智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
高級威脅檢測系統(NTA)
產品概述
威努特高級威脅檢測系統是一款實時分析網絡流量,結合威脅情報數據及網絡行為分析技術,深度檢測所有可疑網絡活動的高級持續性威脅(APT)防范設備。該產品網絡檢測與文件檢測同步進行,網絡檢測采用情報共享機制,構筑檢測生態圈,準確、快速地掌握攻擊鏈條;文件檢測采用全面沙箱分析,通過在沙箱(Sandbox)中運行(行為激活/內容“引爆”)各種文件,分析文件行為,識別出未知威脅,為工業企業用戶構建高級持續性威脅(APT)防范能力。
產品特點
高效的網絡異常行為檢測技術
可識別豐富的網絡應用層協議,通過協議分析、網絡異常行為模式匹配等檢測技術快速鑒別出C&C通訊、DGA惡意域名、DDoS攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊等網絡惡意行為。
的基因圖譜檢測技術
通過結合機器學習/深度學習、圖像分析技術,將惡意代碼映射為灰度圖像,建立檢測模型,利用檢測模型對惡意代碼及其變種進行家族檢測。
大數據與安全技術的結合
系統采用了機器學習/深度學習技術,基于大數據平臺,用海量安全數據進行訓練,從而具備檢測未知威脅的能力,能有效減少安全運維人員的人工識別工作量。
全面的已知、未知威脅檢測
通過內置的下一代入侵檢測引擎,Multi-AV防病毒引擎和威脅情報檢測技術對已知威脅進行靜態檢測;通過對惡意代碼在沙箱中的主機行為和網絡行為進行深入分析,可實現對未知威脅的檢測。 海量威脅情報信息
系統具備惡意IP、惡意域名、惡意URL實時同步到設備本地的能力,威脅情報中心威脅信息累積有10億條,可實現各類威脅行為的檢測。 產品功能
威脅情報檢測
下一代入侵檢測
元數據追溯取證
網絡異常檢測
未知威脅檢測
資產畫像
- 支持本地威脅情報檢測和云端威脅情報追溯;
- 通過實時下發惡意IP、惡意域名、惡意URL等黑名單到設備本地進行威脅情報檢測,每天下發到設備本地的黑名單數量不少于20萬條;
- 通過聯動提交IP、域名、URL、文件或文件的HASH值、漏洞等到云端威脅情報系統進行追溯取證及可視化關聯分析,云端積累的各種威脅情報數量不少于10億條;
下一代入侵檢測
- 支持對網絡內部的掃描探測、入侵攻擊、橫向滲透等行為進行檢測;
- 支持SQL注入攻擊檢測、Bash漏洞攻擊檢測、心臟出血漏洞攻擊檢測、協議動態識別、無效SSL證書檢測、無效OCSP回應檢測、網絡應用攻擊檢測、Shellcode檢測、釣魚網站檢測、C&C通訊檢測、網絡木馬檢測等;
- 支持協議分析及文件還原,包括PE格式文件還原、TXT格式文件還原、OFFICE格式文件還原、FLASH格式文件還原、PDF格式文件還原、JAVA格式文件還原、WEB格式文件還原、PYTHON格式文件還原、RAR格式文件還原、ZIP格式文件還原、VBS格式文件還原、TORRENT格式文件還原等;
元數據追溯取證
- 內置網絡流量元數據審計取證引擎,對常見的網絡協議流量進行元數據提取及事后追溯取證。支持的協議包括HTTP、SMTP、FTP、DNS、SSH等;
- 對網絡流量進行協議解析;
- 對網絡流量進行應用識別;
- 對網絡流量進行會話分析,實現網絡連接可視化;
網絡異常檢測
- 支持DoS&DDoS攻擊檢測、會話連接行為異常檢測、中間人劫持攻擊檢測、非標準協議檢測;
- 支持SMTP行為異常檢測、可疑SMTP源IP檢測、垃圾郵件檢測、釣魚郵件檢測;
- 支持掃描行為檢測、路由跟蹤行為檢測、密碼猜測行為檢測、密碼暴力破解行為檢測、提權行為檢測、隱私策略檢測、信息泄露檢測、SSL行為檢測;
- 支持tcp,udp,icmp,dce-rpc,dhcp,dnp3,dns,ftp,http,imap,irc,krb,modbus,mysql,ntlm,pop3,radius,rdp,rfb,sip,smb,smtp,snmp,socks,ssh,ssl,syslog協議檢測;
未知威脅檢測
- 支持采用沙箱行為模式匹配技術對流量中的文件進行動態檢測,根據惡意行為判斷是否為威脅變種;
- 支持沙箱環境定制;
- 支持壓縮文件,PE,office,rtf,圖片,WEB文件,視頻,Java,PDF,PYTHON,MSG,文本,flash,WSF文件檢測;惡意行為模式庫不少于600個;
- 支持反沙箱行為檢測;
- 支持惡意代碼的行為相似性聚類。通過聚類分析和文件追溯判斷該文件是否為惡意文件。若該文件具有多個惡意行為且成功逃過多個反病毒引擎的檢測及基因圖譜檢測,則該文件極有可能為新型的惡意代碼;
資產畫像
- 支持資產畫像,展現資產及威脅詳情;
應用場景
企業管理網攻擊及威脅檢測
- 在企業管理網部署網絡威脅感知系統,基于攻擊檢測及沙箱分析技術,識別攻擊行為和未知威脅
- 采用多個反病毒引擎對流量中的文件進行交叉檢測和交叉驗證,從而發現其中的已知威脅
- 提供DoS&DDoS攻擊檢測、會話連接行為異常檢測、中間人劫持攻擊檢測、非標準協議檢測
- 提供掃描行為檢測、路由跟蹤行為檢測、密碼猜測行為檢測、密碼暴力破解行為檢測、提權行為檢測、隱私策略檢測、信息泄露檢測、SSL行為檢測
- 采用沙箱行為模式匹配技術對流量中的文件進行動態檢測,根據惡意行為判斷是否為未知威脅
- 在企業生產網部署網絡威脅感知系統,能有效檢測網絡中的異常主機及異常網絡行為
- 對工業企業生產網絡內部的掃描探測、入侵攻擊、攻擊橫向滲透等行為進行檢測
- 通過檢測網絡流量中的DGA域名,可以有效定位網絡內部已經被僵尸/木馬控制的主機(失陷主機)
- 基于基因圖譜模糊對比技術對流量中的文件進行靜態檢測,通過圖像文理分析與惡意代碼變種檢測,將可疑文件二進制代碼映射為無法壓縮的灰階圖片,與已有的惡意代碼基因庫圖片做對比,依據相似度識別威脅變種
