BIG高级威胁检测系统

专注高级可持续性威胁（APT）检测，内置多种检测技术可对APT攻击链进行交叉检测和交叉验证

产品概述

高级威胁检测系统【简称：BIGAPT】专注高级可持续性威胁（APT）检测，内置的多种检测技术可对 APT 攻击链进行交叉检测和交叉验证。

除了具备常规的入侵检测功能外，它还能对从网络流量中还原出的文件（HTTP、SMTP、POP3、IMAP、FTP、SMB 等协议）进行病毒检测、基因检测与沙箱检测；对抽取的网络流量元数据，进行情报检测、异常检测、流量基因检测；最后将所有安全威胁进行关联分析，输出检测结果。

通过结合机器学习/深度学习、图像分析技术，将恶意代码映射为灰度图像，通过恶意代码家族灰度图像集合训练卷积神经元网络（CNN）深度学习模型，建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。

基于同样的原理，恶意代码产生的流量数据也能够映射为流量基因图谱，通过深度学习、图像分析技术，可根据流量基因识别恶意代码，该方法能够配合沙箱有效地检测恶意代码。

利用关联算法通过与加密会话关联的 DNS 协议、HTTPS 协议和 HTTP 协议，提取恶意加密流量与合法加密流量 SPL 数据等多种特征，构造恶意加密流量指纹，采用分类算法构建加密流量检测模型。

将僵尸网络家族用于 C&C 通信的 DGA 域名进行编码，然后利用 3 种不同的深度学习模型对 DGA 域名进行学习，交叉验证后进行家族判定，具有优异的检测能力。

利用不同应用程序功能、加密算法、通信模式的差异进行特征提取，构造应用程序的步态指纹，再利用深度学习算法训练分类器区分 Tor 流量和合法流量，实现暗网流量的检测。

除了具备基于机器学习的恶意加密流量检测、基于深度学习的暗网流量识别能力外，系统还能通过客户端和服务器间 TLS 协商指纹识别恶意代码与 C2 服务器间的加密通信，还能通过 SSL 服务器证书检测 C2 服务器。

高级威胁检测系统适用于通用网络安全检测，高级威胁检测（含 APT，恶意代码变种，新型恶意代码，内网僵尸网络被控主机发现），威胁事件溯源取证等场景。可单独部署或与大数据安全分析系统一同部署，组成高级威胁检测、大数据安全态势感知、大数据安全分析解决方案。

APT 通常旁路部署在局域网或数据中心出口、运营商城域网出口、互联网流量交换中心等需检测网络流量出入口，单台设备能灵活应用于 1-10Gbps 网络流量环境。