深度体验慧眼云探秘国内首款失陷主机检测系统-DOIT-数据产业媒体与服务平台

近年来，网络安全事件频频爆发，因为网络安全事件导致的损失不计其数，更有因为网络安全事故引发的高层离职事件，而因此导致公司濒临倒闭的情况也是屡见不鲜。我们不难发现，“网络安全”从来没有像今天这样备受关注，也从未像现在这样给全社会带来了严重的影响。

究其根源其实并不难理解，随着云计算云计算、大数据、移动互联网这些新的应用和技术的普及，网络已经成为每个人不可或缺的一部分，而“数据”则成了抢手货。然而在面对技术飞速发展的今天，传统安全产品显然有些力不从心，终端杀毒、防火墙、IPS、Web 安全这些基于已知特征和预设规则展开工作的防护手段已经无法应对未知威胁、内部威胁。

为此，网康这个安全业内的老兵转变了作战思维，化被动为主动，化防御为对抗，提出了下一代网络安全架构。该架构的核心思想，是通过预测发现潜在威胁，并进行持续主动的检测核实网络是否已被入侵，对于确认的入侵行为进行还原回溯，最后进行防御。

而网康慧眼云作为下一代网络威胁感知系统，可以对已知威胁和未知威胁进行全面检测，也是目前国内首个失陷主机检测系统。接下来，让我们一起揭开慧眼云神秘的面纱。

首先是登录界面，慧眼云的登录界面非常简洁，蓝色的背景让人眼前一亮。左侧部分则滚动展现了该系统的几个重点部分，即“失陷主机”“情境分析”“威胁情报”“日志搜索”。

慧眼云的登录界面清新简洁

登录后，我们便进入了慧眼云的管理控制台，这部分的应用则将该系统的全部功能展现，使用者可以按照自己的需要开始工作。

应用列表清晰明确的展现了慧眼云的全部功能以及功能介绍，右侧是系统数据和使用权限及账号限额

安全无小事，当你想知道目前的安全大环境是怎么样的，以及预测可能要发生的攻击情况，这里将给你想要的一切。
慧眼云的威胁情报系统分为两部分：情报地图和情报检测。
通过慧眼云威胁情报地图可以实时查看最新的网络攻击情况，包括攻击时间、攻击源国家，被攻击国家和攻击类型等等，帮助客户感知威胁态势。

慧眼云情报地图

以下是情报检测部分，主要基于威胁情报的对撞，查看当前用户网络中指定时间内的威胁情况，包括威胁的种类、威胁源国家、趋势图等，从而帮助客户了解未知的历史攻击，提升安全意识和防御能力。

威胁种类及数量清晰可见

受攻击内网地址趋势量级图

详细数据报告中可明确攻击时间、结束时间、情报类型以及内网地址等信息

慧眼云的“失陷主机”功能是目前国内首个失陷主机检测系统。其主要通过一张二维图形进行全局的分布展示，基于“确定性指数”和“威胁性指数”两个维度划定不同的风险级别区别，从而给出不同主机的风险级别。

横轴为“确定性指数”， 纵轴为“威胁性指数”，当鼠标点击威胁点，也可看到收到攻击的IP地址及确定性指数和确定性指数

慧眼云基于这两个维度，将失陷主机大概划分为三个区域：低度风险区域、中度风险区域、高度风险区域。当主机分布在中度风险区域时，处于预警状态，提醒客户需要重点对这部分主机进一步跟踪分析。当主机分布在高度风险区域时，说明需要立刻采取措施，否则有可能产生不可估量的损失。

失陷主机列表中的详细数据可以让IT管理员对目前的威胁情况了解透彻，以便进一步采取相应措施

此外，慧眼云可以钻取每一台主机的失陷分析过程，通过威胁活动的几个阶段（遭受入侵、收到控制、发起内部攻击、发起恶意行为），分析出当前主机的确定性指数和威胁性指数，并可以看到指定时间内该主机失陷情况的走势图，从而判断出失陷主机的活跃程度和风险级别。

受到攻击的主机基本信息

指定主机整个威胁活动的分布图和详细数据

慧眼云通过时间维度看到指定主机整个威胁活动的分布图，可以帮助客户对失陷的情况有个直观的认识，而攻击过程的还原可以帮助客户找到失陷的源头，分析出已经产生的危害，为安全评估提供可视化的支撑。
慧眼云情境分析，可以基于客户的业务场景，通过对网络行为的大数据分析，能够自适应的建模出客户当前业务下的安全威胁模型，从而更有针对性的发现网络中存在的异常，提高安全等级。

“统计总览”呈现一段时间内网络攻击信息的统计结果可以了解网络中存在的主要安全问题。

统计结果主要为: 渗透攻击的IP排行、被渗透攻击的事件排行、间谍软件行为的IP排行、间谍软件行为的事件排行、访问恶意URL的IP排行、访问URL的事件排行、下载病毒木马的IP排行、下载病毒木马的事件排行等.

在关联分析中，我们可以看到基于主机类型、连接方向、源地址，目的地址等属性作情境关联分析。例如，某遭到渗透攻击IP的攻击源（IP地址、所属地域）、攻击方式、应用载体；又如，下载某病毒的源IP地址、目的IP地址、应用载体等。