产品简介
天阗入侵分析中心产品是结合流量、样本、行为、日志等多源信息的威胁线索发现与综合分析系统,该系统采用了全新的大数据采集、存储、检索、分析等技术,通过从攻击者、被攻击者、样本、事件等多维视角的钻取分析,攻击面与被攻击面的双向过程化挖掘,狩猎目标威胁 。通过与云端或离线的威胁情报配合,碰撞实时或历史的威胁线索与行为日志,提供用户全面的威胁感知能力。该系统可同时集成样本检测模块,发现未知威胁,生成的用户侧威胁情报信息可分发应用在ids、ips、网关、终端等联动设备形成完整、闭环的安全麻将胡了2的解决方案。
功能特点
· 威胁狩猎
以威胁线索、异常行为、失陷主机为出发点,以空间和时间广度为分析的数据基础,基于入侵分析中心的日志检索和过程分析模块,从攻击面与被攻击面、攻击者与被攻击者的方向关系,提供分析师对历史的快速追溯和深度分析判定的能力。
· 失陷主机定位
通过钻取每一台主机的失陷分析过程,通过威胁活动的几个阶段(遭受入侵、收到控制、发起内部攻击、发起恶意行为),分析出当前主机的确定性指数和威胁性指数,并可以看到指定时间内该主机失陷情况的走势图,从而判断出失陷主机的活跃程度和风险级别。
· 精确报警
通过大数据关联分析通过时间维度,从海量日志中找出真正威胁网络的攻击。为用户提供精准的分析及告警。
· 关联分析,追踪溯源
通过攻击者视角、被攻击者视角、样本视角、事件视角、恶意url等多维线索聚合,深度挖掘可疑关联,提供攻击者、被攻击者双向的威胁分析起点,在攻击面与被攻击面之间寻找深度隐藏的线索关联。
技术优势
形成入侵分析 已知检测 未知检测的综合分析平台,提供全方位攻击链条分析过程
模块威胁情报支持离线库导入及在线情报更新的能力
空间和时间广度为分析的数据基础,提供分析师对历史的快速追溯和深度分析判定的能力
发现历史中未曾发现的入侵线索,在通过日志检索功能追溯分析
在海量日志中进行多维分析建模,突出重要线索及行为判定
多维线索聚合、深度挖掘寻找隐藏的线索关联
典型应用
天阗入侵分析中心检测系统可支持单机或分布式部署,通过接口允许接收ids,apt等外部设备数据,也可选择集成ids、apt模块在入侵分析中心单机设备中。