产品简介
天阗apt检测系列,是一款针对恶意代码等未知威胁具有细粒度检测效果的专业安全产品,可实现包括对:未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测,由启明星辰集团独立自主研发。
天阗apt检测系列,采用国内领先的双重检测方法(静态检测和动态检测),多种核心检测技术手段:二进制检查、堆喷检测、rop利用检测、敏感api检测、堆栈检测、shell code检查、沙箱检查等,可以检测出apt攻击的核心步骤,同时,产品可结合人工服务,有效发现apt攻击。
功能特点
· 对多种文档格式的检测
本系统可以对多种文档格式进行静态动态检测,包括:windows系统下可执行文件、pdf、doc、xls、rtf、docx、xlsx、ppt、pptx,ppsx等。
· 对恶意文件的动态检测
系统使用多种虚拟机环境运行被检测文件,检测文件打开后的各种行为和系统环境等以确定文件是否具有恶意行为。动态检测的优点是检测率高、误报率低。
· 对恶意文件的静态检测
静态检测是指通过一定的特征比对或算法对被检测文件的二进制内容进行匹配或计算的检测方法,静态检测并不真实的运行被检测文件。静态检测的方法有很多种,天阗apt检测系统使用虚拟shellcode执行、暴力搜索隐藏pe等多种方式对被检测文件的文件内容进行静态检测,以此来确定文件是否为恶意文件。静态检测的优点是速度快。
· 全面支持已知威胁检测
当前发布的天阗apt检测系列,只需要添加入侵检测与管理系统功能模块,就可以实现已知威胁加未知威胁的全面检测,包括但不限于:病毒、蠕虫、木马、ddos、扫描、sql注入、xss、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如p2p上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等威胁具有高精度的检测能力,产品对已知威胁事件库完美融合。
技术优势
提供api接口可与安全防护产品进行联动
全新高效智能虚拟机调度引擎灵活调节虚拟机任务的分发
易懂的报告设计可满足专业人士和非专业人士的需要
c&c通道自动感应可动态的模拟各种协议
全新的沙箱设计可对抗未知的沙箱逃逸技术
内置了多种操作系统和软件环境不放过任何恶意行为
双系统检测应对复合型文档攻击
特征检测可满足用户对于检测产品“全、精、新、准”的述求
典型应用
部署在数据中心/云中心/生产网服务侧
部署在单位的生产网/办公网出口
部署在数据交换的网络之间
部署在邮件服务器、文件共享服务器等公文流转系统前