DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

美国高防_防ddos攻击产品_无缝切换

01-12 WEB安全

美国高防_防ddos攻击产品_无缝切换

关于审讯调查提供了一个数据采集和分析平台。为网络防御者提供阻止攻击、检测复杂漏洞、发现敏感数据泄漏以及搜索其他看不见的活动的能力。基于必要性而构建,其功能集由经验丰富的SOC分析师驱动,在ddos1/12186.html">美国国防部全球网络中拥有超过15年的实际操作经验。我们已经自动化了SOC分析员通常的日常任务。结果导致分析师级的审查速度达到数千兆位,同时减少了警觉疲劳和挫败感,从而使宝贵的人力时间可以花在重要的地方。InQuest通常部署在入口/出口点,在那里它可以捕获和检查穿越网络周界的所有数据包。我们的口头禅是"把所有的东西和厨房的水槽都扔到恶意软件的预防问题上来"。我们运用了多种策略,不仅仅是为了发现威胁,而是为了发现有趣的威胁。我们对各种各样的恶意软件不感兴趣,但我们还是能检测到它。InQuest在单个1U系统中支持高达20Gb/s的吞吐量,它从许多数据源(如网络抽头、网络跨度、ICAP、API和MTA)中切割文件、会话头和元数据。提取出来的文物然后通过一系列的安全检查。最突出的是我们的深度文件检查(DFI)引擎,它能够从常见的恶意软件载体(从文档到小程序)解压缩、解码、除臭和反编译可执行代码。将启发式、静态分析和机器学习结合在一起,ddos软件防御,构成了我们的威胁发现引擎(TDE)的基础。此外,我们利用智能集成与可能已经存在于我们客户群中的补充安全产品。我们所说的智能是指在接收到的结果之上有一层逻辑的双向自动通信。示例集成包括多个av/文件声誉提供商,如OPSWAT和VirusTotal,爆炸技术,阿里云ecs有cc防御吗,如VMRay(本文的重点),云信誉数据库,等等。可选择的组成部分与它们的结果合并成一个单一的、可消化的威胁评分并行进行。一个infosec的map reduce模式。总览结束后,让我们深入了解我们与VMRay Analyzer集成的具体细节、基于爆炸的恶意软件分析的好处,以及混合技术的组合如何提高网络弹性。调查+VMRay整合InQuest很荣幸能提供与VMRay Analyzer的智能集成。VMRay通过采用无代理的动态分析方法,使自己与其他爆炸技术脱颖而出。而buckoo这样的沙盒解决方案需要客户操作系统中运行的代理来记录样本活动;VMRay是在hypervisor级别实现的,基本上是在被监视的系统之外的一个层中操作的。由于虚拟机(VM)中没有代理或钩子,cc防御关闭,所以恶意软件无法检测到沙盒本身。此外,VMRay还包含许多特性,旨在对抗常见的VM检测和规避技术。VMRay分析器通过pafish、VMDE和anticuckoo实现的所有VM检测检查。关于VMRay是一项宝贵资产的最新案例,我们可以看看DDE。这种无宏技术允许攻击者通过Word文档、Excel电子表格甚至Outlook电子邮件执行恶意代码。在其首次公开披露时,没有任何杀毒软件供应商有能够捕捉到此类攻击的签名。VMRay Analyzer正在寻找可疑行为,python编写ddos防御,因此它打开了文档,应用了一个点击浏览算法来触发攻击,自动遍历任何需要交互的提示,并执行了生成的恶意负载。在不同的环境中引爆了一个VMRay。从概述开始,您将注意到VMRay在四种不同的独特环境中引爆了该文件。其中只有一个产生了可疑活动的警报。这并不少见,因为恶意软件可能会寻找特定的操作系统和应用程序混合,或者只使用特定于应用程序的一个版本的攻击。谨慎的做法是准确地构建沙盒环境以反映真实世界的系统。下一个屏幕显示流程概述:图2:上面详述的多级枢轴的清晰描述。在这里,您可以清楚地看到使用DDE漏洞的原始Word文档中的流程链(winword.exe文件),通过多个轴,最后到达恶意的PowerShell有效负载(父进程). 如果您对这个示例的更详细的演练感兴趣,请查看完整的InQuest博客文章,一个常见恶意软件运营商的演练。您可能还想在类似的DDE示例上浏览交互式VMRay Analyzer报告。图3:InQuest的智能VMRay分析器集成的配置选项。InQuest的智能VMRay集成允许用户精确控制哪些文件被提交到VMRay,按MIME类型或InQuest威胁评分进行过滤,或者完全禁用自动文件提交,让分析员手动提交"有趣"的文件。其他选项包括查看分析完成时的电子邮件警报、用于向SIEM设备发送消息的syslog端点以及代理设置。在调查用户界面中打开一个会话详细信息页面,将显示有关会话的大量信息,以及附加到会话的任何文件。从这个视图中,您可以看到分配的威胁分数、用于确定该分数的每个单独集成、会话端点和标头的详细信息,以及会话中包含的每个文件的详细信息。图4:InQuest会话详细信息视图。可以展开文件详细信息,以显示来自多个AV扫描仪和沙盒的结果、文件元数据和哈希,以及对文件激发的每个调查和用户定义的签名,以及触发文件的特定偏移量和内容。用户还可以从这里转到搜索页面,这些页面将显示包含每个文件的每个会话。图5:VMRay集成,在手动模式下,准备提交。自动提交是一个选项。图6:提交后的VMRay集成,等待来自沙盒的响应。图7:VMRay集成在沙盒分析完成后,可以查看报告。一旦将文件提交给VMRay Analyzer并完成分析,即可通过InQuest UI直接获得VMRay报告,以便于导出和调查。这个分析的结果,以及任何其他的整合,都聚集在一个单一的窗格下,并由一个简单的威胁评分从1到10进行总结。我们的威胁评分算法不容易由于过度检测而导致人为膨胀。我们依靠我们作为SOC分析师的经验,根据输入的组合自动加热/冷却分数。本质上,我们正在自动化大部分的SOC分析师工作流程,以节省宝贵的人力周期来处理最重要的事情。驱动算法的关键决策点显示在一个简单的威胁回执中:图8:VMRay Analyzer的原始JSON报告可从inquestui下载。每个InQuest沙盒集成包括可选的自动和手动文件提交、沙盒扫描完成的电子邮件通知,以及SIEM集成的CEF兼容syslog输出。沙箱分析的结果被考虑到调查威胁评分中,外部沙箱系统的完整报告将被检索并缓存,以供调查用户界面内的分析员参考。因为动态分析可能很耗时,51ddos攻击防御,所有的调查沙盒集成还包括选项,根据MIME类型包含或排除以及文件的基本威胁分数,精确配置何时提交文件。然后在确定威胁得分时考虑整体情况。我们相信"展示我们的工作",为了达到这个效果,我们把我们的威胁分数和一个威胁收据联系起来,这是一个简单的可视化的因素的得分。下面的屏幕摘录显示了10分中有8分的威胁分数,这是根据从web会话中捕获的工件集合计算的。从10分到10分的威胁调查,包括信息性事件和威胁在下一个屏幕摘录中,您将看到一个威胁收据示例。前三个绿色标记来自于对威胁评分的调查内部组件。下一个绿色标记表明,我们与VMRay的集成产生了新的信息,这些信息也有助于威胁评分。接下来的两个黄色标记表示产生了一些威胁情报,但对威胁分数没有贡献的组件。我们不想人为地夸大我们的威胁分数,因为所有的分析组件都检测到了威胁。这种警报重叠很可能暗示,所讨论的样本是花园品种,可能不值得人类分析。我们想为有趣的样本保存10分的威胁分数。图10:调查威胁收据,指出哪些子系统对威胁评分有贡献。开源库InQuest构建了一个开源Python库,用于构建与恶意软件沙箱(包括VMRay Analyzer)的集成。该库提供了一个最小的、一致的沙盒接口,并允许文件提交、检查和报告检索。图书馆的基本用途如下:导入系统导入时间导入pprint从sandboxapi导入vmray#连接到沙盒沙箱=vmray.VMRayAPI("我的钥匙")#验证连接如果没有沙盒。是否可用():打印("沙盒关闭,退出")   系统出口(一)#提交文件打开('我的文件.exe',"rb")作为句柄:文件名=沙盒.analyze(把手,'我的文件.exe’)print("file{f}提交分析,id{i}"。格式(f=文件名,i=文件名)#等待分析完成虽然不是沙盒。检查(文件编号):

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61206.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8159903访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X