僵尸网络3.ppt

1、反病毒管理平台(K-SOC),Haisan Huang Originate from Pike Wong Apr/2/2009,提纲,防病毒市场分析 K-SOC简介 K-SOC 异常行为检测技术 K-SOC工作流程及部署 防病毒分析器-日常安全维护工具 SIMCommander销售模式,网络安全市场：卡巴斯基成杀毒新枭雄,在谈及网络安全软件的未来发展趋势时，资深人士指出，厂商的服务能力现在尤为重要，片面地追求产品技术的先进性并不能解决用户的所有安全问题。卡巴斯基亚太区董事总经理张立申表示：“卡巴斯基拥有最好的产品，我们愿意与合作伙伴一起谋求更广阔的市场发展空间”。,此次调查中，赛门铁克技术创新

2、性和市场的拓展能力表现都非常突出。经过持续不断的收购，赛门铁克最全的产品线将是其问鼎市场的最强王牌。趋势科技是去年的渠道冠军产品，今年被卡巴斯基超越，但在支持服务指标上，仍然高居首位。趋势科技今年主要发力产品的性能，其新推出的“云安全”理念更是实现了杀毒软件质的飞跃。在本次网络安全软件产品调研中，卡巴斯基以21.40的高分位居榜首，多项指标均为本次调研的翘楚，其中品牌认知度、产品可靠性和应用丰富性三大类指标优势突出，以较大优势名列第一。,2008年10月21日电脑商报2008年39期第052页,SIMCommander K-SOC市场在哪里?,SIMCommander产品集成反病毒产品为客户提

3、供最完善的全方位反病毒安全解决方案 SIMCommander反病毒管理平台(K-SOC)是基于反病毒技术之上的一种风险管理平台。集成了异常行为分析技术、病毒定位系统、病毒路径跟踪以及网页快捷信息浏览等技术 SIMCommander防病毒分析器提供了一种快捷简便的反病毒日常监控维护工具,卡巴斯基公司CEO尤金卡巴斯基造访SIMCommander反病毒管理平台,K-SOC控制台实景,K-SOC 控制台功能,跨区域地图方式监视病毒 威胁方位,病毒跟踪以及处理流程，遵循 ITIL 工业标准,日常的安全维护，实时监控台以及报表制作,一旦发现可疑迹象，立即报警，报告具体感染位置和感染范围以及感染路径,通过

4、网页浏览方式，随时随地查询了解企业内部安全信息,反病毒管理平台K-SOC,客户为什么需要SIMCommander反病毒管理平台?,July 1999 Melissa(美丽莎 ) 在发现Melissa病毒后短短的数小时内， “美丽杀手”病毒即通过因特网在全球传染数百万台计算机和数万台服务器，因特网在许多地方瘫痪。1999年3月26日爆发，感染了15%-20%的商业PC，给全球带来了3亿-6亿美元的损失 May 2000 Loveletter July 2001 CodeRed Sept 2001 Nimda Jan 2002 Klez Jan 2003 Slammer Sept 2003 Bla

5、ster April 2004 Sasser Aug 2005 Zobot Jan 2009 Kido 卡巴斯基实验室呼吁全球用户警惕一种名为Kido( 又叫Conficker 或Downadup ) 的蠕虫病毒。该蠕虫病毒具有极强的破坏能力，通过被Kido感染的计算机“肉鸡”所组成的巨大僵尸网络，网络罪犯便有能力对任何的网络资源发起致命的DDoS攻击，从“肉鸡”中盗取大量的隐私数据，并大范围发布垃圾数据（如垃圾邮件等）。经过统计，世界上因为被Kido感染而沦为“肉鸡”的计算机数量已经达到了500万至600万之多。,病毒爆发事件回顾,“零小时 ”病毒攻击,“ 零小时 ”病毒 攻击传统的防病毒软

6、件广泛采用基于签名的技术进行防毒 杀毒 . 优点: 执行效率高 缺点: 严重依赖于软件供应商搜集最新病毒信息并分 析提取特征码后果: 导致反病毒技术总是滞后于病毒的产生，对于 未知新病毒攻击通常无能为力，甚至“壮烈牺 牲”,病毒爆发之后,SIMCommander先进检测技术,K-SOC异常行为分析技术破解“ 零小时 ” 病毒威胁,K-SOC异常行为分析技术,从多角度分析病毒数据 来辨认异常行为,K-SOC异常行为分析技术,发生时间 防病毒/计算机日志 计算机状态 网络拓扑 发生次数 资产组别等,例如防毒软件报告病毒被清除但是实时扫瞄引擎停止运作，这正正是被病毒感染的症状,感染Klez.H受害人

7、,客户端,大量发送载有Klez.H 的电子邮件到其它客户端,实时发出告警通知,管理员,计算机病毒软件实时扫瞄引擎停止运作,在感染Klez.H后，实时扫瞄引擎停止运作。当K-SOC侦测到在5分钟内从200台计算机当中有5台计算机实时扫瞄引擎停止运作，K-SOC发现这反常行为并且提供实时告警。,异常行为分析技术实例1,客户端,大量发送载有MyDoom 的电子邮件到其它客户端,防病毒公司网站,实时发出告警通知,管理员,感染MyDoom受害人,病毒阻拦计算机进入防病毒公司更新病毒数据库,在感染MyDoom后，MyDoom病毒阻拦计算机進入防病毒公司更新病毒数据库。当K-SOC侦测到在在同一个网络中，1

8、0分钟内有5台计算机病毒数据库更新失败，K-SOC发现这反常行为并且通知用户防止病毒爆发。,异常行为分析技术实例2,异常行为分析技术工作原理,多台主机实时保护被禁止,多台主机反病毒特征库升级失败,病毒爆发调查与响应 K-SOC工作流程,K-SOC工作流程,显示某个区域是否发生病毒威胁,威胁定位,病毒发生具体街道,资产信息查询,点击查询感染主机威胁详细信息以及资产信息,病毒活动详情,报警关联信息,报警事件详细信息,病毒感染路径跟踪,多台主机感染同一种病毒,病毒关联报警图示,病毒感染路径,K-SOC 部署方式,AdminKit,K-SOC,K-SOC信息流,病毒信息,精确定位感染位置,7x24x3

9、65 实时监控,日常监控及报表,K-SOC Analyzer & Kaspersky Administration Kit,SIMC CN,K-SOC Analyzer & Kaspersky Administration Kit,SIMC HK,网页浏览,K-SOC 平台,日常安全维护工具-防微杜渐 K-SOC防病毒分析器,K-SOC防病毒分析器,K-SOC防病毒分析器,将病毒事件以及日志转化成直观的信息,网络版病毒数据库,Antivirus Analyzer,病毒信息,K-SOC防病毒分析器,K-SOC防病毒分析器,K-SOC防病毒分析器,综合风险等级=(感染风险 + 病毒特征库过期风险

10、+ 计算机离线风险) / 3,K-SOC防病毒分析器,报表,一键式”制作图表报告,国际标准 SOX/ISO17799报表,K-SOC系统要求,SIMCommander高端产品-安全管理大平台,收集与关联来自不同设备的事件纪录与日志 (如：防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库等）,SIMCommander公司,SIMCommander来自美国，立足中国香港为技术基地面向全球 SIMCommander中国：北京新兴达网络安全技术有限公司（SIMCommander China Limited ) ：负责中国大陆市场 在安全领域已经具有7年的安全事件关联研究和开发经验 部分合作伙

11、伴与客户:,SIMCommander销售模式,产品销售模式 传统的渠道销售方式: 合作伙伴/集成商-当地代理-区域总代/总代-厂商 服务销售模式集成商从代理购买产品，但是以安全服务的方式卖给用户 集成商不购买产品，直接从厂商/代理商购买服务，然后销售给用户，赚取中间差额利润。,SIMCommander反病毒服务(KAVSS),SIMCommander销售支持,SIMCommander防病毒分析器产品安装简便，一般集成商自己即可完成，代理或厂商提供在线支持 SIMCommander反病毒管理平台(K-SOC)产品 经过技术培训认证的当地代理或区域总代可提供售前支持和售后安装 厂商直接提供售前和售后安装,