产品简介
建恒高级威胁分析检测系统,将深度学习、大数据技术与安全技术相结合,实时分析网络流量,监控可疑威胁行为。通过多种流量检测引擎实时检测网络威胁,通过人工智能模型检测恶意流量、加密流量和隐秘隧道,有效发现被控主机和潜在数据泄露风险。同时可以通过多病毒检测引擎有效识别出病毒、木马等已知威胁;通过基因图谱检测技术检测恶意代码变种;还可以通过沙箱(Sandbox)行为检测技术发现未知威胁,对检测及防御 APT 攻击起到关键作用。
产品特色
人工智能、大数据与安全技术的结合
采用人工智能的机器学习/深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,并有效减少安全运维人员的人工识别工作量。
高效的网络异常行为检测技术
可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。
独特的基因图谱检测技术
通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络并建立检测模型,对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。
恶意流量、隐秘隧道检测能力
通过结合机器学习/深度学习和流量分析技术,实现对恶意代码的未知协议通信流量、恶意代码的加密通信流量、DNS隐秘隧道、HTTP隐秘隧道、ICMP隐秘隧道、暗网流量、ShadowSocks流量、VPN流量等检测能力,有效发现被控主机及数据外泄风险。
全面的已知、未知威胁检测
通过内置的下一代入侵检测引擎,Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术对恶意代码的变种进行检测,通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测。
便捷的溯源取证能力
支持解析并存储http、dns、ftp、smtp等几十种协议的元数据,具有完整的追溯取证能力。通过可视化操作,可快速定位攻击者,并定位出攻击者的IP、MAC、攻击方式、攻击协议,以及攻击目标等详细信息。
产品价值
全流量高级威胁发现,有效发现攻击者对企业的网络攻击,特别是基于0Day/1Day等高级手段的未知攻击。
威胁溯源取证,基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联,还原攻击过程提示用户需要重点关注的告警,溯源威胁。
威胁响应处置,支撑安全运营团队快速研判风险联动安全设备,迅速处置威胁。