北京国御科技有限公司 - 网络攻击入侵线索排查处置平台（X01）

网络攻击入侵线索排查处置平台

公安部第一研究所-X01

网络攻击入侵线索排查处置平台立足可持续入侵检测、未知威胁发现的需要，构建文件及外联全息建档、“云网端机”协同取证固证、大数据滚动筛查未知威胁、十大情报动态碰撞检测、网络入侵发现预警等能力，实现“联防联控、动态防御”的目标，帮助客户建设“共同防御”体系，提前预警、防患未然。

产品核心能力

探针报警

快速识别安全事件并采取相应的措施，以确保系统的安全性，并监控各探针的存活状态和使用情况，当发生入侵事件时，能够在60秒内快速发现并预警，提升自动化响应和处置的及时性。
沙箱检测

对样本进行聚类，确认样本类型，包括：远控木马、僵尸网络、蠕虫病毒、APT家族等。精准定位勒索病毒，输出样本检测报告、样本基础信息、样本行为动作等数据。
事件处置

针对发生的安全事件或网络攻击行为，通过双向认证接口和人工检查点，完成相应事件安全处置操作下发的流程。
情报查询

内置情报引擎，沉淀行业特色情报，提供情报查询及联查功能，包括五类情报：恶意IP、恶意域名、恶意URL、木马病毒、社工邮箱/邮件。
攻击取证

定义探针取证接口，通过平台实时调取探针收集相关数据，将不同的攻击活动进行关联，并深入的调查和分析，收集和保存相关证据，为溯源提供支撑。
追踪溯源

基于多源日志和流量数据的汇聚融合，进行综合分析，还原入侵攻击链条，云网端机协同作业，深度挖掘隐藏线索，提供攻击源的溯源能力。

产品结构

关键技术

“云网端机”协同取证固证

结合一所云中心情报，实现网络取证、终端取证、协同采集、取证分析、固证存证等功能，有效支持网络攻击事件的调查和处置。
十大情报动态碰撞检测

拓宽威胁情报共享渠道，汇聚360、阿里、腾讯、华为、奇安信以及一所自有情报等多方情报信息，实时共享、联动处置。
大数据滚动筛查未知威胁

利用大数据技术结合发现模型，实现对海量数据进行定期的处理和分析的自筛动查可发现已知、未知威胁和安全漏洞等。

全网文件、外联全息建档

通过X01平台实现全网文件哈希、外联关键信息的分析、在线存储、统一管理，形成可信档案。
网络入侵60秒发现预警

X01平台联动各类探针,当发生入侵事件时，能够在60秒内快速发现并发出预警，提升自动化响应和处置及时性。
威胁风险画像

提取对应的网络攻击行为特征，通过各探针联动取证分析，结合一所云情报中心及行业独有的威胁情报数据，定位APT组织入侵攻击链条，描绘攻击者画像。

应用场景

场景一：“僵木蠕勒”监测防御场景

面对高级网络武器、APT攻击等为代表的新一代攻击渗透技术，现有安全防护和监测预警能力已存在一定的差距和不足。在重要行业单位内网构建“僵木蠕勒”监测防御能力，实现多维度监测发现、全方位取证溯源和高效率查处整改，有效解决整个行业内网遭受僵尸网络、远控木马、勒索病毒、APT攻击等已知和未知威胁攻击的问题，以适应重要行业网络安全实战化建设和运营需要。

场景二：未知威胁发现场景

随着当前黑客的攻击手段、攻击工具的不断迭代更新，再依赖传统的基于特征、单一情报源的方式，难以发现未知威胁。构建多源情报共享、多层次威胁分析、多种取证手段等能力，结合端点构建的“堡垒锁”创新功能，针对新型文件威胁、无文件攻击、内存攻击等新型威胁，打造智能化的行为分析引擎，有效应对无文件攻击、内存攻击、ROP等APT攻击。

场景三：实战化防御联防场景

为应对当前国际网络安全形式巨变，高强度、常态化的实战对抗，攻防两端实力悬殊。实现资产梳理、主机、终端、流量、邮件等多个方面安全信息采集、数据统一管理、异常数据分析、提炼分析模型、统一管理、联动情报共享系统，准确捕捉攻击入侵行为和线索排查处置，以适应重要行业网络安全常态化、实战化、体系化防护需要。

立足可持续入侵检测、未知威胁发现的需要

实现“联防联控、动态防御”的目标，提供疑难问题排查、补丁升级、安全咨询等服务，帮助客户建设“共同防御”体系，提前预警、防患未然。