羚界高级可持续威胁监测系统(APT)
产品介绍
羚界高级可持续威胁监测系统(简称APT)采用旁路部署模式,通过镜像流量来检测外部黑客发起的钓鱼邮件攻击、或在内部网络中传播的恶意软件,利用软件虚拟运行、沙箱逃逸对抗等技术对恶意软件的真实意图进行深度剖析,能够发现常规手段无法检测的APT攻击等高级威胁,并能与防火墙等设备进行安全联动,阻断威胁的进一步蔓延,为企业或组织机构的网络安全保驾护航。
产品能力
流量采集
通过光口或电口采集镜像流量,进行报文重组和协议识别,支持协议类型解析,包括HTTP、FTP、SMTP、POP3、IMAP4、NFS、SMB等协议的流量还原,通过解析主流的应用协议,对协议传输中承载的文件及关键字段信息进行分析还原。
文件检测
支持文件检测,可检测文件大类包括:OFFICE、PE、ELF、PDF、RTF、JAVA、CHM、IMAGE(tiff、bmp、gif、jpg等)、COMPRESS(ZIP、TAR等)、HTML、JS、SCRIPT、CSS,能够检测分析的文件类型不少于40+个。可检测文件行为包括文件释放、下载、共享、复制,服务或内存对象更改,可疑的网络或通信活动等。
文件还原
基于底层的协议识别和载荷分析,将分片的文件进行重组和还原,并对还原过程进行日志记录和存储。
检测引擎
检测引擎包括AV、文件漏洞检测、内容检测引擎、静态启发式检测引擎、PDF沙箱、OFFICE沙箱、WEB沙箱、PE沙箱、信誉、威胁分析、静态机器学习引擎。
威胁检测
支持威胁检测类型包括不限于恶意广告软件、后门程序、病毒、漏洞利用、灰色软件、蠕虫、间谍软件、木马/僵尸网络、勒索软件、黑客工具、Rookit、钓鱼等。威胁检测模块共产生四类威胁事件:网络攻击事件(流量检测)、恶意代码事件(沙箱和AV检测)、威胁情报事件和自定义策略告警(黑白名单和自定义策略);这四类事件通过关联分析规则关联归并后生成安全事件。
调查分析
包括关联分析、预置流程分析、自定义流程分析、行为画像,通过系统预置分析流程或自定义分析流程对威胁进行分析,形成威胁行为画像并输出威胁报告。通过人工加智能识别方式实现资产梳理,支持人工进行资产的新增或导入,系统检测出威胁信息与资产自动关联,进一步实现资产威胁分析。
威胁呈现
通过多样化的图表形式呈现网络安全态势、安全事件列表、威胁检测报告以及基础事件和日志,生成图形报表,提供可视化辅助分析工具,监控并呈现系统自身状态。
工具及配置管理
提供专家会诊、报文抓取、解码工具、手动文件检测、流量包回放、设备操作、数据外发、系统升级等功能。
防火墙联动部署
支持与防火墙联动部署,支持防火墙提取流量中文件后送至沙箱进行检测,防火墙与沙箱联动可阻断承载恶意文件的恶意流量。
产品规格
|
型号 |
SEC6000-APT-HG5500 |
|
|
配置简述 |
提供流量采集、文件采集、入侵检测、病毒检测、威胁情报检测、沙箱检测、自定义检测、关联分析、威胁呈现与事件展示、统计报表、流量审计、安全分析等功能 |
|
|
硬件规格 |
操作系统 |
银河麒麟高级服务器操作系统V10 |
|
CPU |
2 * C86-3G系列Hygon 5380 (2*16核加速频率3.0GHz,基频2.5GHz) |
|
|
内存 |
384G |
|
|
硬件存储 |
28T |
|
|
电源 |
双电源 |
|
|
带外管理口 |
1个 |
|
|
接口 |
8 * 1GE 2 * 10GE光口(含多模光模块) 2个USB接口 1个RJ45串口 2个RJ45管理口 |
|
|
扩展槽 |
4个 |
|
|
可扩展接口类型 |
4口千兆电口扩展卡 2口万兆SFP+扩展卡(含多模光模块) 4口万兆SFP+扩展卡(含多模光模块) 4口千兆光口扩展卡(含多模光模块) |
|
|
性能 |
整机最大吞吐量 |
10Gbps |
|
文件静态检测能力 |
1500万/天 |
|
|
PE类文件动态检测能力 |
20万/天 |
|
|
office类文件动态检测能力 |
40万/天 |
|
|
web类文件动态检测能力 |
680万/天 |
|
|
检测平均时延 |
≤60s |
|
|
外观、电气 |
机箱高度 |
2U |
|
冗余电源 |
是 |
|
|
交流电源/直流电源 |
交流 |
|
|
授权配置 |
三年特征库升级服务 三年售后维保服务 |
|
