八分量持续免疫系统-
| 版本: V1.0 | 交付方式: License |
| 适用于: Linux/其他 | 上架日期: 2021-11-17 08:45:00 |
持续免疫主要将可信密码模块(TCM)、 大数据 处理技术、人工智能分析技术(NISA)、完整性度量框架(IMA)、进行技术性融合与创新,并与自主研发的可信 区块链 技术进行无缝对接。通过各模块的有机的组合,形成一套由 可信计算 为安全基础底座,可向上扩展,兼容传统安全策略的主机监控预警与防护系统。
系统主要以可信密码模块(TCM)为信任根,利用完整性度量框架逐级拓展可信边界,最终将主机启动时所必须的应用程序文件、文件加载的动态链接库及加载的内核模块,进行一次完整的散列hash运算,为主机构建起以内核为基础的可信边界,从内部形成基础保护屏障,从而将不在可信边界内的应用程序拒之门外,以达到未知应用程序拒绝运行、已知应用程序篡改拒绝运行的基础保护效果。
通过对网络活动中的主机,建立个体白名单、以及个体行为画像,让主机具备识别“无害”程序、行为的能力,从而自主完成访问控制与有害程序隔离控制。
该系统与区块链技术进行融合,利用区块链的防篡改特性,将系统所产生的重要源数据,进行有效保护,以防止黑客针对数据源、配置文件、审计日志等重要机器学习数据进行“污染攻击”从而破坏整个持续免疫防护生态,同时,防篡改还可以完成定制化数据加固措施,从而达到等级保护中数据加固的要求。
持续免疫系统由可信防御模块、大数据处理引擎、机器学习模块、画像生成模块、区块链数据加固模块组成
可信防御模块:
在每一台受保护计算机上启动防御措施,生成该主机的白名单文件,将文件存储至区块链以及Mysql 数据库 中,为主机建立可信执行程序名单,从而划分可信边界,通过实时证实白名单程序文件的度量值,可以秒级感知加载的非白名单程序文件,以及发生变化的已知白名单程序文件。
机器行为分析(UEBA):
该模块主要采用了大数据引擎,可将白名单程序所产生系统审计日志、系统行为日志、数据库日志、监控程序日志、进行搜集、整理、降噪、形成统一机器可识别格式。
通过内置的AI分类算法,将格式化日志,进行类型划分,数值转换形成关系映射,最终生成基于日志的回归模型,构建机器对黑白事件的基本认知。
采用离线训练不断优化,迭代模型算法,找出最优匹配 企业主机安全 画像,利用在线流失检测技术,完成各业务模型的在线检测、告警。
区块链防篡改模块:
使用区块链系统保存行为敏感数据,提供追溯存证,防止篡改等服务以及策略,并可以对被恶意篡改的网页数据文件提供毫秒级的自动恢复。
