威胁情报

安全威胁情报分析

1    产品概述

安全威胁情报分析产品具有独特而强大的流量分析及问些情报分析引擎,对流量中的威胁特征进行全方位的安全检测。它结合了深度包解析技术、静态高速扫描技术、威胁情报技术、大数据安全分析技术,可有效检测APT攻击、0Day攻击、特种木马等新型未知安全威胁,是对传统网络安全产品的完善和补充,成为政府、企业提升安全防御水平的有力武器和必要工具。

2    产品架构

3    产品功能

3.1     威胁情报采集

威胁情报采集模块需支持多种数据源采集,包括:国内外公开安全网站的威胁情报资源采集,国内外安全厂家发布的威胁情报资源采集,CNVD发布的威胁情报资源采集以及合作的安全厂家威胁情报采集。

3.2     威胁检测

利用静态特征库匹配、静态文件信息内容、机器学习特征、动态运行行为、威胁情报分析等手段对待检测文件进行全方位检查,它还可以单独检测IP、域名、URL等名誉特征。

3.3     威胁情报分析

威胁情报共享平台需支持针对不同攻击进行威胁情报的分类,包括:APT 域名/动态域名、被黑主机、C&C 域名、钓鱼URL/虚假防病毒网站、TOR、VPN/Socket代理等多类的攻击情报,包括最全的全球C&C黑名单库,大幅提升对可疑高级持续威胁的攻击检测能力。

4    产品优势

4.1     开放的系统架构

系统采用开放的设计架构,系统可以无缝集成标准威胁情报信息,完善威胁情报库,同时可为其他系统提供标准的APT调用接口,方便第三方远程调用和集成威胁情报检测能力。能力包括文件检测、各类威胁情报的获取(如IP地址、域名和URL等)。

4.2     检测,更全面、更精确分析恶意行为

独有的智能协议识别技术,可高速、准确地识别文件各种可能问题,包括URL伪装、标题/内容钓鱼、信封问题、DNS问题等等。

4.3     高度可视化的安全威胁大数据技术

基于大数据技术及各种可视化技术,结合恒安嘉新的安全基础数据库,形成了事件指纹、模式特征、行为模型、异常行为、安全威胁场景的可视化分析平台,从不同维度进行关联分析,获得已知的安全事件及发现未知威胁情报,以动态的图文等方式展示给安全管理者,清晰明了的获知每一个时刻网络内部面临的威胁情况。

4.4     恒安嘉新独有威胁情报库

利用已有项目中骨干网采集到的最新样本,通过多种研判引擎第一时间发现网络中未知威胁,并同步到威胁情报库,形成了恒安嘉新独有的威胁情报库。在快速、准确的发现已知威胁的同时,最大程度对未知威胁,APT来源进行检测。

5    典型部署

威胁情报分析支持单点部署方式和集群部署方式,两种部署方式均支持不改变用户现有网络架构和网络配置,在部署后不会对用户原有网络结构产生影响。