【RSA2018】创新沙盒 | BluVector Cortex 基于人工智能的高级威胁检测

BluVector Cortex是一个AI驱动的网络安全检测和响应平台。该平台主要为大中型公司设计,能够实时精确有效的检测,分析复杂的网络威胁,包括无文件恶意软件(fileless malware),0day恶意软件(zero-day malware)和勒索软件(ransomware)。因此,BluVector Cortex可以被视为基于AI、机器学习和推测性代码执行引擎的下一代NIDS(Network Intrusion Detection Systems)。

相关阅读:

【RSA2018】创新沙盒 | BigID数据沙盒产品及技术解读

【RSA2018】创新沙盒 | CyberGRX Exchange网络风险信息交换平台

【RSA2018】创新沙盒 | Acalvio基于欺骗技术的安全防护方案

【RSA2018】创新沙盒 | Awake Security基于机器学习的安全分析平台

BluVector专注于使用最新的AI技术解决网络安全的问题,以达到对复杂的网络威胁进行实时的检测和响应。其优势在于,BluVector与美国情报体系合作长达8年之久,充分利用了美国情报体系的威胁数据,因此能够对新的威胁进行迅速有效的防护。

BluVector Cortex——AI驱动的网络安全检测和响应平台

具体来说,BluVector Cortex主要包括以下三个部分:

  • 基于AI的检测引擎,通过网络流量来检测基于文件的和无文件的网络威胁。首先是一个机器学习引擎,基于8年的情报、国防和商业部门的数据进行训练,可以精确的发现0day和多态的恶意软件。其次是一个推测性代码执行引擎,用来实时检测网络中的无文件恶意软件。
  • 智能决策支持,通过可视化的方式为威胁安全团队提供经过预先关联的与高优先级安全事件相关的安全日志条目,用于进行分析。
  • 一个可扩展的连接器框架,可以自动执行搜索过程,协调对威胁的响应,并可轻松集成其他安全解决方案。

BluVector Cortex的技术优势:

  • 灵活部署

BluVector Cortex提供多种形式和性能供选择。如图 1所示,它通常通过网络TAP或跨越传统网络安全设备(如下一代防火墙和Web网关)进行部署。一个可扩展的连接框架用于支持BluVector Cortex进行接收和关联多种威胁情报源的数据,向SIEMs(例如Splunk 和QRadar)发送事件,并与终端监测响应系统进行集成,对威胁进行阻断。

  • 可扩展的检测架构

BluVector Cortex并行运行多种检测引擎,以确保对复杂网络攻击的检测。同时,对于高级用户,Docker化的系统使用户可以快捷的添加自定义分析引擎到BluVector的威胁检测生态系统中。

  • 高性能和可扩展性

为了支持国防,情报和商业部门对检测速度和性能要求,BluVector Cortex的线速分析功能可以满足不同规模的公司的要求。

BluVector Cortex的部署方式

BluVector Pulse——管理和监控平台

在企业中,管理,监视,更新和调整安全设备的过程需要消耗很多时间。为了更高效的对网络攻击进行检测,分析和响应,BluVector通过BluVector Pulse为BluVector Cortex平台提供了24x7x365的健康度和可用性的管理与监控。

BluVector Pulse的特性如下:

特征 描述 运行时间
健康度和心跳监控 监控系统的资源和进程,以主动响应系统发生的问题或者潜在的问题。 24 x 7 x 365
高危问题维护 远程对系统的严重问题进行及时的维护 24 x 7 x 365
通常的配置和调整 主动维护系统和资源以优化产品性能 星期一至星期五

08:00 – 18:00

配置和调整请求 根据客户要求,可以对系统配置进行更改,以集成新的第三方产品,导入情报或执行其他系统调整 星期一至星期五

08:00 – 18:00

系统更新和升级 如果有新的软件发布,BluVector会与客户协作对BluVector Cortex系统进行升级 星期一至星期五

08:00 – 18:00

BluVector三大关键技术

通过结合与关联多个恶意软件检测与分析引擎,BluVector为客户提供了全面的网络安全解决方案。其关键技术如下:

机器学习引擎

BluVector的机器学习引擎是一种监督式学习的引擎。该引擎拥有35个文件分类器,基于美国情报体系的威胁数据进行预先的训练,用来评估所有文件的是恶意的概率,从“正常”到“未知”到“恶意”。同时,该引擎可以检测多种恶意软件,包括办公文档,可执行文件,文档中包含的宏,嵌入式JavaScript以及看似合法的系统更新,检测精度高达99.1%以上。

推测性代码执行引擎

BluVector的推测性代码执行引擎是安全市场上第一款专为分析与检测无文件恶意软件而开发的系统。该引擎能够模拟代码在内存中执行时的行为方式,以及这些行为可能在多大程度上引发安全问题。通过覆盖所有潜在的执行链并专注于恶意容量而不是恶意行为,该技术大大减少了执行环境的数量和必须调查的分析结果的数量,同时对无文件恶意软件具有超过99%的检测精度。

Targeted Logger

Targeted Logger是一个网络取证工具,负责向安全团队提供可视化的经过预先分析的日志条目,旨在实现网络狩猎活动的自动化。当某个事件被机器学习引擎或推测性代码执行引擎标记为可疑或恶意时,Targeted Logger将开始扫描此事件,以查找事件发生前后15分钟内的事件条目。通过匹配准则(主机IP,域名等)将与事件相关的条目收集起来并与该事件一起存储。

BluVector强大的机器学习和推测性代码执行技术使企业能够准确识别高级恶意软件攻击,将网络安全事件风险降至最低。

 

 

 

Spread the word. Share this post!

Meet The Author

Leave Comment