“网镜”高级威胁检测系统是一套集特征监测、行为分析、全流量深度分析、取证、威胁情报、大数据分析等技术为一体的高级威胁检测与分析系统。可以在更广的领域和范围进行网络信息安全事件的事前警示、事中发现、事后溯源。为分析人员提供安全事件的全方位大纵深态势感知、分析定性与电子取证。
技术指标
- 支持主流的TCP/IP、UDP、DNS协议、HTTP协议、HTTP代理协议、POP3协议、SMTP协议、IMAP协议、FTP协议、TELNET协议、QQ协议识别的分析和还原;
- 支持1000Mbps,RJ45 / 10Gbps, SFP, 支持双链路数据融合。
- 镜像旁路部署
产品功能
- 恶意行为告警>支持检测WEB攻击、特种木马、恶意代码攻击、访问黑IP、黑域名、黑URL、后门程序访问、TCP劫持、邮件钓鱼欺骗、邮件恶意链接
- 域名分析挖掘> 通过对DNS解析时间、规律、频率的分析,配合黑、白域名库进行网络窃密线索的发现与深度扩展;
- 协议还原取证> 对主流协议、隐蔽通道、木马通讯协议的内容和可疑行为进行还原;
- 邮件深度分析> 有效的发现外部APT攻击的邮件入口攻击或邮件窃听盗取等行为;
- 信息泄露检测> 对网页、邮件、微博、论坛、IM中传播的关键词、敏感文件内容特征、敏感文件HASH值、文件头及印章进行识别;
- 病毒检测引擎>集成多个病毒检测引擎,可对全流量中产生的可执行文件进行病毒检测;
- 追踪溯源>支持不同目标的关联跟踪,方便管理对攻击的追踪和分析;
- 关联分析>对告警数据可通过大数据分析平台进行线索综合关联分析,可更加有效的发现与分析APT攻击。
