需求分析
隨著信息化的深遠發展,網絡的發展帶來了各種各樣的安全問題,網絡中蠕蟲病毒、垃圾郵件肆虐、攻擊工具泛濫、木馬后門無孔不入、拒絕服務司空見慣,黑客的攻擊行為也正在不斷升級,他們已經不局限于傳統的攻擊工具利用上,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入等更高級的攻擊形態變化,這些以行為本身為主導的黑客攻擊行為,摻雜了大量的人工智能、躲避手段、情報手段、社會工程等多維度的變化,這無疑給我們的各級政府部門、行業組織和企業單位帶來了極大的麻煩。
部署天闐APT系列產品,能實時檢測、報警和動態響應,還能夠很好地幫助網絡管理員對特定威脅、未知威脅、惡意代碼、隱秘通道、嵌套攻擊等進行深度識別,找到網絡中可能存在的隱患。
產品簡介
產品簡介
天闐APT檢測系列,是一款針對惡意代碼等未知威脅具有細粒度檢測效果的專業安全產品,可實現包括對:未知惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等多類型未知漏洞(0-day)利用行為的檢測,由啟明星辰集團獨立自主研發。
天闐APT檢測系列,采用國內領先的雙重檢測方法(靜態檢測和動態檢測),多種核心檢測技術手段:二進制檢查、堆噴檢測、ROP利用檢測、敏感API檢測、堆棧檢測、Shell code檢查、沙箱檢查等,可以檢測出APT攻擊的核心步驟,同時,產品可結合人工服務,有效發現APT攻擊。
功能特點
本系統可以對多種文檔格式進行靜態動態檢測,包括:windows系統下可執行文件、pdf、doc、xls、rtf、docx、xlsx、ppt、pptx,ppsx等。
系統使用多種虛擬機環境運行被檢測文件,檢測文件打開后的各種行為和系統環境等以確定文件是否具有惡意行為。動態檢測的優點是檢測率高、誤報率低。
靜態檢測是指通過一定的特征比對或算法對被檢測文件的二進制內容進行匹配或計算的檢測方法,靜態檢測并不真實的運行被檢測文件。靜態檢測的方法有很多種,天闐APT檢測系統使用虛擬Shellcode執行、暴力搜索隱藏PE等多種方式對被檢測文件的文件內容進行靜態檢測,以此來確定文件是否為惡意文件。靜態檢測的優點是速度快。
當前發布的天闐APT檢測系列,只需要添加入侵檢測與管理系統功能模塊,就可以實現已知威脅加未知威脅的全面檢測,包括但不限于:病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等攻擊行為以及網絡資源濫用行為(如P2P上傳/下載、網絡游戲、視頻/音頻、網絡炒股)、網絡流量異常等威脅具有高精度的檢測能力,產品對已知威脅事件庫完美融合。
技術優勢
提供API接口可與安全防護產品進行聯動
全新高效智能虛擬機調度引擎靈活調節虛擬機任務的分發
易懂的報告設計可滿足專業人士和非專業人士的需要
C&C通道自動感應可動態的模擬各種協議
全新的沙箱設計可對抗未知的沙箱逃逸技術
內置了多種操作系統和軟件環境不放過任何惡意行為
雙系統檢測應對復合型文檔攻擊
特征檢測可滿足用戶對于檢測產品“全、精、新、準”的述求
Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號