安鉴-高级威胁检测系统

▌检测功能

静态威胁检测：对常见传输协议进行解析，基于流量及文件特征检测，发现各种已知恶意攻击行为。

动态威胁检测：将待检测文件触发运行，在模拟环境中观察并记录文件行为，基于行为知识库判断文件是否为恶意文件。

机器学习检测：利用机器学习技术建立webshell检测模型、PE检测模型、DGA检测模型，实现对恶意文件和恶意域名的检测。

威胁情报检测：利用威胁情报来发现恶意IP、恶意域名、恶意URL、恶意email以及恶意文件各类威胁信息，定位失陷主机。

异常流量检测：通过对溢出攻击、暴力破解、自定义规则等异常行为实时检测，多维度关联分析挖掘攻击者身份、攻击手段及攻击目的。

WEB攻击检测：对web流量进行深度分析，包括web攻击特征检测、websehll检测、web行为分析、异常访问等。

邮件攻击检测：对SMTP、POP3、IMAP和WebMail流量进行解析，发现各种邮件攻击行为及附件的恶意文件攻击行为。

联动阻断防护：支持与防火墙等阻断产品联动，阻断异常行为，实现APT攻击行为的阻断防护。

▌差异性对比

1、多维度纵深检测，多数据源关联分析，提高检出率，减少误报。

2、检测手段覆盖攻击全链条(入侵企图、单点突破、横向渗透、数据窃取)

3、沙箱快速恢复技术（一个沙箱还原约2S）

4、识别客户端的真实IP

5、安鉴能够检测并规避三类共百余种逃逸手段（用户交互、运行环境、业务逻辑）

▌安全应用场景

全流量安全监测探针：旁路部署在核心交换机旁，或内网各安全区域的边界，作为流量检测探针使用，实时监控流量中存在的僵尸、木马、蠕虫、勒索病毒等攻击行为，并向安擎安全管理中心报送流量元数据和安全告警事件，通过安擎进行态势呈现和威胁处置。

攻击对抗：旁路部署在核心交换机旁，作为独立的威胁检测中心使用，检测APT攻击行为，监控僵尸、木马、蠕虫、勒索病毒等威胁的传播，定位攻击源，并可与安界威胁拦截网关联动，针对检测到的高危攻击源，通过安界的黑名单功能进行封堵。