优秀企业
Excellent Company
北京兰云科技有限公司
项目名称:兰云网络安全检测与分析系统


公司介绍

北京兰云科技有限公司2016年创立于北京,国家级高新技术企业,国内首家定位于SOAPA架构的网络安全公司。

技术介绍

兰云科技聚焦客户的网络安全需求,主要集中在新型威胁检测、态势感知、等保合规、重保护网等方面。通过集成AV、IDS辅助检测模块,引入威胁情报体系,采用多引擎沙箱、行为分析、自动化编排、大数据等核心技术,自主研制了国内APT沙箱技术顶尖的安全产品(基于网络侧流量进行威胁检测的“兰眼”、针对敏感数据泄密监测取证的“兰溯”和综合各类安全事件关联分析进行态势感知的平台 “兰天”),为用户提供网络空间探测能力、威胁感知能力、事件发现分析能力及处理能力,形成涵盖云、管、端的全天候网络安全检测与响应体系,同时提供安全运维、安全评估、安全咨询、安全应急、安全培训等专项安全服务和整体解决方案,为交通、军队、金融、能源、政企、运营商等各行业网络安全、数据安全、应用安全、终端安全保驾护航。

关键技术

1.沙箱反逃逸技术

传统的沙箱对应用类恶意文件的监控和分析主要是通过监测其对操作系统API的调用实现的,由于环境等因素不一定能成功地触发恶意文件运行或不能满足后续条件,导致不能完全诱发恶意文件的运行,沙箱也就无从了解恶意文件完整的攻击企图,导致无法有效识别威胁。针对这些缺陷我司产品创新推出了应用级沙箱(国内独家),目前已支持WEB应用级沙箱、Office应用级沙箱等。

2.网络仿真技术

网络仿真是指在产品内部建立一个独立的能模拟多种网络协议交互的虚拟系统,不同的沙箱在检测恶意代码时,会将恶意代码对外的网络请求都发到这个仿真系统中,由它去响应诸如DNS query、ICMP echo request、http get等各种请求报文,尽管不能完全模拟C&C服务器的指令和数据,但却可以让恶意代码的网络请求都能收到回应,满足恶意代码继续运行的逻辑,从而可以捕获到尽可能多的网络行为。沙箱在分析恶意文件过程中,为了防止恶意文件对网络内的其他主机造成影响,一般情况下都是在隔离网络内运行的,在隔离网络内,由于缺少恶意文件运行所需的基础条件或网络资源,导致不能完全诱发恶意文件的运行。为了解决这问题,兰眼支持在不连接外部网络的情况下,内部仿真出一个虚拟的办公网络和互联网环境(独创技术),通过网络仿真可以实现。目前兰眼支持仿真内部网络环境、仿真WEB服务器、仿真DNS服务器、仿真文件服务器、仿真邮件服务器等。

3.多维安全检测

威胁检测是产品的核心功能,产品综合利用多种威胁检测技术对流量进行已知威胁检测和未知威胁检测,覆盖网络攻击的完整攻击链。产品内置多种检测引擎。针对已知威胁,通过集成的AV、IDS等传统的检测手段,利用AV对已知病毒、木马和蠕虫等恶意代码进行检测,用IDS对网络流量进行检测。针对未知威胁,产品主要利用沙箱对待检测文件进行动态行为监测和研判,进而判断是否存在威胁。

兰云1.png


除此之外,产品还使用威胁情报检测、文件黑白名单、机器学习检测等多种检测机制,以更全面的覆盖不同类型的威胁。

4.全安全要素留存技术

基于全安全要素留存技术,系统将各类引擎检测分析后的各种数据进行留存,以进行安全事件分析。系统留存数据包括:威胁摘要信息、会话信息、应用信息、原始流量信息、流量还原信息、应用日志信息等各类内容,满足各类事件分析及溯源需求。

5.交互式的可视化分析技术

基于交互式可视化分析技术,用户通过可视化分析流程,向导式分析方式,以点选操作形式,进行安全事件分析。分析面板支持图表联动,支持动态增删过滤条件,支持框选图标内容定义分析范围等,极大降低了对分析人员的技术能力要求,同时又提高了分析效率及准确率。

6.分析流程标准化

根据多年对威胁检测及安全事件的研究,系统内置各种安全事件分析流程,包括对各种终端/服务器失陷分析、异常流量的挖掘分析、外联监测、扫描行为梳理、行为审计、安全巡检分析等,对各类安全事件进行分析和溯源,实现了对安全事件的分析流程标准化,提升分析效率及溯源能力。

7.远程专家会诊

针对用户遇到疑难问题,无法完成安全事件的调查分析场景,系统提供了远程专家会诊功能。基于兰云提供的云端专家会诊平台,用户只需一键求助,即可获得云端专家的远程会诊服务,确保安全事件第一时间得到排查,消除安全风险。

项目亮点

XDR网络安全监测与分析关键技术创新产业化实施项目:

(1)创新的网络空间资产探测能力。针对网络设备、数据交互方式以及运行应用与服务特点,实现网络设备资产探测和风险感知结合,同时对威胁风险影响范围提供可追溯和可视化呈现;

(2)创新的多维安全对象关联分析能力。定义了多维安全对象实体,结合场景进行关联分析、分析规则近500种,全面性、完备性在国内处于领先水平;

(3)创新的基于攻防实战场景的检测、分析、处置能力。以专家攻防经验为依托实现全流程的精密编排,为各种常见实战场景设计了标准预案。


团队要员简介

易建超,创始人&CEO,曾在华为工作15年,经验丰富,业绩卓越。2012年其主导开发的国内首创盒式万兆防火墙产品荣获华赛公司产品最高成就奖,在其带领下,华为安全业务在2016年上半年登上《中国网络安全企业50强》榜首。

周宏斌,联合创始人&CTO,17年安全行业经验,国内单向网闸首创者,曾任华为安全专家。

 
其他优秀企业