高級可持續性威脅安全監測系統
針對APT攻擊的特點及危害,恒星信息推出高級可持續威脅安全監測産品(簡稱恒星信息APT安全監測産品),該産品旁路部署在網絡邊界處,實時監測網絡通信數據。
恒星信息APT安全監測産品采用大(dà)數據處理架構,集合行爲分(fēn)析、虛拟執行、多維關聯分(fēn)析、機器學習等技術,針對APT攻擊中(zhōng)廣泛采用的0day/Nday漏洞、特種木馬、滲透入侵技術等進行深度檢測分(fēn)析;挖掘識别網絡空間中(zhōng)的已知(zhī)/未知(zhī)高級威脅,對威脅進行追蹤與定位;結合攻擊事件關聯,提供木馬報告、趨勢分(fēn)析報表等多種可視化統計圖表,實現對APT攻擊的全生(shēng)命周期的檢測分(fēn)析與預警,幫助用戶全面、直觀掌握網絡安全風險狀況。并且可與恒星信息防火(huǒ)牆聯動,建立APT監測與阻斷防禦體(tǐ)系,形成攻擊防禦閉環。
宏觀威脅态勢感知(zhī)地圖
通過威脅态勢感知(zhī)對入侵植入事件、網内失陷事件進行監測,實現對已知(zhī)和未知(zhī)威脅地實時監控與态勢感知(zhī),實時展現網絡安全整體(tǐ)态勢感知(zhī)地圖,掌握全局資(zī)産風險,支撐整體(tǐ)安全策略,讓安全可見、可控、可預測。
多階段全鏈條攻擊檢測
系統采用多種檢測手段,檢測攻擊的武器投遞階段,漏洞利用、安裝植入階段、命令控制等多個攻擊階段,多階段全鏈條檢測APT攻擊,全方位預警APT攻擊。
動靜結合的技術檢測
系統采用文件靜态檢測技術和動态檢測技術相結合的方式,實現對文檔類惡意代碼和0day/Nday漏洞利用攻擊行爲的檢測,檢測已知(zhī)和未知(zhī)威脅,預警APT攻擊行爲。
動态沙箱識别未知(zhī)威脅
系統可虛拟出能夠模拟正常軟件行爲的運行環境,可充分(fēn)模拟應用程序的執行以及惡意文件中(zhōng)攻擊代碼的執行,監視并記錄惡意文件的一(yī)舉一(yī)動,從而可獲悉攻擊事件的内容、行爲與意圖,實現對惡意代碼、0DAY/NDAY漏洞攻擊的行爲分(fēn)析與風險預警。
全面木馬通信行爲檢測
通過對木馬各類行爲線索、多種通信行爲進行複合權值,判斷木馬的網絡通信行爲,從而識别定位已知(zhī)或未知(zhī)木馬。系統具有強大(dà)的木馬追蹤與地址定位能力,可對内網的主機和外(wài)網的目标地址進行準确定位,獲取與木馬相關的深度信息。
多種沙箱逃逸對抗技術
恒星信息APT安全監測産品能夠對特種木馬等惡意代碼的虛拟機探測技術進行檢測和處理,避免惡意代碼的繞過。
客戶價值
實時預警網絡安全事件
實時監控網絡流量,快速預警惡意代碼傳播,及時發現勒索病毒、挖礦等傳播事件,監控内部失陷主機回聯。
完善現有安全體(tǐ)系,提升網絡攻擊感知(zhī)能力
補充現有基于已知(zhī)威脅特征、靜态的防禦安全體(tǐ)系,增強未知(zhī)威脅檢測能力。
助力網絡攻擊溯源分(fēn)析
還原和存儲網絡流量的元數據,提供多種可視化分(fēn)析技術,幫助用戶快速定位已經發生(shēng)網絡攻擊行爲,分(fēn)析攻擊路徑、受感染面和信息洩露狀況。
滿足等級保護合規性要求
滿足等保2.0對網絡攻擊檢測的分(fēn)析要求,特别是未知(zhī)新型網絡攻擊與APT攻擊。
應用場景
恒星信息APT安全監測系統支持旁路模式流量檢測,如下(xià)圖所示可旁路部署在客戶的互聯網出口、郵件及文件服務器前、重要部門網絡邊界等網絡位置,在實現網絡流量檢測與分(fēn)析的同時,完全不需要改變用戶的網絡環境,避免設備對用戶網絡造成中(zhōng)斷風險。