持續(xù)威脅檢測(cè)，及時(shí)預(yù)警APT攻擊

APT攻擊的殺傷鏈共7個(gè)階段，銳捷高級(jí)威脅檢測(cè)系統(tǒng)采用新一代行為分析檢測(cè)技術(shù)等多種檢測(cè)手段，多階段檢測(cè)APT攻擊，總有一環(huán)射中“靶心”，全方位預(yù)警APT攻擊。采用動(dòng)靜態(tài)檢測(cè)技術(shù)，檢測(cè)武器投遞階段，如郵件釣魚(yú)攻擊或水坑攻擊等APT典型的植入手段；檢測(cè)惡意代碼的漏洞利用和安裝植入階段，檢測(cè)文檔類(lèi)惡意代碼和0day及Nday漏洞利用攻擊行為。通過(guò)木馬流量特征庫(kù)和木馬通信行為技術(shù)定位失陷主機(jī)中已知和未知的木馬，檢測(cè)命令控制階段。

沙箱引擎和反逃逸技術(shù)，更強(qiáng)的未知惡意文件發(fā)現(xiàn)能力

沙箱引擎可模擬一個(gè)運(yùn)行環(huán)境和通過(guò)監(jiān)測(cè)文件的行為如件操作、漏洞利用方式、API調(diào)用序列、網(wǎng)絡(luò)行為等來(lái)識(shí)別惡意文件，但在攻防的博弈中，現(xiàn)階段高級(jí)的惡意軟件除了采用免殺技術(shù)來(lái)逃避殺軟檢測(cè)外，也會(huì)判斷是否運(yùn)行在沙箱引擎中，如果是，則進(jìn)行正常的行為操作，以此來(lái)躲避沙箱引擎的檢測(cè)，這類(lèi)判斷運(yùn)行環(huán)境與真實(shí)系統(tǒng)之間差異來(lái)躲避沙箱檢測(cè)的技術(shù)被稱(chēng)沙箱逃逸。因此，判斷沙箱的檢測(cè)能力之一，便是反逃逸技術(shù)能力。檢測(cè)系統(tǒng)的沙箱引擎從用戶(hù)交互差異性、運(yùn)行環(huán)境差異性、業(yè)務(wù)邏輯差異性三方面實(shí)現(xiàn)了200種以上的反逃逸技術(shù)，如替換操作系統(tǒng)所有和虛擬機(jī)有關(guān)的指紋、模擬網(wǎng)絡(luò)、模擬用戶(hù)對(duì)系統(tǒng)的使用痕跡等。采用反逃逸的沙箱引擎，相比普通沙箱，不僅能提升發(fā)現(xiàn)未知惡意的能力，還能識(shí)別出高級(jí)惡意軟件的逃逸行為。

多種木馬通信識(shí)別技術(shù)，更強(qiáng)的木馬檢測(cè)和追蹤能力

木馬是一種基于遠(yuǎn)程控制的黑客工具，通常包括客戶(hù)端和控制中心兩部分，客戶(hù)端運(yùn)行在受害者的主機(jī)上，控制中心運(yùn)行在攻擊者的控制主機(jī)上，可能是服務(wù)器也可能是PC主機(jī)。客戶(hù)端和控制中心通過(guò)網(wǎng)絡(luò)通信的方式來(lái)傳輸竊取數(shù)據(jù)、控制屏幕等操作。檢測(cè)系統(tǒng)采用了木馬通信特征、威脅情報(bào)、DGA域名、隱蔽信道和異常通信行為共五種技術(shù)手段來(lái)識(shí)別木馬的通信流量并定位失陷主機(jī)，這五種技術(shù)技術(shù)中木馬通信特征、威脅情報(bào)用于識(shí)別已知木馬通信，DGA域名、隱蔽信道和異常通信行為用于識(shí)別未知木馬通信。因此，相比當(dāng)前大多數(shù)采用單一的木馬通信特征檢測(cè)技術(shù)的安全設(shè)備，檢測(cè)具有更強(qiáng)的的木馬檢測(cè)和追蹤能力，不僅可檢測(cè)已知木馬通信，也可檢測(cè)新型攻擊中未知的木馬通信。

安全可視化，提升用戶(hù)的分析效率

產(chǎn)品檢測(cè)采用的Kill chain分析、時(shí)間序列分析、重點(diǎn)資產(chǎn)監(jiān)控等安全可視化技術(shù)，將大量的告警進(jìn)行可視化分析展示，并輔助以搜索和篩選功能，可幫助用戶(hù)快速識(shí)別攻擊發(fā)生的過(guò)程、攻擊當(dāng)前所處的階段，提升分析效率。