高級威脅檢測系統(tǒng)(NTA)
產(chǎn)品概述
威努特高級威脅檢測系統(tǒng)是一款實時分析網(wǎng)絡(luò)流量,結(jié)合威脅情報數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù),深度檢測所有可疑網(wǎng)絡(luò)活動的高級持續(xù)性威脅(APT)防范設(shè)備。該產(chǎn)品網(wǎng)絡(luò)檢測與文件檢測同步進行,網(wǎng)絡(luò)檢測采用情報共享機制,構(gòu)筑檢測生態(tài)圈,準(zhǔn)確、快速地掌握攻擊鏈條;文件檢測采用全面沙箱分析,通過在沙箱(Sandbox)中運行(行為激活/內(nèi)容“引爆”)各種文件,分析文件行為,識別出未知威脅,為工業(yè)企業(yè)用戶構(gòu)建高級持續(xù)性威脅(APT)防范能力。
產(chǎn)品特點
高效的網(wǎng)絡(luò)異常行為檢測技術(shù)
可識別豐富的網(wǎng)絡(luò)應(yīng)用層協(xié)議,通過協(xié)議分析、網(wǎng)絡(luò)異常行為模式匹配等檢測技術(shù)快速鑒別出C&C通訊、DGA惡意域名、DDoS攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊等網(wǎng)絡(luò)惡意行為。的基因圖譜檢測技術(shù)
通過結(jié)合機器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù),將惡意代碼映射為灰度圖像,建立檢測模型,利用檢測模型對惡意代碼及其變種進行家族檢測。大數(shù)據(jù)與安全技術(shù)的結(jié)合
系統(tǒng)采用了機器學(xué)習(xí)/深度學(xué)習(xí)技術(shù),基于大數(shù)據(jù)平臺,用海量安全數(shù)據(jù)進行訓(xùn)練,從而具備檢測未知威脅的能力,能有效減少安全運維人員的人工識別工作量。全面的已知、未知威脅檢測
通過內(nèi)置的下一代入侵檢測引擎,Multi-AV防病毒引擎和威脅情報檢測技術(shù)對已知威脅進行靜態(tài)檢測;通過對惡意代碼在沙箱中的主機行為和網(wǎng)絡(luò)行為進行深入分析,可實現(xiàn)對未知威脅的檢測。海量威脅情報信息
系統(tǒng)具備惡意IP、惡意域名、惡意URL實時同步到設(shè)備本地的能力,威脅情報中心威脅信息累積有10億條,可實現(xiàn)各類威脅行為的檢測。 產(chǎn)品功能
威脅情報檢測
下一代入侵檢測
元數(shù)據(jù)追溯取證
網(wǎng)絡(luò)異常檢測
未知威脅檢測
資產(chǎn)畫像
- 支持本地威脅情報檢測和云端威脅情報追溯;
- 通過實時下發(fā)惡意IP、惡意域名、惡意URL等黑名單到設(shè)備本地進行威脅情報檢測,每天下發(fā)到設(shè)備本地的黑名單數(shù)量不少于20萬條;
- 通過聯(lián)動提交IP、域名、URL、文件或文件的HASH值、漏洞等到云端威脅情報系統(tǒng)進行追溯取證及可視化關(guān)聯(lián)分析,云端積累的各種威脅情報數(shù)量不少于10億條;
下一代入侵檢測
- 支持對網(wǎng)絡(luò)內(nèi)部的掃描探測、入侵攻擊、橫向滲透等行為進行檢測;
- 支持SQL注入攻擊檢測、Bash漏洞攻擊檢測、心臟出血漏洞攻擊檢測、協(xié)議動態(tài)識別、無效SSL證書檢測、無效OCSP回應(yīng)檢測、網(wǎng)絡(luò)應(yīng)用攻擊檢測、Shellcode檢測、釣魚網(wǎng)站檢測、C&C通訊檢測、網(wǎng)絡(luò)木馬檢測等;
- 支持協(xié)議分析及文件還原,包括PE格式文件還原、TXT格式文件還原、OFFICE格式文件還原、FLASH格式文件還原、PDF格式文件還原、JAVA格式文件還原、WEB格式文件還原、PYTHON格式文件還原、RAR格式文件還原、ZIP格式文件還原、VBS格式文件還原、TORRENT格式文件還原等;
元數(shù)據(jù)追溯取證
- 內(nèi)置網(wǎng)絡(luò)流量元數(shù)據(jù)審計取證引擎,對常見的網(wǎng)絡(luò)協(xié)議流量進行元數(shù)據(jù)提取及事后追溯取證。支持的協(xié)議包括HTTP、SMTP、FTP、DNS、SSH等;
- 對網(wǎng)絡(luò)流量進行協(xié)議解析;
- 對網(wǎng)絡(luò)流量進行應(yīng)用識別;
- 對網(wǎng)絡(luò)流量進行會話分析,實現(xiàn)網(wǎng)絡(luò)連接可視化;
網(wǎng)絡(luò)異常檢測
- 支持DoS&DDoS攻擊檢測、會話連接行為異常檢測、中間人劫持攻擊檢測、非標(biāo)準(zhǔn)協(xié)議檢測;
- 支持SMTP行為異常檢測、可疑SMTP源IP檢測、垃圾郵件檢測、釣魚郵件檢測;
- 支持掃描行為檢測、路由跟蹤行為檢測、密碼猜測行為檢測、密碼暴力破解行為檢測、提權(quán)行為檢測、隱私策略檢測、信息泄露檢測、SSL行為檢測;
- 支持tcp,udp,icmp,dce-rpc,dhcp,dnp3,dns,ftp,http,imap,irc,krb,modbus,mysql,ntlm,pop3,radius,rdp,rfb,sip,smb,smtp,snmp,socks,ssh,ssl,syslog協(xié)議檢測;
未知威脅檢測
- 支持采用沙箱行為模式匹配技術(shù)對流量中的文件進行動態(tài)檢測,根據(jù)惡意行為判斷是否為威脅變種;
- 支持沙箱環(huán)境定制;
- 支持壓縮文件,PE,office,rtf,圖片,WEB文件,視頻,Java,PDF,PYTHON,MSG,文本,flash,WSF文件檢測;惡意行為模式庫不少于600個;
- 支持反沙箱行為檢測;
- 支持惡意代碼的行為相似性聚類。通過聚類分析和文件追溯判斷該文件是否為惡意文件。若該文件具有多個惡意行為且成功逃過多個反病毒引擎的檢測及基因圖譜檢測,則該文件極有可能為新型的惡意代碼;
資產(chǎn)畫像
- 支持資產(chǎn)畫像,展現(xiàn)資產(chǎn)及威脅詳情;
應(yīng)用場景
企業(yè)管理網(wǎng)攻擊及威脅檢測
- 在企業(yè)管理網(wǎng)部署網(wǎng)絡(luò)威脅感知系統(tǒng),基于攻擊檢測及沙箱分析技術(shù),識別攻擊行為和未知威脅
- 采用多個反病毒引擎對流量中的文件進行交叉檢測和交叉驗證,從而發(fā)現(xiàn)其中的已知威脅
- 提供DoS&DDoS攻擊檢測、會話連接行為異常檢測、中間人劫持攻擊檢測、非標(biāo)準(zhǔn)協(xié)議檢測
- 提供掃描行為檢測、路由跟蹤行為檢測、密碼猜測行為檢測、密碼暴力破解行為檢測、提權(quán)行為檢測、隱私策略檢測、信息泄露檢測、SSL行為檢測
- 采用沙箱行為模式匹配技術(shù)對流量中的文件進行動態(tài)檢測,根據(jù)惡意行為判斷是否為未知威脅
- 在企業(yè)生產(chǎn)網(wǎng)部署網(wǎng)絡(luò)威脅感知系統(tǒng),能有效檢測網(wǎng)絡(luò)中的異常主機及異常網(wǎng)絡(luò)行為
- 對工業(yè)企業(yè)生產(chǎn)網(wǎng)絡(luò)內(nèi)部的掃描探測、入侵攻擊、攻擊橫向滲透等行為進行檢測
- 通過檢測網(wǎng)絡(luò)流量中的DGA域名,可以有效定位網(wǎng)絡(luò)內(nèi)部已經(jīng)被僵尸/木馬控制的主機(失陷主機)
- 基于基因圖譜模糊對比技術(shù)對流量中的文件進行靜態(tài)檢測,通過圖像文理分析與惡意代碼變種檢測,將可疑文件二進制代碼映射為無法壓縮的灰階圖片,與已有的惡意代碼基因庫圖片做對比,依據(jù)相似度識別威脅變種