网御星云高级持续性威胁检测与管理系统APT_全面支持已知威胁检测

网御星云高级持续性威胁检测与管理系统APT

网御APT检测系列，是一款针对恶意代码等未知威胁具有细粒度检测效果的专业安全产品，可实现包括对：未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞（0-day）利用行为的检测。网御APT检测系列，采用国内领先的双重检测方法（静态检测和动态检测），多种核心检测技术手段：二进制检查、堆喷检测、ROP利用检测、敏感API检测、堆栈检测、Shell code检查、沙箱检查等，可以检测出APT攻击的核心步骤，同时，产品可结合人工服务，有效发现APT攻击。

立即咨询

首页 > 产品中心 > 网络安全 > 网御星云高级持续性威胁检测与管理系统APT

关于APT攻击介绍

Advanced Persistent Threat“高级持续性威胁”的简称这类攻击的特殊性属于攻击的潜伏时间长，驻留在隐秘的网络中发现困难，爆发后的破坏力很大。

复杂性
在APT攻击过程中，攻击者往往会利用多种攻击技术、攻击手段，结合社会工程学的相关知识，并且攻击路径复杂。

未知性
攻击者可能会利用0DAY漏洞、特种木马等未知威胁，躲避常规安全预警、安全防护设备的检测。

持续性
攻击者针对重要的目标长时间持续攻击，攻击可能持续、潜伏3年、5年，甚至更长时间。

隐蔽性
利用丰富经验、先进技术、超凡耐性来掩盖自己的行踪，躲避常规安全产品的检测，并且整个攻击过程时间跨度较大，给防御带来极大的挑战。

APT攻击过程

产品简介

拆分APT攻击，检测重点环节 icon

信息收集
利用威胁情报技术，匹配到APT攻击组织信息即可上报。

社工攻击
邮件钓鱼、WEB水坑，支持邮件协议和HTTP协议解析/文件还原。

漏洞利用
发现文件漏洞利用尤其是0day/Nday利用即可判断为APT攻击。

行为检测
发现内部横向攻击、反连远端服务器行为、远控控制等情况即可报警。

技术方案：基于威胁情报的检测技术 icon

技术方案：基于邮件协议的检测可检测钓鱼攻击 icon

技术方案
基于邮件协议的检测可检测钓鱼攻击

支持邮件还原
将整个邮件内容及附件进行还原

支持DGA域名检测
检测邮件正文里url是否为恶意链接

支持关联分析
将检测结果对应上邮件内容展示

技术方案：基于smb协议的检测可检测横向摆渡攻击 icon

技术方案：静态检测技术可快速发现恶意攻击 icon

优点

快速发现文件包含的恶意攻击

缺点

无法深度解析,无法判断影响

关键技术

AV检测、YARA规则匹配、PE搜索

技术方案：基于机器学习技术可快速检测非PE类文件 icon

机器学习

通过不同的格式解析器将其解析成相应的可表示数据形式。然后通过马尔可夫链等算法进行特征选取，再通过SVM分类算法，从而快速判定出样本是否有危害。采用编辑距离算法计算样本的相似度，然后通过DBSCAN算法进行聚类。

技术方案：行为模拟的沙箱检测技术可深度解析恶意攻击 icon

检测原理

将文件在虚拟环境中执行，通过记录文件的运行过程，发现漏洞利用情况和恶意行为。

特点

优点：可以深度检测。缺点：沙箱检测速度慢。

产品框架图天阗高级持续性威胁检测与管理系统 icon

主要功能模块

特征检测
提供近5000种特征事件，每周持续更新

文件识别
支持110种以上文件格式，涵盖windows、linux、android操作系统

文件检测能力
静态检测技术：机器学习、Av检测、PE检测、YARA规则检测、威胁情报检测；沙箱检测技术：漏洞利用检测、行为检测、反沙箱检测

流量回溯分析
支持pcap文件格式导入，可进行特征检测和文件检测

接口联动能力
支持对外接口，可和七种以上安全产品进行联动检测

分析取证能力
支持标签化输出、自动生成检测报告、保存原始攻击报文

关键问题

关键问题及解决措施

问题：

网络中传输的是流量，需要文件还原

解决措施：

旁路部署，通过特有的协议识别引擎和文件还原引擎：对协议进行识别，对流量中的文件进行还原。支持文件110种以上，涵盖windows，linux，安卓操作系统。

关键问题及解决措施

问题：面对加密压缩文件束手无措。解决措施：对压缩文件进行解压检测，最大支持10层解压，支持设置密码检测。

关键问题及解决措施

问题：

APT攻击会使用反检测机制来绕过沙箱检测

解决措施：

内置防反沙箱引擎，通过多种技术手段检测反沙箱行为。

关键问题及解决措施

问题：

很难对漏洞利用整个生命周期进行检测。

解决措施：

针对漏洞攻击行为开发了漏洞攻击检测引擎，针对Exploit运行的整个生命周期进行检测，在任何一个阶段当观察到文件有漏洞攻击行为后，会马上报警并生成报告。

关键问题及解决措施

问题：

如何解决大量文件快速、深度检测。

解决措施：

使用集群部署的方式，将多个设备进行集群部署，将文件合理分发给每个设备。

关键问题及解决措施

问题：

如果攻击被发现, 相关的研判和分析会非常复杂。

解决措施：

1 界面上检测结果标直接显示标签，可直观查看；2 自动输出检测报告，报告分为简洁模式和专业模式，分别用为一般用户和专业用户设计；3 可保留原始攻击样本，可用来取证及深度分析；。

产品部署

互联网出口检测

风险分析：攻击者利用鱼叉式钓鱼邮件或水坑式Web攻击方式，攻击内网终端，通过控制终端进一步攻击内部重要业务、窃取数据或进行破坏。部署位置：互联网出口，或广域网出口；监控WEB、邮件等流量。客户价值：发现通过Web、邮件方式尝试进入内部的恶意样本。通过静态检测、动态虚拟执行检测技术在其中检测出0day攻击与特种木马，进行关联分析从而发现APT攻击。

典型应用案例某报社成本远控木马 icon

异常现象：某报社发现经常有文件外传。内网几个机器上有木马杀了又反复出现。初步分析：客户安全防护都是针对外部的进行防护的，内部攻击行为很少关注。内部某主机被黑客入侵后成为肉鸡跳板。部署APT产品：发现大量木马连接事件，在网络中捕获一个文件，该文件为未知木马程序，经APT沙箱分析，发现其利用反检测及反沙箱机制并释放一个隐藏文件同时感染客户主要进程，但木马程序被杀掉后会启用隐藏文件。解决办法：部分机器根据APT分析报告进行人工杀毒。

典型应用案例某企业被钓鱼攻击的APT攻击事件 icon

某客户的部署了APT捕获了1封包含恶意文件附件的邮件，这封邮件是针对内部HR进行的攻击。