APT(Advanced Persistent Threat)——持續性威脅利用(yòng)先進的(de)攻擊手段對特定目标進行長期持續性的(de)網絡攻擊的(de)攻擊形式。當前,網絡安全受到高(gāo)度重視,單一的(de)攻擊手段越來越難以達到攻擊效果,持續性威脅正在通(tōng)過一切方式,繞過傳統安全設備的(de)防線,悄然潛伏在系統中,成爲當前網絡安全的(de) 大(dà)威脅。明(míng)禦®APT攻擊預警平台使用(yòng)深度威脅檢測技術,對APT攻擊行爲進行檢測,相對于僅依靠特征檢測的(de)傳統安全産品,本産品可(kě)發現零日漏洞利用(yòng)、未知惡意代碼等攻擊行爲,能檢測到傳統安全設備無法檢測的(de)攻擊,爲用(yòng)戶提供更的(de)安全保障。
産品功能
明(míng)禦® APT攻擊預警平台對旁路鏡像數據進行深度解析,采取多(duō)種分(fēn)析策略,實時發現并定位APT攻擊,包括:
Web攻擊深度檢測
通(tōng)過對Web流量和(hé)應用(yòng)進行深度分(fēn)析,提供全面的(de)入侵檢測能力。包含Web攻擊特征檢測、WebShell檢測、Web行爲分(fēn)析、異常訪問、C&C IP/URL檢測等
郵件攻擊行爲檢測
對SMTP、POP3、IMAP和(hé)WebMail流量進行解析,發現各種郵件攻擊行爲,郵件欺騙的(de)社工類攻擊行爲以及郵件附件的(de)惡意文件攻擊行爲等
惡意文件攻擊檢測
對常見文件傳輸協議進行解析,并進行文件分(fēn)離,通(tōng)過木(mù)馬病毒檢測、靜态分(fēn)析、動态沙箱行爲分(fēn)析,發現各種已知和(hé)未知的(de)惡意文件攻擊行爲
失陷主機檢測
通(tōng)過威脅情報數據、域名異常分(fēn)析、遠控行爲分(fēn)析、隐蔽信道傳輸以及系統漏洞利用(yòng)行爲等多(duō)維度檢測,全面發現失陷主機,并對失陷主機進行舉證和(hé)定位
異常流量檢測
通(tōng)過對SMB遠程溢出攻擊、挖礦行爲、暴力破解等異常流量行爲實時預警,以攻防視角對攻擊者身份、攻擊手段以及攻擊目的(de)等進行關聯分(fēn)析和(hé)深度挖掘
全流量分(fēn)析檢測
支持全流量模式下(xià)的(de)應用(yòng)識别、失陷主機檢測,尤其是利用(yòng)失陷主機進行挖礦的(de)行爲,如比特币、門羅币等
綜合關聯分(fēn)析
結合各引擎檢測能力、豐富的(de)威脅情報、機器學習等進行多(duō)維度關聯分(fēn)析、日志報表綜合分(fēn)析,深入發現更爲隐蔽的(de)APT攻擊行爲
聯動阻斷防護
支持與客戶已有的(de)阻斷類産品對接,例如防火牆等産品進行聯動,在回連環節阻斷異常行爲,實現各APT攻擊行爲的(de)阻斷防護
雲端分(fēn)析
産品雲端可(kě)提供威脅情報共享服務、專家級深度威脅分(fēn)析服務,爲用(yòng)戶提供更爲精準的(de)威脅分(fēn)析能力
産品特點
本預警平台具有以下(xià)特點:
采用(yòng)旁路方式部署
采取旁路鏡像部署,無服務中斷,不影(yǐng)響用(yòng)戶正常應用(yòng)
全面的(de)檢測策略
集靜态檢測技術和(hé)動态分(fēn)析技術于一身,完整覆蓋APT攻擊鏈,應對各種場景的(de)攻擊行爲
擁有多(duō)項 的(de)沙箱技術
如沙箱快(kuài)速恢複技術和(hé)單沙箱多(duō)樣本運行技術性能優越行業
網絡流量實時監測
對流量進行全面監測,建立緊急事件報警機制,反應迅速,及時發現攻擊
攻擊鏈關聯分(fēn)析
基于多(duō)個攻擊行爲、海量數據等對攻擊行爲進行關聯分(fēn)析,挖掘規律,提取真正的(de)異常攻擊行爲
易于管理(lǐ)
對攻擊行爲詳細記錄,并提供直觀的(de)統計報表,方便用(yòng)戶随時查詢分(fēn)析攻擊行爲
IPV4/IPV6雙協議棧支持
全面支持IPV6環境部署和(hé)IPV4/IPV6混合流量威脅檢測,支持IPV6地址的(de)關聯分(fēn)析、查詢、配置、可(kě)視化(huà)展現以及多(duō)種風險外送方式
版本自動升級
支持雲端自動升級和(hé)集群部署場景下(xià)自動升級能力,緩解運維壓力
用(yòng)戶價值
預警重要信息系統發生的(de)安全事件
·及時發現網站 Webshell後門被利用(yòng)
·快(kuài)速預警高(gāo)危惡意代碼樣本傳播
·監控内部主機被控制回連的(de)行
·預警勒索病毒傳播和(hé)挖礦行爲
·發現内部存在的(de)零日漏洞和(hé)未知威脅
完善核心系統安全防護能力
·發現各種隐蔽威脅
·分(fēn)析當前安全防護的(de)弱點
·完善安全防護策略
·本地離線威脅情報與雲端協同防禦
對攻擊進行取證溯源分(fēn)析
·記錄詳細的(de)攻擊行爲
·發現并定位僵屍主機
·對攻擊進行跟蹤溯源
感知安全威脅趨勢規律
·全面的(de)威脅指數分(fēn)析
·安全趨勢和(hé)規律分(fēn)析
·安全态勢可(kě)視化(huà)