
在2016年ISC和2017 RSAC大會上, 360公司兩次公佈ScanMon系統, 該系統通過分析大量網路資料, 可在第一時間感知網路掃描行為, 並方便有效識別對應的攻擊者, 直觀地顯示網路掃描攻擊行為的關鍵資訊。
由於網路掃描一般發生在網路攻擊行為的早期階段, 及時監測掃描行為有助於打擊惡意網路攻擊, 例如Mirai和Satori Botnet的持續跟蹤過程中, ScanMon系統為快速監測攻擊行為起到了至關重要的作用。
DNSMon——日均處理240億請求覆蓋超國內10%的DNS流量
DNS(網域名稱系統)是互聯網的核心基礎設施, 作為功能變數名稱與IP位址相互映射的分散式資料庫, 大多數的網路應用程式通過DNS系統通信, 因此及時監測並阻止異常功能變數名稱有利於阻止原始程式碼的惡意攻擊。
早在2014年, 360公司就開始運行了PassiveDNS系統以監測DNS請求, 該系統日均處理240億的DNS請求, 覆蓋了中國超過10%的DNS流量。 在原有的PassiveDNS系統基礎上融合大資料技術, 360公司新近研發出DNSMon系統即時監測惡意功能變數名稱, 並于2018年全新推出。
DNSMon系統能夠從DNS請求量、來源、類型和異常的域間相關性等不同方面進行監測, 包括但不限於。 此外, 還能夠結合其他資料視圖對異常功能變數名稱進行風險綜合評估, 提前發現潛在的威脅。
DDoSMon、ScanMon和DNSMon三項系統分別提供拒絕服務、網路掃描、功能變數名稱異常的監控能力, 構成了360公司全網威脅即時監控系統, 成為本次RSA大會最大的亮點之一。 大會“Now Matters”主題暗含及時行動之意, 而360公司所展示的先進威脅情報服務能力,