高级威胁检测系统(NTA)
产品概述
威努特高级威胁检测系统是一款实时分析网络流量,结合威胁情报数据及网络行为分析技术,深度检测所有可疑网络活动的高级持续性威胁(APT)防范设备。该产品网络检测与文件检测同步进行,网络检测采用情报共享机制,构筑检测生态圈,准确、快速地掌握攻击链条;文件检测采用全面沙箱分析,通过在沙箱(Sandbox)中运行(行为激活/内容“引爆”)各种文件,分析文件行为,识别出未知威胁,为工业企业用户构建高级持续性威胁(APT)防范能力。
产品特点
高效的网络异常行为检测技术
可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。
独特的基因图谱检测技术
通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。
大数据与安全技术的结合
系统采用了机器学习/深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,能有效减少安全运维人员的人工识别工作量。
全面的已知、未知威胁检测
通过内置的下一代入侵检测引擎,Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,可实现对未知威胁的检测。
海量威胁情报信息
系统具备恶意IP、恶意域名、恶意URL实时同步到设备本地的能力,威胁情报中心威胁信息累积有10亿条,可实现各类威胁行为的检测。
产品功能
威胁情报检测
-
支持本地威胁情报检测和云端威胁情报追溯;
-
通过实时下发恶意IP、恶意域名、恶意URL等黑名单到设备本地进行威胁情报检测,每天下发到设备本地的黑名单数量不少于20万条;
-
通过联动提交IP、域名、URL、文件或文件的HASH值、漏洞等到云端威胁情报系统进行追溯取证及可视化关联分析,云端积累的各种威胁情报数量不少于10亿条;
下一代入侵检测
-
支持对网络内部的扫描探测、入侵攻击、横向渗透等行为进行检测;
-
支持SQL注入攻击检测、Bash漏洞攻击检测、心脏出血漏洞攻击检测、协议动态识别、无效SSL证书检测、无效OCSP回应检测、网络应用攻击检测、Shellcode检测、钓鱼网站检测、C&C通讯检测、网络木马检测等;
-
支持协议分析及文件还原,包括PE格式文件还原、TXT格式文件还原、OFFICE格式文件还原、FLASH格式文件还原、PDF格式文件还原、JAVA格式文件还原、WEB格式文件还原、PYTHON格式文件还原、RAR格式文件还原、ZIP格式文件还原、VBS格式文件还原、TORRENT格式文件还原等;
元数据追溯取证
-
内置网络流量元数据审计取证引擎,对常见的网络协议流量进行元数据提取及事后追溯取证。支持的协议包括HTTP、SMTP、FTP、DNS、SSH等;
-
对网络流量进行协议解析;
-
对网络流量进行应用识别;
-
对网络流量进行会话分析,实现网络连接可视化;
网络异常检测
-
支持DoS&DDoS攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测;
-
支持SMTP行为异常检测、可疑SMTP源IP检测、垃圾邮件检测、钓鱼邮件检测;
-
支持扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为检测;
-
支持tcp,udp,icmp,dce-rpc,dhcp,dnp3,dns,ftp,http,imap,irc,krb,modbus,mysql,ntlm,pop3,radius,rdp,rfb,sip,smb,smtp,snmp,socks,ssh,ssl,syslog协议检测;
未知威胁检测
-
支持采用沙箱行为模式匹配技术对流量中的文件进行动态检测,根据恶意行为判断是否为威胁变种;
-
支持沙箱环境定制;
-
支持压缩文件,PE,office,rtf,图片,WEB文件,视频,Java,PDF,PYTHON,MSG,文本,flash,WSF文件检测;恶意行为模式库不少于600个;
-
支持反沙箱行为检测;
-
支持恶意代码的行为相似性聚类。通过聚类分析和文件追溯判断该文件是否为恶意文件。若该文件具有多个恶意行为且成功逃过多个反病毒引擎的检测及基因图谱检测,则该文件极有可能为新型的恶意代码;
资产画像
企业管理网攻击及威胁检测
-
在企业管理网部署网络威胁感知系统,基于攻击检测及沙箱分析技术,识别攻击行为和未知威胁
-
采用多个反病毒引擎对流量中的文件进行交叉检测和交叉验证,从而发现其中的已知威胁
-
提供DoS&DDoS攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测
-
提供扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为检测
-
采用沙箱行为模式匹配技术对流量中的文件进行动态检测,根据恶意行为判断是否为未知威胁
企业生产网网络异常检测
-
在企业生产网部署网络威胁感知系统,能有效检测网络中的异常主机及异常网络行为
-
对工业企业生产网络内部的扫描探测、入侵攻击、攻击横向渗透等行为进行检测
-
通过检测网络流量中的DGA域名,可以有效定位网络内部已经被僵尸/木马控制的主机(失陷主机)
-
基于基因图谱模糊对比技术对流量中的文件进行静态检测,通过图像文理分析与恶意代码变种检测,将可疑文件二进制代码映射为无法压缩的灰阶图片,与已有的恶意代码基因库图片做对比,依据相似度识别威胁变种