铱迅高级持续性威胁预警系统是一款采用大数据分析技术来检测APT攻击行为的设备,通过分析通信数据挖掘各种木马通信痕迹、识别木马特征和行为,在网络层实现对全网范围内木马检测和阻断,应对高级持续性威胁(APT)使用的各种未知木马攻击,对木马进行追踪和定位,判断木马家族、来源国家、制作组织,弥补了防火墙、入侵检测系统、防毒墙等在网络层对木马检测的技术空白。
铱迅高级持续性威胁预警系统是一款采用大数据分析技术来检测APT攻击行为的设备,通过分析通信数据挖掘各种木马通信痕迹、识别木马特征和行为,在网络层实现对全网范围内木马检测和阻断,应对高级持续性威胁(APT)使用的各种未知木马攻击,对木马进行追踪和定位,判断木马家族、来源国家、制作组织,弥补了防火墙、入侵检测系统、防毒墙等在网络层对木马检测的技术空白。
铱迅APT系统不仅能够准确识别网络通信中的已知木马行为,还能够有效判断出未知木马通信行为的存在。其中对已知木马的识别,是基于已知木马特征(木马特征库包括:木马特征码、黑域名、黑IP、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS服务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。
铱迅APT系统识别已知木马和高危异常行为后,会通过木马报告、异常行为报告等方式进行预警。系统管理员可根据预警信息制定解决方案。
铱迅APT系统通过对关键资产、普通资产、业务系统进行统计管理,并将检测出的安全威胁信息与资产信息进行关联。资产关联能够让用户直观了解到威胁感染的位置和速度,准确定位攻击的目的性。
经过研发团队长期的分析研究,铱迅APT系统建立了强大的木马专家库,将木马的深度信息放入其中,主要包括木马名称、木马编号、木马类型、木马家族、来源国家、制作组织、木马特征和木马危害等,一旦发现已知木马,则将这些信息展现出来。同时铱迅APT系统通过IP地址定位技术,能准确定位内网主机和外网目标主机的IP地址,判断目标主机所在的国家和地区。
铱迅APT预警系统提供基于硬件模拟的VM虚拟执行引擎,俗称“沙盒”,用户可以将可疑文件样本下载并放入沙盒执行,铱迅APT预警系统对文件全过程跟踪并记录,结合分析模块,行为关联模块和指令分析模块等进行综合分析,协助用户判断文件样本的危害性。
铱迅APT系统通过旁路方式部署在网络出口和核心交换设备上,对全网范围内的木马通信行为进行监控、分析、识别和预警,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白。
铱迅APT系统通过强大的特征库和行为库,使用基于行为和特征的木马检测方法,在网络层对各种已知和未知木马的网络通信行为进行实时监控、分析、识别预警,如通过黑域名、黑IP和木马特征码对已知木马进行检测和发现,通过心跳规律、可疑流出流量、动态域名等木马行为对未知木马进行检测和发现。
铱迅APT系统具有强大的木马追踪和地址定位能力,一旦发现网络内部具有木马行为,则可以对内网的主机和外网的目标地址进行准确定位,判断目标主机所在的国家和地区,并获取与木马相关的深度信息,包括木马名称、木马编号、木马类型、木马家族、制作组织、来源国家、木马特征、危害等级、风险描述和安全建议等。
铱迅APT系统除了能够准确识别已知木马,还具有强大的未知木马的识别能力。对已知木马的识别,是基于已知木马特征(木马特征库包括:木马特征码、黑域名、黑IP、黑网址)检测方法,发现已知木马;而未知木马的识别则是基于行为(异常规律域名解析、异常心跳信号、异常DNS服务器、异常流量、异常动态域名、非常规域名等)的木马检测方法,通过多种通信行为的复合权值,判断未知木马的网络通信行为。
“铱迅高持续性威胁预警系统”可以旁路部署在单位核心交换设备上,对各种木马网络通信行为进行实时监控、分析、预警识别,让管理人员可以随时了解到内部遭受攻击的情况,避免内部办公网络主机被网络渗透,导致重要敏感信息被窃。
“铱迅高持续性威胁预警系统”作为网络通信数据的采集点,采用旁路接入网络出口,管理人员可以在总部了解全局情况,快速定位是具体哪个分支机构遭受了未知木马的攻击,进而定位具体主机。实现对全网范围的已知和未知木马的监控、分析和识别预警。
