010-62369181 Contact@sinohuarui.com |
产品中心
PROJECT
产品中心
PROJECT
|
铁穹高级持续性威胁预警系统(以下简称:铁穹)是一款采用大数据分析技术来检测APT攻击行为的设备,可实现对未知恶意代码攻击、嵌套式攻击、隐蔽通道等多类型0day/Nday漏洞利用攻击行为的检测,并通过分析通信数据挖掘各种木马通信痕迹、识别已知/未知木马特征和行为,并对木马进行追踪和定位,判断木马家族、来源国家、制作组织,支持对0day和Nday进行深度检测弥补了防火墙、入侵检测系统、防毒墙等在网络层对木马、0day和Nday检测的技术空白。 铁穹是基于Web的管理方式,用户使用浏览器通过SSL加密通道和铁穹系统进行交互,方便用户管理。根据铁穹系统数据处理流程可以将系统分为:采集引擎、分析引擎和可视化展示这三个方面。
采集引擎 采集引擎是一个高效的流量数据采集引擎,通过简化的规则配置,提升采集性能,为铁穹分析引擎提供更加丰富有针对性的数据协议内容。 分析引擎 对采集系统还原的流量信息进行分析处理,发现恶意攻击、威胁和风险,并将信息出库。 1. 特种木马检测 2. 失陷主机检测 3. 漏洞利用攻击检测 4. 综合分析判定 5. 事件关联分析 6. 资产关联分析 7. 数据存储 可视化展示 提供基于B/S结构的图形化管理中心,供管理员对系统发现的木马信息、威胁信息以及风险等信息进行查看,并提供整个系统的管理接口。 铁穹系统主要针对APT攻击中广泛采用的0DAY/NDAY漏洞、特种木马、渗透行为等技术手段及战法进行全流量的深入分析,并结合攻击事件关联、资产关联、可视化展示等功能实现对APT攻击的全生命周期的预警。 安全预警与态势感知 铁穹系统支持旁路模式流量检测,在实现网络流量检测功能的同时,完全不需要改变用户的网络环境,避免设备对用户网络造成中断的风险。在旁路模式下,铁穹系统分别支持单一旁路部署和分布式部署方式。 铁穹系统可以旁路部署在用于单位核心交换设备上,对各种木马网络通信行为进行实时监控、分析、识别预警,让管理人员可以随时了解到内部遭受攻击的情况,避免内部办公网络主机被网络渗透,导致重要敏感信息被窃。部署如下图所示:
铁穹系统支持分布式部署,铁穹设备可以作为网络通讯数据的采集点,采用旁路接入网络出口处,管理人员可以在总部了解全局的情况,快速定位具体哪个分支机构遭受到了未知木马的攻击,进而定位具体主机。实现对全网范围内的已知木马和未知木马的监控、分析、识别预警。部署如下图所示: |