讯察智能APT检测系统

隐蔽隧道感知

APT攻击经常会使用看起来合法的加密信道来负载数据并逃过审计检测,讯察APT检测系统的可疑行为分析系统在分析样本时,能快速感知其发出的可疑C&C连接,并可自动提取C&C连接的可疑IP,端口,URL等信息并将相关信息发送给IDS、IPS、Firewall等配套安全设备,使得这些本无能力防范APT攻击的设备具有拦截APT攻击的能力。如左图,为我们在拦截利用CVE-2014-4114漏洞的沙虫后门时发现的可疑C&C连接。

全面支持已知威胁检测

当前发布的讯察智能APT检测系统,只需要添加入侵检测与管理系统功能模块,就可以实现已知威胁加未知威胁的全面检测,包括但不限于:病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等威胁具有高精度的检测能力,产品对已知威胁事件库完美融合。

记录持续威胁的攻击行为

本系统动态沙箱检测引擎具有多种虚拟机环境,可以充分模拟应用程序的执行以及恶意文件中攻击代码的执行,恶意文件的一举一动都能够被监视记录下来。从而可以知道该攻击事件的内容和意图。记录的行为包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作、其它危害系统的行为、恶意文件所含PE文件的详细行为报告。

支持SPAN/TAP部署模式

SPAN作用主要是为了给讯察APT检测系列产品提供网络数据流,SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。讯察APT检测设备直接插入到网络中,TAP设备发送一份网络通信给讯察APT检测设备,从而实现APT攻击的检测。

京ICP备2021014269号-1