icon传统安全防护体系受到挑战icon

缺乏对未知攻击的检测能力、缺乏对流量的分析能力

防火墙
基于IP、端口进行拦截,不分析内容
IDS/IPS
基于已知特征检测、易被绕过
安全网关
基于IP、URL等黑白名单进行控制,不检测内容
防毒墙
基于文件类型和特征检测、对0day样本利用无能为力
WAF
只针对web应用攻击、对APT攻击防护不全面,易被绕过
icon市场为什么需要APT产品?icon
形势所迫
高级持续性威胁攻击(新型网络攻击、零日漏洞利用、未知恶意代码等),层出不穷。勒索病毒、恶意挖矿等新型电脑病毒给企事业单位造成巨大损失。
法律法规
《中华人民共和国网络安全法》
《等保2.0》
 
 
传统设备无能为力
传统流量检测设备IDS基于已知特征检测,无法检测未知威胁和高级威胁。传统防御设备,基于已知规则对异常流量进行检测,无法发现流量中的未知攻击行为。
明御APT预警平台
未知威胁,精准检测新型勒索病毒,定位恶意挖矿程序,为企业资产保驾护航。
icon应对APT攻击应当具备的能力icon
icon明御APT攻击预警平台产品定位icon

针对网络流量进行深度分析的软硬件一体化产品 ——识别恶意行为、发现未知威胁、直击新型网络攻击

已知、未知威胁检测

基于丰富的特征库、全面的检测策略、智能机器学习、高效沙箱动态分析、海量威胁情报,实时发现网络攻击行为。

失陷主机发现

通过识别或匹配DGA域名请求、远控工具指纹库、漏洞利用库、异常流量、隐蔽信道通信和威胁情报等,多维度全方位发现失陷主机。

横向扩散定位

识别内网中横向扩散及渗透攻击行为,如内网扫描探测、恶意样本扩散、漏洞利用攻击及隧道搭建等行为,发现可疑的跳板机和被利用主机。

icon明御®APT攻击预警平台icon

当前,网络安全受到高度重视,单一的攻击手段越来越难以达到攻击效果,高级持续性威胁正在通过一切方式,绕过传统安全设备的防线,悄然潜伏在系统中,成为当前网络安全的最大威胁。明御®APT攻击预警平台可发现零日漏洞利用、未知恶意代码等高级攻击行为,能检测到传统安全设备无法检测的攻击,为用户提供更高级的安全保障。

icon产品功能icon
去端高级分析

产品云端可提供威胁情报共享服务、专家级深度威胁分析服务,为用户提供更为精准的威胁分析能力。

联动阻断防护

支持与客户已有的阻断类产品对接,例如防火墙净产品进行联动,在回连环节阻断导常行为,实现各APT攻击行为的阻断防护。

综合关联分析

结合各引擎检测能力丰富的威胁情报、机器学习等进行多维度关联分析、日志报表综合分析,深入发现更为隐蔽的APT攻击行为。

icon 用户价值icon
预警重要信息系统发生的安全事件
及时发现网站 Webshell后门被利用,快速预警高危恶意代码样本传播,监控内部主机被控制回连的行为,预警勒索病毒传播和挖矿行为,发现内部存在的零日漏洞和未知威胁。
感知安全威胁趋势规律
全面的威胁指数分析,安全趋势和规律分析,安全态势可视化。
 
 
完善核心系统安全防护能力
发现各种隐蔽威胁,分析当前安全防护的弱点,完善安全防护策略,本地离线威胁情报与云端协同防御。
 
对攻击进行取证溯源分析
记录详细的攻击行为,发现并定位僵尸主机,对攻击进行跟踪溯源。
icon明御APT攻击预警平台的技术领先性icon
集高性能沙箱、流量传感器、智能威胁分析引擎、威胁情报、可视化大屏于一体
技术优势
集成化程度高,避免了一套系统多台设备间协同性不佳导致的各种故障,且部署简单,节约资源。 沙箱具有多项专利,检测能力业界领先。 与国际领先的反病毒引擎深度合作,病毒库与官方同步更新,误报率、漏报率指标可称业界最优。
用户场景
用作网络攻击发现预警的场景。 作为入侵检测系统设备的场景。 帮助用户应急处置勒索病毒爆发、失陷主机定位的场景。 帮助用户追溯暴力破解、远程控制、恶意代码等攻击行为的场景。 用作态势感知平台、大数据分析平台探针使用的场景。
icon明御APT攻击预警平台整体威胁发现能力icon
icon全流量+双向监测+协议解析&全网威胁感知icon
icon明御APT攻击预警平台全面威胁发现能力icon

检测能力完整覆盖APT攻击链,具备全面的威胁发现能力。从邮件攻击检测、文件攻击检测、WEB攻击检测、DNS异常检测及关联分析多个层面,全面检测APT攻击,并显示攻击进度。

icon风险预警与态势感知icon

1.对网页、邮件、漏洞、弱口令等利用资产弱点进入内网的恶意攻击进行检测,实现对已知和未知威胁的实时监控与态势感知 2.基于多层次行为差异的沙箱逃逸检测模块,能够对特种木马等恶意代码的虚拟机探测技术进行检测和处理,支持反虚拟机检测技术,避免恶意代码的绕过 3.基于AI的威胁自学习检测,从被动防御转向主动防御,实现对20G级别的流量进行实时处理和分析

01 系统漏洞
结合威胁情报实时预警最新漏洞利用攻击行为
02 邮件钓鱼
专利级沙箱动态模拟、病毒木马扫描和静态分析检测恶意附件,还原真实邮件链接
03 网站后门
多重检测技术对网站后门利用行为进行检测取证
04 弱口令
智能检测预警主机权限窃取行为
icon联动防御icon

在常见黑客入侵技术的基础上,推出边界到端的“检测+防御”体系: 1、通过安恒APT攻击预警平台对边界的已知和未知威胁进行检测和发掘; 2、明御®主机安全及管理系统(EDR)对终端各种攻击威胁的响应和处置; 3、形成联合防御方案 APT检测到风险告警后,通过调用防火墙API接口对特定风险信息中的源IP进行拦截,并支持自定义拦截周期。APT检测到风险告警后,通过调用WAF的API接口对特定风险信息中的源IP或url进行拦截。

icon产品特点icon
版本自动升级
支持云端自动升级和集群部署场景下自动升级能力,缓解运维压力
IPV4/IPV6双协议栈支持
全面支持IPV6环境部署和IPV4/IPV6混合流量威胁检测,支持IPV6地址的关联分析、查询、配置、可视化展现以及多种风险外送方式
易于管理

 对攻击行为详细记录,并提供直观的统计报表,方便用户随时查询分析攻击行为
采用旁路方式部署
采取旁路镜像部署,无服务中断,不影响用户正常应用
全面的检测策略
集静态检测技术和动态分析技术于一身,完整覆盖APT攻击链,应对各种场景的攻击行为
拥有多项专利的沙箱技术
如沙箱快速恢复技术和单沙箱多样本运行技术性能优越行业领先
网络流量实时监测
对流量进行全面监测,建立紧急事件报警机制,反应迅速,及时发现攻击
攻击链关联分析
基于多个攻击行为、海量数据等对攻击行为进行关联分析,挖掘规律,提取真正的异常攻击行为
icon明御APT攻击预警平台——部署方式icon

单台设备单结点部署方式:旁路部署在用户单位核心交换设备上。此方式适合网络架构不复杂,互联网出口交换机就是核心交换机的情况。

icon明御APT攻击预警平台——部署方式icon

单台设备多结点部署方式:在单台设备负载允许的情况下,可对不同区域的流量分别镜像至该APT设备不同的业务端口。下图中是将接入交换机1和接入交换机2的镜像数据接到同一台APT设备,只要总流量不超过APT设备的吞吐率即可。

icon明御APT攻击预警平台——部署方式icon
对于大型网络架构可以采取分布式部署的方式,在互联网出口交换机、内网交换机、DMZ区域交换机、服务器区交换机分别部署一台APT设备作为探测器,然后选择其中一台设备为数据中心,分支机构的APT设备也可以统一管理。 作为数据中心的设备同时还可以具备探测器,本产品设计初衷即充分利用每台设备的检测性能,不因角色切换而丧失流量采集及分析的能力,让用户以最少的成本收获最大的检测能力。
icon明御APT攻击预警平台——部署方式icon
通过对服务器集群中部署流量代理agent,agent对流量进行过滤和初步分析,然后再将数据传送到APT云安全监控中心,由云安全监控中心进一步进行深度关联分析,来发现各种已知和未知威胁,综合判断是否存在APT攻击行为。
icon典型应用场景——风险感知icon

基于全流量的主动采集,以时间关联分析、威胁情报为重点,以3D可视化为特色,针对性展现企业面临的APT等新型网络攻击行为、外部攻击和内部潜在的风险

icon典型应用场景——快速定位失陷主机icon

威胁情报(远控工具指纹库、漏洞利用库等)驱动,云端实时更新最新检测策略。智能检测引擎协同分析,多维度快速定位内网失陷主机。

icon典型应用场景——多阶段全攻击链威胁检测icon
多维度智能检测方式,多阶段全攻击链检测APT等攻击行为,全方位预警APT攻击。 对网络流量数据进行动态智能关联和下钻分析,确定异常流量来源,记录其发生的时刻、追踪传输路径和目的IP,实现对异常流量的定位,跟踪、溯源。 支持秒级查询告警事件、攻击关系,缩短安全事件破坏和响应处置的时间差。
icon典型应用场景——攻击行为溯源分析icon
icon典型应用场景——恶意文件检测&未知威胁发现icon

黑客攻击中最重要的一步是渗透入侵,文件检测技术是在渗透入侵阶段和获取权限阶段对恶意文件进行检测,及时发现病毒、木马、蠕虫、勒索病毒、挖矿软件等

icon明御APT攻击预警平台——产品形态icon

明御® APT攻击预警平台是一款在网关处采用旁路工作模式的硬件产品,可以部署在网络出口和核心交换设备上。目前已支持云上部署,且已发行便携式型号

icon典型用户案例——某高校icon

目前使用安恒APT攻击预警平台的单位已有数百家,涵盖了国家部委、政府、公安、金融、运营商、电力能源、医疗、教育、测评、军工、社保、传媒、广电、企业等行业

1.发现针对高校门户网站的各种Web攻击行为
2.发现木马、蠕虫、未知恶意代码,快速预警高危恶意代码样本传播 3.发现勒索病毒、挖矿软件样本及传播行为
4.发现非法远控及数据窃密,监控内部主机被控制回连的行为
5.对攻击进行取证溯源分析,记录详细的攻击行为
6.全面的威胁指数分析,安全态势可视化
icon典型用户案例-某企业客户勒索病毒应急处置icon
客户痛点诉求:
1.某客户单位在APT预警平台上产生大量的SMB远程命令执行的告警等
解决方案:
1.分析告警数据发现,客户内网部分主机疑似勒索病毒感染
2.对疑似感染主机的活跃监听端口进行定位,锁定异常进程,确认已经被感染勒索病毒的内部主机
icon典型用户案例——某政府单位恶意挖矿事件icon
客户痛点诉求:
采用开源的框架漏洞较多, 容易遭受漏洞攻击。内网多台主机失陷。 被注入恶意挖矿程序。
解决方案:
在核心交换区部署APT预警平台,进行异常流量检测。在失陷主机感知大屏中批量查看已失陷的主机,及引起主机失陷的攻击事件。结合失陷主机感知大屏中的远程控制、挖矿事件汇总信息,查看主机因漏洞、恶意程序等引起的攻击事件。
icon典型用户案例——温州医疗APT预警平台集群建设icon
根据公安网警和网信办的要求,针对目前医疗行业的现状,部署医疗行业安全大数据分析总平台(大数据态势感知平台)
在市本级医院和各县区卫计局及医院部署安全分析分平台(APT 预警平台)
各分节点APT平台安全数据接入总平台,实现对整个医疗行业的安全大数据分析
icon典型攻击案例——APT事件捕获icon

APT平台捕获境外黑客组织对某政府服务器长期入侵控制:某客户内网服务器多次下载恶意文件,该恶意文件会进一步释放恶意程序,主要目的是通过挖矿获利。

icon典型攻击案例——捕获利用web漏洞植入挖矿木马icon

攻击过程:对目标进行漏洞探测,利用漏洞获取服务器权限,下载挖矿木马到受控服务器,执行挖矿木马进行挖矿,回连矿池传输数据。 关联分析:资产情报关联到最新黑客资产,钱包地址关联利用不同漏洞、不同木马的攻击行为;智能沙箱,提取特征,行为关联。

产品推荐 查看更多>>
    云WAF网站应用防火墙

    全称WEB Application Firewall(网站应用防火墙),基于云安全大数据实现,为客户提供实时防护,有效阻拦漏洞攻击、恶意扫描等黑客行为, 避免客户的网站资产数据泄露,保障网站的安全与可用性。

    安全防护

    安全可靠

    安天下一代WEB应用防护系统

    安天下一代WEB应用防护系统产品一改传统 WAF以WEB 攻击为中心的设计思路,从用户自身的网站安全出发,通过对网站关键业务进行安全加固、对网站业务数据进行动态变化封装、对网站代码增加反调试保护、对客户端环境实施主动探测,以我为主对客户网站进行主动防护。

    特征检测

    表单动态封装

    用户身份识别

    WEB客户端安全

    操作系统安全增强系统

    通过安装在服务器的安全内核保护服务器数据,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。

    多终端

    安全可靠