高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。
产品优势
非侵入式安全
采用镜像流量旁路检测,对原有网络业务无干扰影响;提供多种版本适配不同流量环境。探针、沙箱、分析平台一体化部署方案,轻松、高效对接用户环境。
深度检测
传统检测手法对高级威胁基本无效。御界大量应用人工智能、机器学习,行为分析,统计模型等高级检测方法来识别网络中潜伏的威胁。检测效果明显优于传统检测方法,有效识别高级威胁、未知威胁。
失陷感知
边界是对用户网络中失陷流量进行感知的极佳位置,高级威胁检测系统集成腾讯威胁情报,通过情报匹配,能协助用户精准定位失陷资产,第一时间感知资产受害信息。
大数据持续分析
往往定向的攻击不是一步就完成的。因此需要持续跟踪。针对特定威胁,高级威胁检测系统依靠大数据模型,对多维度数据进行长时间跟踪分析,呈现给用户的不单单是独立的告警,而是安全事件的结论。
全场景调查
提供先进安全交互分析工具,内置腾讯域名解析、邮件安全、账号安全等丰富内网安全运营调查模板,让安全调查分析有的放矢。
安全大脑
腾讯云端超级安全大脑持续输送安全能力,并提供威胁云查、联动分析,威胁追溯平台等安全分析服务及工具,让用户时刻处于腾讯安全能力环绕中。
产品功能
高级威胁发现
关键信息基础设施面临高级持续性威胁(APT),攻击者从目标对象处通过带有恶意附件的电子邮件进行窃取数据活动。高级威胁检测系统集成腾讯哈勃沙箱分析系统,支持多种文件格式,多种虚拟环境,应用先进机器学习,行为分析算法,能对恶意文件精准识别。
网络入侵检测
网络中木马、蠕虫、漏洞利用等攻击手段仍占据相当大的比例,御界提供完善的网络入侵规则集,高度覆盖已知入侵场景。
实体失陷感知
由于黑客往往通过远程控制已攻陷的系统,企业信息资产被挂马,外联 C&C 服务器会产生相应的网络流量,因此网络边界是从全局感知失陷资产的极佳位置。高级威胁检测系统搭载腾讯御见威胁情报,精准识别网络主机产生的失陷流量。
流量完整记录
通过旁路镜像采集并存储网络流量,解析存储完整流量日志,为后续多维度流量数据关联分析、行为建模,以及异常数据挖掘、分析、取证提供基础。同时对攻击流量进行数据包级别存储,可提供 PCAP 包下载,精确还原攻击。
数据溯源分析
攻击发生后,对安全事件进行溯源分析,了解安全事件的来龙去脉。对较大的安全事件,甚至需要深入的复盘。高级威胁检测系统提供流量日志存储功能,利用其“检索”功能可进行流量日志的交互式分析,回溯攻击发生时刻的流量信息。
攻击链时序展示
基于大数据及安全能力,对攻击者及受影响资产进行长时间跟踪分析,从攻击链视角对相关的威胁进行时序关联。以攻击链视角呈现安全事件序列,以及攻击者、受影响资产行为分布。
