服务介绍

随着网络攻击工具化自动化、勒索病毒嚣张蔓延和APT事件层出不穷,政企客户面临的网络安全威胁愈加多样化、复杂化和专业化,并且APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,偷窃资料、搜集情报,此类攻击行为是安全检测系统无法有效检测发现的。

我们以人工的方式对流量信息进行深度还原、存储、查询和分析,掌握重要信息系统相关网络安全威胁风险,检测漏洞、病毒木马、网络攻击情况,发现网络安全事件线索,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。

服务内容

999.png

流量检测

对于网络异常事件、失陷主机、入侵行为等攻击事件的监测,对常见网络流量进行协议解析,解析常见的网络协议。对DoS & DDoS攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测、SMTP行为异常检测、可疑SMTP源IP检测、垃圾邮件检测、钓鱼邮件检测、扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为检测、ARP Spoof检测、ARP回复检测、ARP操作码检测、ARP MAC-IP关系检测等。

文件检测

对流量中还原的文件进行检测和对提交的文件或文件链接进行检测,对流量中还原文件和手工提交文件进行检测,对已知恶意软件、已知恶意软件变种、未知恶意软件进行检测。

人工智能检测

通过服务工具内置的人工智能模型支持多种网络攻击、网络威胁检测:失陷主机定位、恶意软件变种人工智能检测、基于人工智能的Tor暗网流量检测、DNS隐蔽隧道检测、ICMP隐蔽隧道检测。

威胁情报检测

通过服务工具内置的本地威胁情报检测和云端威胁情报追溯。

服务价值

人工智能、大数据与安全技术的结合

服务工具采用了人工智能的机器学习/深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,并有效减少安全运维人员的人工识别工作量。

高效的网络异常行为检测技术

可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。

独特的基因图谱检测技术

通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络CNN深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且,该方法能够有效地检测使用特定封装工具打包(加壳)的恶意代码。

全面的已知、未知威胁检测

通过服务工具内置的下一代入侵检测引擎,Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术对恶意代码的变种进行检测,通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测。

便捷的溯源取证能力

支持解析并存储http、dns、ftp、smtp等几十种协议的元数据,具有完整的追溯取证能力。通过可视化操作,可快速定位攻击者,并定位出攻击者的IP,MAC,攻击方式,攻击协议,以及攻击目标等详细信息。