全流量高级威胁分析

随着网络攻击工具化自动化、勒索病毒嚣张蔓延和APT事件层出不穷，政企客户面临的网络安全威胁愈加多样化、复杂化和专业化，并且APT的攻击手法在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，偷窃资料、搜集情报,此类攻击行为是安全检测系统无法有效检测发现的。

我们以人工的方式对流量信息进行深度还原、存储、查询和分析，掌握重要信息系统相关网络安全威胁风险，检测漏洞、病毒木马、网络攻击情况，发现网络安全事件线索，调查、防范和打击网络攻击等恶意行为，保障重要信息系统的网络安全。

流量检测

对于网络异常事件、失陷主机、入侵行为等攻击事件的监测，对常见网络流量进行协议解析，解析常见的网络协议。对DoS & DDoS攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测、SMTP行为异常检测、可疑SMTP源IP检测、垃圾邮件检测、钓鱼邮件检测、扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为检测、ARP Spoof检测、ARP回复检测、ARP操作码检测、ARP MAC-IP关系检测等。

文件检测

对流量中还原的文件进行检测和对提交的文件或文件链接进行检测，对流量中还原文件和手工提交文件进行检测，对已知恶意软件、已知恶意软件变种、未知恶意软件进行检测。

人工智能检测

通过服务工具内置的人工智能模型支持多种网络攻击、网络威胁检测：失陷主机定位、恶意软件变种人工智能检测、基于人工智能的Tor暗网流量检测、DNS隐蔽隧道检测、ICMP隐蔽隧道检测。

威胁情报检测

通过服务工具内置的本地威胁情报检测和云端威胁情报追溯。

▉人工智能、大数据与安全技术的结合

服务工具采用了人工智能的机器学习/深度学习技术，基于大数据平台，用海量安全数据进行训练，从而具备检测未知威胁的能力，并有效减少安全运维人员的人工识别工作量。

▉高效的网络异常行为检测技术

可识别丰富的网络应用层协议，通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。

▉独特的基因图谱检测技术

通过结合机器学习/深度学习、图像分析技术，将恶意代码映射为灰度图像，建立卷积神经元网络CNN深度学习模型，利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且，该方法能够有效地检测使用特定封装工具打包（加壳）的恶意代码。

▉全面的已知、未知威胁检测

通过服务工具内置的下一代入侵检测引擎，Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测；通过基因检测技术对恶意代码的变种进行检测，通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析，对未知威胁进行检测。

▉便捷的溯源取证能力

支持解析并存储http、dns、ftp、smtp等几十种协议的元数据，具有完整的追溯取证能力。通过可视化操作，可快速定位攻击者，并定位出攻击者的IP，MAC，攻击方式，攻击协议，以及攻击目标等详细信息。