服务电话:400-0972-788
申请试用

首页 > 产品中心 > APT高级威胁检测

需求分析

随着信息化的深远发展,网络的发展带来了各种各样的安全问题,网络中蠕虫病毒、垃圾邮件肆虐、攻击工具泛滥、木马后门无孔不入、拒绝服务司空见惯,黑客的攻击行为也正在不断升级,他们已经不局限于传统的攻击工具利用上,正逐步向0-day漏洞利用、嵌套式攻击、木马潜伏植入等更高级的攻击形态变化,这些以行为本身为主导的黑客攻击行为,掺杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化,这无疑给我们的各级政府部门、行业组织和企业单位带来了极大的麻烦。


部署天阗APT系列产品,能实时检测、报警和动态响应,还能够很好地帮助网络管理员对特定威胁、未知威胁、恶意代码、隐秘通道、嵌套攻击等进行深度识别,找到网络中可能存在的隐患。

产品简介

天阗APT检测系列,是一款针对恶意代码等未知威胁具有细粒度检测效果的专业安全产品,可实现包括对:未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测,由启明星辰集团独立自主研发。
天阗APT检测系列,采用国内领先的双重检测方法(静态检测和动态检测),多种核心检测技术手段:二进制检查、堆喷检测、ROP利用检测、敏感API检测、堆栈检测、Shell code检查、沙箱检查等,可以检测出APT攻击的核心步骤,同时,产品可结合人工服务,有效发现APT攻击。

功能特点

对多种文档格式的检测
本系统可以对多种文档格式进行静态动态检测,包括:windows系统下可执行文件、pdf、doc、xls、rtf、docx、xlsx、ppt、pptx,ppsx等。
对恶意文件的动态检测
系统使用多种虚拟机环境运行被检测文件,检测文件打开后的各种行为和系统环境等以确定文件是否具有恶意行为。动态检测的优点是检测率高、误报率低。
对恶意文件的静态检测
静态检测是指通过一定的特征比对或算法对被检测文件的二进制内容进行匹配或计算的检测方法,静态检测并不真实的运行被检测文件。静态检测的方法有很多种,天阗APT检测系统使用虚拟Shellcode执行、暴力搜索隐藏PE等多种方式对被检测文件的文件内容进行静态检测,以此来确定文件是否为恶意文件。静态检测的优点是速度快。
全面支持已知威胁检测

当前发布的天阗APT检测系列,只需要添加入侵检测与管理系统功能模块,就可以实现已知威胁加未知威胁的全面检测,包括但不限于:病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等威胁具有高精度的检测能力,产品对已知威胁事件库完美融合。

 
技术优势
 
跨界设备联动,抵御未知威胁和攻击
提供API接口可与安全防护产品进行联动

检测调度智能,检测性能计算效率提升

全新高效智能虚拟机调度引擎灵活调节虚拟机任务的分发

简洁报告设计,让复杂问题简单易懂

易懂的报告设计可满足专业人士和非专业人士的需要

隐秘通道感知,让信息外泄有效避免

C&C通道自动感应可动态的模拟各种协议

独有沙箱技术,让恶意威胁无处逃逸

全新的沙箱设计可对抗未知的沙箱逃逸技术

系统环境构造,提高检测粒度和精度

内置了多种操作系统和软件环境不放过任何恶意行为

动态静态检测,让恶意代码无处遁形

双系统检测应对复合型文档攻击

嵌套已知检测,精确检测网络威胁

特征检测可满足用户对于检测产品“全、精、新、准”的述求
典型应用
 

部署在数据中心/云中心/生产网服务侧
部署在单位的生产网/办公网出口
部署在数据交换的网络之间
部署在邮件服务器、文件共享服务器等公文流转系统前

用户价值

部署天阗高级持续性威胁检测与管理系统,可检测通过内部邮件或文件进行渗透传播的各类恶意代码攻击,防范常见的APT入侵途径,分析其中的高级攻击行为;可判定各类木马、蠕虫、间谍软件等,深度分析APT攻击中的高级恶意代码; 通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等威胁。

相关产品
工业SOC 工业互联网信息安全管理系统(工业SOC)是专门面向工业互联网领域信息安全防护的综合管理平台系统。该产品在继承了启明星辰泰合信息安全运营中心系统(TSOC)强大的安全信息采集、分析和展现能力基础上,提供了适应工业互联网环境安全监控和防护的综合管理功能。
工控脆弱性扫描 天镜脆弱性扫描与管理系统V6.0(工控系统专用版)根据工业控制系统已知的安全漏洞特征对SCADA、DCS系统、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别,检测存在漏洞并生成相应的报告,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策
工控IDS与审计 针对工业控制系统的专用网络安全检测系统,拥有国际顶尖的入侵检测技术,支持对多种工业控制网络协议的深入解读,提供特有的工控网络安全检测策略,并可针对工控网络敏感指令数据进行记录和异常检测,不仅可检测工控网络中发生的入侵攻击,还可实时监测工控网络中的敏感操控,
网络流秩序分析 为适应工控网络的特性,工控网络流秩序分析诊断系统采用流行为分析为主、事件分析为辅的技术路线,通过综合监控,秩序监控,秩序诊断三大核心功能来描述客户当前的工控网络状况,来反映工控网络中的访问违规,工控违规和工艺异常。
网络流量融合探针 网络流量超融合探针采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法,通过对网络流量的深度包解析和流解析,实现了网络各种威胁的全面有效检测。
天清入侵防御系统 天清入侵防御系统是启明星辰自主研发的网络型入侵防御产品,围绕深层防御、精确阻断的核心理念,通过对网络流量的深层次分析,可及时准确发现各类入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。

获取更多相关产品详解,立即咨询吧!

  • 在线咨询
  • 电话咨询
  • 微信咨询
  • 免费试用