深信服SIP安全感知管理平台_文件威胁检测响应系统_资产指纹自动识别系统-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

深信服SIP安全感知管理平台

深信服SIP安全感知管理平台，SIP内置多款文件威胁鉴定引擎，不需要单独配备其他平台产品（如沙箱），降低用户投入成本。支持检测的协议丰富，具有检测smb\NFS协议等优势能力。特征降维，将所选特征集合的向量表示从数十万维压缩到数千维。

立即咨询

整体影响力

全行业案例数量第一

超过3000+案例规模，其中200+省市级政府信息中心、150+全国高校、600+中大型企业案例，案例总数量位居业内第一。

研发实力强，资质优

业内一流的研发实力，全球5大研发中心，公司人员40%为研发，30%拥有硕博学历，每年研发投入占营收比例接近25%，拥有CMMI5、CS-CMMI5资质，CNVD用户组与技术组成员。

用户心中一线品牌

安全厂商中营收最高、市值最高的双高厂商，7款产品入选Gartner魔力象限（国内最多）且有2款产品连续10年市场占有率第一。

安全可视

数量最多维度最全

SIP支持14款大屏可视展示，涵盖数量和维度业内最多。

独家大屏深度可视

大屏种类最丰富，拥有脆弱性态势大屏、3D网络攻击态势大屏、风险外联态势大屏、横向威胁态势大屏等优势大屏。支持大屏轮播，帮助用户从资产、脆弱性、攻击、外联、横向等各种角度直观看清安全状况，及时决策指挥，有的放矢采取安全加固和防护措施。

资产管理优势能力

全生命周期资产管理

SIP：资产识别 + 资产审核、入库、退库等操作。

资产基线

独创全局资产与单资产基线，资产变更时告警；告警维度：资产数量、配置属性、状态变更等

自动识别影子资产

对内部网络无影响前提下，通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等。

跨三层取mac

价值点：解决DHCP场景下IP变更的问题，以及不同资产IP重复冲突的问题；同时可溯源定位真实的失陷主机

资产拓扑图、资产大屏可视

直观呈现资产的联接关系与状况

资产指纹与资产自动识别

46000+条资产指纹，数量行业优先；支持通过流量中的应用内容自动区分IP是归属于PC终端还是服务器

文件威胁检测优势总结 icon

深信服SIP在文件威胁鉴定方面拥有业界领先的检测引擎、丰富的检测手段和针对未知威胁文件检测的能力。优势表现在几个方面：1、SIP内置多款文件威胁鉴定引擎，不需要单独配备其他平台产品，降低用户投入成本。2、SIP自研两款AI引擎，其中SAVE AI智能查杀引擎进入国际权威的virustotal认证引擎列表，webshellkiller AI引擎的查杀能力在某些场景的实测中比D盾还要强。

3、支持检测的协议丰富，具有检测smb\NFS协议等优势能力4、检测手段业内最为全面，除使用检测规则针对流量还原的文件、及文件传输的流量异常进行检测分析外，还能采用AI技术针对无文件落地的恶意脚本文件利用进行检测（可以有效检出挖矿攻击等；5、针对企业邮件混淆宏病毒威胁和未知威胁文件检测效果更好（如钓鱼邮件等，在某中字头央企和某部委护网场景中，SXF有效检出；针对未知威胁文件，SXF通过不断下钻的特征向量提取和聚类，鉴别威胁）

基于文件的智能AI查杀技术 icon

文件会通过SIP包含的SAVE检测引擎、威胁情报检测引擎、 webshellkiller等多种检测引擎检测并综合得分计算结果。SAVE引擎原理（三步走）：从海量样本集合中筛选筛选出最有效的特征集合，特征降维，将所选特征集合的向量表示从数十万维压缩到数千维，构建模型和评分系统，以实现对已知和未知恶意文件的检测。

基于流量的文件威胁检测技术 icon

使用场景

免杀场景下，黑客投递病毒文件时，文件查杀可能会杀不出毒，从流量行为检测会有比较好的效果。热门病毒家族更新频繁，文件查杀可能无法查杀，但流量指纹特征就可以检出。

流量指纹检测原理

木马执行过程中，往往多次伴随着和C&C服务器多次通信过程，通过对木马通信过程中向外发出的多次请求进行分析检测，提取出可以确定病毒家族的URL指纹信息来进行检测。参考异常流量检测部分，详细介绍了行为指纹检测、定时任务检测、恶意程序下载检测和基于AI的webshell通信流量检测的原理。

基于流量和文件的检测技术--Smash恶意脚本专杀引擎 icon

使用场景：随着杀毒引擎和沙箱的查杀能力不断提升，使用二进制病毒进行攻击越来越容易被检出，黑客开始倾向于使用脚本进行渗透攻击。在当前流行的众多网络攻击中我们都能看到脚本利用的影子，利用恶意脚本进行攻击有如下优点：易混淆：绝大部分脚本类型都有开源的混淆器，混淆成本相当低。功能强大：结合现有的一些开源框架，黑客几行脚本就能实现挖矿勒索渗透扩散，功能极为强大，常用来作为APT攻击的绕过脚本。

威胁分析--基于流量和文件的文件威胁检测——恶意脚本专杀引擎 icon

由于恶意脚本种类多，变化大，利用传统的特征码查杀技术效果差，对此，我们另辟蹊径，通过对海量样本的分析训练，推出了多特征关联分析脚本查杀引擎-Smash。Smash引擎不仅仅针对脚本文件中的某个特征码，而是对脚本上下文进行语义分析，将检出的多个特征进行关联最终命中恶意脚本。在1000个不同类型的恶意脚本测试集里，检出83%，误报仅为5%。目前已覆盖常见的脚本如Powershell、VBS、Windows批处理脚本、Linux Shell、Python、Office宏脚本、挖矿配置脚本等的检测。

检出举证示例

UEBA优势总结

深信服十分重视AI和UEBA技术的研究与应用，目前UEBA支持6大安全场景检测并支持算法自定义编辑，允许用户根据实际业务和使用场景灵活调整算法模型，安全检测与告警更加准确。UEBA支持账号登录异常、数据库异常、外联异常、外发数据异常、访问异常和账号暴破六大场景检测，且支持算法自定义编辑——属于异常违规行为的检测。

支持对加密的反弹shell和webshell行为的检测----优势项，支持第三方日志KAFKA接入并允许用户自定义模型参数（如流量的过滤条件、学习算法及建模对象等）。支持根据异常行为对内网服务器的风险等级进行数字化量化评估，并允许用户对权重比例进行自定义---自创的功能机制。

UEBA使用的算法

自定义算法

为了更精准的检测异常、适应不同客户的数据分布。

SIP的UEBA针对不同场景，除了默认推荐的算法外还提供了自定义算法功能，用户可以根据场景和数据分布选择更适合的算法；

算法的粒度细化到了资产，可以为每个资产自定义不同的算法。

UEBA学习模型示例 icon

UEBA场景--流量异常 icon

流量异常采用回归树算法，对历史流量进行曲线拟合，找到一个拟合历史数据最佳的函数曲线，并对未来的流量做出预测，形成流量基线，对偏离基线值较大或较小的流量做出异常报警。

UEBA场景--数据库异常 icon

数据库异常通过学习登录数据库的常用用户、用户的常用登录地点、用户的常用登录时间、用户经常访问的数据库表、用户每天的访问数据量、用户每天的访问频率进行持续学习，建立用户正常的访问行为基线，对偏离基线较大的可疑异常行为进行告警；支持主流关系型数据库：MySQL、Oracle、SQL Server、Sybase、DB2。

挖矿检测

挖矿行为的识别可以通过很多方面进行判断，终端层面监控硬件资源的使用率，及相关进程分析；流量层面通过识别挖矿行为的流量特征，从流量中识别出挖矿行为。 SXF提供了基于挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联分析技术，在事前检测能力上具有突出优势，如检测发现文件传输（上传下载）阶段的异常，对挖矿早期的准备动作即告警，技术原理参考“文件威胁检测--基于流量和文件的检测技术”。

账号安全检测--优势总结 icon

业界方案不足

针对账号安全的检测手段主要是基于频次的阈值检测、基于登录口令内容的检测（需审计到口令明文）和基于规则的异常检测组合（依赖于规则组合的设置），对于慢速和分布式暴破无法很好检测，而接近50%的账号暴破是利用了慢速（较长时间内较慢速度登录）和分布式（多台肉机分布暴破）；

SXF优势能力

通过更灵活的多级的统计时间窗口，覆盖高频和慢速暴破；通过IP维度和用户名维度汇聚，覆盖分布式暴破检测可对RDP、SSH等加密流量根据流量特征判断登录成功状态。

账号安全检测--真实案例 icon

HTTP异常流量检测优势总结 icon

1、创新提出了更多的检测手段，同时检测已知和未知威胁。除了威胁情报匹配恶意url、HTTP下载的文件杀毒检测等常规手段外（只能检测80%的黑客通信行为），SIP还具备行为指纹、定时任务检测、恶意程序下载检测等方式，用于检测未知的20%，行为指纹检测：检测变种病毒场景，从木马执行时涉及的多次C&C通信中提取病毒家族的URL指纹信息来进行检测。

定时任务检测（无文件落地场景）： HTTP定时任务是一种病毒保持存活的手段，一些挖矿、后门等为了防止杀毒软件等删除病毒脚本，会设置定时任务去定时拉取病毒脚本；拉取脚本最常用的方式就是通过HTTP下载，在流量层面表现为定时下载可疑文件，通过对HTTP流量的时间序列分析，并排除时钟干扰等波动因素后，检出主机定期请求和下载文件的事件。恶意程序下载检测（AI）：恶意程序在文件名、IP、路径等信息层面会存在异常，通过决策树算法模型，提取流量特征，不断向下匹配特征向量，来鉴别是否为恶意程序下载行为。 2、检测加密的webshell通信流量基于AI的webshell通信流量检测，可检出加密的通信流量

HTTP异常流量检测——真实案例 icon

定时任务检测算法上线一个月内就在多个客户检出验证，如在某省厅客户、某省经信委、某航天等多个客户处，深信服检测到新型病毒，得到了客户的充分认可。实际数据证明，SIP的HTTP异常流量检测检出率高，误报率低于2%。

内网穿透检测优势总结 icon

覆盖的隧道通信类型更多

内网穿透技术在黑客进行工具投送方面发挥着重要作用。SXF还支持HTTP、HTTPS、ICMP和SMB等隧道检测。

检测的灵活性更强范围更广

我司基于端口转发行为的通用特征（利用转发流量的相似性）进行检测，不跟特定工具绑定，手段更灵活检测范围更广。

支持多级的端口转发检测

支持多级的端口转发，更适配用户真实的网络环境

内网穿透检测- DNS隐蔽信道检测 icon

基于上百种维度构建决策树

语义识别：正常域名是有含义的

例如，ww.baidu.com、facebook.com、 bookstore.com 而编码后的URL是多是随机生成的

信息熵匹配：载荷的信息量、离散程度不同

例如，有含义的URL信息熵是低的（即数据是规律的）；而隐蔽信道传输的信息基本是加密的，其0、1字符串规律性弱，信息熵较高

成功区分出异常信息

DNS隧道通信案例--某国家安全局APT事件 icon

溯源分析优势总结

自动化溯源：可自动化复现受害者从最开始的遭受攻击到权限维持各个阶段的黑客行为，包括攻击入口点溯源。横向访问分析：支持横向访问最活跃的源主机分析。

联动终端EDR溯源取证，可以溯源到恶意域名请求的进程或文件。AD域控场景下，通过在DNS服务器部署插件，采集服务器日志，针对真实威胁的源IP/主机进行溯源告警，还不是对DNS服务器告警---最新优化能力项。

全过程溯源分析取证

重保中心

单独设立重保中心专题，高效应对护网、两会和国庆等重要时期的网络安全大考。在重保中心，用户可以快速梳理核心资产及资产的暴露面，提前采取安全加固措施降低风险面，而战时通过对抗值守服务可实时掌握攻防态势并及时溯源、快速封锁处置，事后通过值守报表简洁明了掌握和检验护网成效。

资产暴露面分析
快速、全面地收集、梳理资产（特别是对外服务器、靶机）的暴露面风险，同时把资产的暴露面最小化，提高攻击队攻击的难度

对抗值守
统一对抗值守服务，实时掌握攻防态势，快速获取威胁情报，并快速联动封锁（支持自动+手动）

溯源响应
及时高效溯源分析服务，包括失陷主机溯源分析和攻击者画像分析

安全值守日报
简洁明了的值守日报，快速了解每日新增的视线资产、重点保障的资产信息以及攻击的态势等

等级保护管理

等保文档管理：对各类等保文档进行统一管理，方面快速存取查用；等保合规自查：整合AF、AC、EDR的自查数据，可快速核查和可视等保合规状态及差距。

联动处置优势总结

联动安全设备类型更多：支持联动AF、EDR、AC、VPN、AD、HCI、BBC等多种设备。支持自动编排且处置策略更丰富：包括联动封锁、访问控制、上网提醒、冻结账号、一键查杀、进程取证多种动作。

事件自动化闭环处置

分级分权管理

分级分权管理：分级分权管理在总部多分支以及云化场景中非常有价值，不同资产权限的责任人分配完整功能且独立的管理页面，权责明确。支持自定义分支管理权限，分支管理员具备独立的管理页面，只能管理和查看所属分支的业务和终端资产的安全信息；具备完整的功能展示，包括监控中心、处置中心、分析中心、资产中心和报告中心；总部管理员支持查看全局的安全信息，并支持通过页面跳转各个分支的独立管理页面。