APT（Advanced Persistent Threat）——持續(xù)性威脅利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊的攻擊形式。當(dāng)前，網(wǎng)絡(luò)安全受到高度重視，單一的攻擊手段越來(lái)越難以達(dá)到攻擊效果，持續(xù)性威脅正在通過(guò)一切方式，繞過(guò)傳統(tǒng)安全設(shè)備的防線，悄然潛伏在系統(tǒng)中，成為當(dāng)前網(wǎng)絡(luò)安全的 大威脅。明御®APT攻擊預(yù)警平臺(tái)使用深度威脅檢測(cè)技術(shù)，對(duì)APT攻擊行為進(jìn)行檢測(cè)，相對(duì)于僅依靠特征檢測(cè)的傳統(tǒng)安全產(chǎn)品，本產(chǎn)品可發(fā)現(xiàn)零日漏洞利用、未知惡意代碼等攻擊行為，能檢測(cè)到傳統(tǒng)安全設(shè)備無(wú)法檢測(cè)的攻擊，為用戶提供更的安全保障。

產(chǎn)品功能

明御® APT攻擊預(yù)警平臺(tái)對(duì)旁路鏡像數(shù)據(jù)進(jìn)行深度解析，采取多種分析策略，實(shí)時(shí)發(fā)現(xiàn)并定位APT攻擊，包括：

Web攻擊深度檢測(cè)

通過(guò)對(duì)Web流量和應(yīng)用進(jìn)行深度分析，提供全面的入侵檢測(cè)能力。包含Web攻擊特征檢測(cè)、WebShell檢測(cè)、Web行為分析、異常訪問(wèn)、C&C IP/URL檢測(cè)等

郵件攻擊行為檢測(cè)

對(duì)SMTP、POP3、IMAP和WebMail流量進(jìn)行解析，發(fā)現(xiàn)各種郵件攻擊行為，郵件欺騙的社工類(lèi)攻擊行為以及郵件附件的惡意文件攻擊行為等

惡意文件攻擊檢測(cè)

對(duì)常見(jiàn)文件傳輸協(xié)議進(jìn)行解析，并進(jìn)行文件分離，通過(guò)木馬病毒檢測(cè)、靜態(tài)分析、動(dòng)態(tài)沙箱行為分析，發(fā)現(xiàn)各種已知和未知的惡意文件攻擊行為

失陷主機(jī)檢測(cè)

通過(guò)威脅情報(bào)數(shù)據(jù)、域名異常分析、遠(yuǎn)控行為分析、隱蔽信道傳輸以及系統(tǒng)漏洞利用行為等多維度檢測(cè)，全面發(fā)現(xiàn)失陷主機(jī)，并對(duì)失陷主機(jī)進(jìn)行舉證和定位

異常流量檢測(cè)

通過(guò)對(duì)SMB遠(yuǎn)程溢出攻擊、挖礦行為、暴力破解等異常流量行為實(shí)時(shí)預(yù)警，以攻防視角對(duì)攻擊者身份、攻擊手段以及攻擊目的等進(jìn)行關(guān)聯(lián)分析和深度挖掘

全流量分析檢測(cè)

支持全流量模式下的應(yīng)用識(shí)別、失陷主機(jī)檢測(cè)，尤其是利用失陷主機(jī)進(jìn)行挖礦的行為，如比特幣、門(mén)羅幣等

綜合關(guān)聯(lián)分析

結(jié)合各引擎檢測(cè)能力、豐富的威脅情報(bào)、機(jī)器學(xué)習(xí)等進(jìn)行多維度關(guān)聯(lián)分析、日志報(bào)表綜合分析，深入發(fā)現(xiàn)更為隱蔽的APT攻擊行為

聯(lián)動(dòng)阻斷防護(hù)

支持與客戶已有的阻斷類(lèi)產(chǎn)品對(duì)接，例如防火墻等產(chǎn)品進(jìn)行聯(lián)動(dòng)，在回連環(huán)節(jié)阻斷異常行為，實(shí)現(xiàn)各APT攻擊行為的阻斷防護(hù)

云端分析

產(chǎn)品云端可提供威脅情報(bào)共享服務(wù)、專家級(jí)深度威脅分析服務(wù)，為用戶提供更為精準(zhǔn)的威脅分析能力

產(chǎn)品特點(diǎn)

本預(yù)警平臺(tái)具有以下特點(diǎn)：

采用旁路方式部署

采取旁路鏡像部署，無(wú)服務(wù)中斷，不影響用戶正常應(yīng)用

全面的檢測(cè)策略

集靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)分析技術(shù)于一身，完整覆蓋APT攻擊鏈，應(yīng)對(duì)各種場(chǎng)景的攻擊行為

擁有多項(xiàng) 的沙箱技術(shù)

如沙箱快速恢復(fù)技術(shù)和單沙箱多樣本運(yùn)行技術(shù)性能優(yōu)越行業(yè)

網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測(cè)

對(duì)流量進(jìn)行全面監(jiān)測(cè)，建立緊急事件報(bào)警機(jī)制，反應(yīng)迅速，及時(shí)發(fā)現(xiàn)攻擊

攻擊鏈關(guān)聯(lián)分析

基于多個(gè)攻擊行為、海量數(shù)據(jù)等對(duì)攻擊行為進(jìn)行關(guān)聯(lián)分析，挖掘規(guī)律，提取真正的異常攻擊行為

易于管理?

對(duì)攻擊行為詳細(xì)記錄，并提供直觀的統(tǒng)計(jì)報(bào)表，方便用戶隨時(shí)查詢分析攻擊行為

IPV4/IPV6雙協(xié)議棧支持

全面支持IPV6環(huán)境部署和IPV4/IPV6混合流量威脅檢測(cè)，支持IPV6地址的關(guān)聯(lián)分析、查詢、配置、可視化展現(xiàn)以及多種風(fēng)險(xiǎn)外送方式

版本自動(dòng)升級(jí)

支持云端自動(dòng)升級(jí)和集群部署場(chǎng)景下自動(dòng)升級(jí)能力，緩解運(yùn)維壓力

用戶價(jià)值

預(yù)警重要信息系統(tǒng)發(fā)生的安全事件

·及時(shí)發(fā)現(xiàn)網(wǎng)站 Webshell后門(mén)被利用

·快速預(yù)警高危惡意代碼樣本傳播

·監(jiān)控內(nèi)部主機(jī)被控制回連的行

·預(yù)警勒索病毒傳播和挖礦行為

·發(fā)現(xiàn)內(nèi)部存在的零日漏洞和未知威脅

完善核心系統(tǒng)安全防護(hù)能力

·發(fā)現(xiàn)各種隱蔽威脅

·分析當(dāng)前安全防護(hù)的弱點(diǎn)

·完善安全防護(hù)策略

·本地離線威脅情報(bào)與云端協(xié)同防御

對(duì)攻擊進(jìn)行取證溯源分析

·記錄詳細(xì)的攻擊行為

·發(fā)現(xiàn)并定位僵尸主機(jī)

·對(duì)攻擊進(jìn)行跟蹤溯源

感知安全威脅趨勢(shì)規(guī)律

·全面的威脅指數(shù)分析

·安全趨勢(shì)和規(guī)律分析

·安全態(tài)勢(shì)可視化