协同防御使用说明

协同防御是指同步检测和拦截整个知道创宇云防御平台识别的各类高危风险IP和攻击指纹,这些风险IP和攻击指纹是通过知道创宇云防御安全大数据平台清洗而来,安全大数据平台依据黑客的实时攻击行为和请求特征构建攻击画像模型,并结合知道创宇网络空间测绘引擎ZoomEye的测绘数据动态识别,能有效清洗各类高危风险IP攻击。

1.     协同防御功能管理界面

1.1协同防御总览

协同防御总览模块展示了当前知道创宇云防御安全大数据平台数据集的实时更新情况,其中包括了数据集更新时间及恶意IP总数,并提供了用户自行查询协同防御威胁情报的能力。

用户可通过点击“立即查询”跳转至协同防御威胁情报查询页面进行IP地址的查询

查询完成点击“去设置协同防御开关”可回到协同防御开关页面

1.2开关设置

协同防御开关设置模块具备重点行业攻击清洗,网络机器流量清洗特定攻击行为清洗三种功能。重点行业攻击清洗结合各个行业的攻击态势将威胁数据分为政府组织、金融理财、教育文化、新闻媒体、医疗健康和其它共六个子功能;

网络机器流量清洗分为恶意代理屏蔽,IDC设备屏蔽,洋葱路由屏蔽三个子功能;

特定攻击行为清洗分为漏洞扫描器攻击屏蔽,网络爆破屏蔽两个子功能。

所有子功能下都可进行高威胁IP清洗模式和低威胁IP清洗模式的选择,另需注意,无论开启哪种清洗模式,都会默认同时开启境内,境外服务,且验证模式默认为验证码,用户可自行更换为主动拦截模式和指纹监测模式,关闭则同时关闭境内,境外服务,新设置将在2-5分钟内生效。

  1. 高威胁IP清洗:知道创宇自主研发威胁IP处理模式,通过攻击活跃度区别出高活跃度威胁攻击,针对性的对攻击活跃度高的IP进行清洗。
  2. 低威胁IP清洗:通过攻击活跃度区别出活跃度低的IP进行清洗。
  3. 指纹监测:通过客户端指纹识别和JS挑战判断客户端是否为正常访问环境,如果是正常访问环境则对该请求放行,如果不是正常访问环境则直接进行拦截。
  4. 验证码:当访问IP被识别为风险IP后会要求用户输入验证码以确定是否为正常人类访问。
  5. 主动拦截:当访问IP被识别为风险IP后直接进行拦截。

重要:

模式选择:高威胁IP清洗模式和低威胁IP清洗模式的选择取决于用户自身对安全性的考量,两种模式都开启则安全性能较高,仅开启高威胁IP清洗模式可防止在低威胁IP清理模式下会出现的误清洗。

验证方式选择:使用该功能过程当中,建议优先选择指纹监测拦截方式,其次选择验证码拦截方式,只有当网站安全态势十分严峻时(重点保障时期、护网攻防演练时期,政治黑客活跃时期等)再选择主动拦截方式。