产品功能(néng)

明御® APT攻击（网络战）预警平台对旁路镜像数据进行深度解析，采取多(duō)种分(fēn)析策略，实时发现并定位APT攻击，包括：

1、Web攻击深度检测

通过对Web流量和应用(yòng)进行深度分(fēn)析，提供全面的入侵检测能(néng)力。包含Web攻击特征检测、WebShell检测、Web行為(wèi)分(fēn)析、异常访问、C&C IP/URL检测等

2、邮件攻击行為(wèi)检测

对SMTP、POP3、IMAP和WebMail流量进行解析，发现各种邮件攻击行為(wèi)，邮件欺骗的社工类攻击行為(wèi)以及邮件附件的恶意文(wén)件攻击行為(wèi)等

3、恶意文(wén)件攻击检测

对常见文(wén)件传输协议进行解析，并进行文(wén)件分(fēn)离，通过木(mù马病毒检测、静态分(fēn)析、动态沙箱行為(wèi)分(fēn)析，发现各种已知和未知的恶意文(wén)件攻击行為(wèi)

4、失陷主机检测

通过威胁情报数据、域名异常分(fēn)析、遠(yuǎn)控行為(wèi)分(fēn)析、隐蔽信道传输以及系统漏洞利用(yòng)行為(wèi)等多(duō)维度检测，全面发现失陷主机，并对失陷主机进行举证和定位

5、异常流量检测

通过对SMB遠(yuǎn)程溢出攻击、挖矿行為(wèi)、暴力破解等异常流量行為(wèi)实时预警，以攻防视角对攻击者身份、攻击手段以及攻击目的等进行关联分(fēn)析和深度挖掘

6、全流量分(fēn)析检测

支持全流量模式下的应用(yòng)识别、失陷主机检测，尤其是利用(yòng)失陷主机进行挖矿的行為(wèi)，如比特币、门罗币等

7、综合关联分(fēn)析

结合各引擎检测能(néng)力、丰富的威胁情报、机器學(xué)习等进行多(duō)维度关联分(fēn)析、日志(zhì)报表综合分(fēn)析，深入发现更為(wèi)隐蔽的APT攻击行為(wèi)

8、联动阻断防护

支持与客户已有(yǒu)的阻断类产品对接，例如防火墙等产品进行联动，在回连环节阻断异常行為(wèi)，实现各APT攻击行為(wèi)的阻断防护

9、云端高级分(fēn)析

产品云端可(kě)提供威胁情报共享服務(wù)、专家级深度威胁分(fēn)析服務(wù)，為(wèi)用(yòng)户提供更為(wèi)精准的威胁分(fēn)析能(néng)力

产品特点

本预警平台具有(yǒu)以下特点：

1、采用(yòng)旁路方式部署

采取旁路镜像部署，无服務(wù)中断，不影响用(yòng)户正常应用(yòng)

2、全面的检测策略

集静态检测技术和动态分(fēn)析技术于一身，完整覆盖APT攻击链，应对各种场景的攻击行為(wèi)

3、拥有(yǒu)多(duō)项专利的沙箱技术

如沙箱快速恢复技术和单沙箱多(duō)样本运行技术性能(néng)优越行业领先

4、网络流量实时监测

对流量进行全面监测，建立紧急事件报警机制，反应迅速，及时发现攻击

5、攻击链关联分(fēn)析

基于多(duō)个攻击行為(wèi)、海量数据等对攻击行為(wèi)进行关联分(fēn)析，挖掘规律，提取真正的异常攻击行為(wèi)

6、易于管理(lǐ)

对攻击行為(wèi)详细记录，并提供直观的统计报表，方便用(yòng)户随时查询分(fēn)析攻击行為(wèi)

7、IPV4/IPV6双协议栈支持

全面支持IPV6环境部署和IPV4/IPV6混合流量威胁检测，支持IPV6地址的关联分(fēn)析、查询、配置、可(kě)视化展现以及多(duō)种风险外送方式

8、版本自动升级

支持云端自动升级和集群部署场景下自动升级能(néng)力，缓解运维压力

用(yòng)户价值

1、预警重要信息系统发生的安全事件

及时发现网站 Webshell后门被利用(yòng)

快速预警高危恶意代码样本传播

监控内部主机被控制回连的行為(wèi)

预警勒索病毒传播和挖矿行為(wèi)

发现内部存在的零日漏洞和未知威胁

2、完善核心系统安全防护能(néng)力

发现各种隐蔽威胁

分(fēn)析当前安全防护的弱点

完善安全防护策略

本地离線(xiàn)威胁情报与云端协同防御

3、对攻击进行取证溯源分(fēn)析

记录详细的攻击行為(wèi)

发现并定位僵尸主机

对攻击进行跟踪溯源

4、感知安全威胁趋势规律

全面的威胁指数分(fēn)析

安全趋势和规律分(fēn)析

安全态势可(kě)视化