易讯通云安全检测系统(Ecloud Security Detection,简称ESD),采用机器学习及全面沙箱分析与入侵指标(IOC)确 认技术,通过BDE行为检测引擎及SDE规则检测引擎实时分析网络流量,深度监控链接所有可疑活动。通过在沙箱( Sandbox)中运行(行为激活/内容“引爆”)各种文件和内容的功能,并观察虚拟机中的一些入侵指标,识别出未知威 胁。
-
产品背景
现阶段的互联网环境,安全是最重要的主题。APT攻击堪称是在网络空间里进行的战争,攻击者会长期持续的对特定目标 进行精准打击,其中往往有明确的商业、经济利益或政治诉求,攻击手段从传统的随机病毒、木马感染及网络攻击,到近 来的利用社交工程、各种零日漏洞以及高级逃逸技术(AET)发起的有针对性的APT攻击,具有高级化、组合化、长期化 等特点,我们称之为新一代威胁。在新一代威胁面前,传统基于特征/签名检测的统一威胁管理(UTM)、下一代防火墙 (NGFW)、入侵检测/防御系统(IDS/IPS)、防病毒(AV)等安全产品并不能使组织得到充分保护。
产品简介
易讯通云安全检测系统(Ecloud Security Detection,简称ESD),采用机器学习及全面沙箱分析与入侵指标(IOC)确 认技术,通过BDE行为检测引擎及SDE规则检测引擎实时分析网络流量,深度监控链接所有可疑活动。通过在沙箱( Sandbox)中运行(行为激活/内容“引爆”)各种文件和内容的功能,并观察虚拟机中的一些入侵指标,识别出未知威 胁。为用户的信息化建设及网络环境提供一种前端的、实时、全方位的安全解决方案,例如:
● 应对关键性威胁:快速发现失陷主机;全面的Web安全保障
● 提升分析研判能力:分析研判保障事件正确响应处置、逐步完
善防御架构;依赖外部威胁情报和本地的流量日志进行有 效的分
析研判
● 信息与情报共享:实现本行业、本领域的网络安全监测预警和
信息通报;研判分析和情报共享是预警、预测的基础
● 履行行业监管职责:边界流量探针、云监控和外部情报监测
等优选检测手段,实现对行业的监管
-
任务报告
实时监控详细记录文件的主机、网络等行为,评估文件风险; 提供源文件下载、被删除文件下载、报告导出等个性化功能。
丰富的威胁情报
强大的处理性能
网络检测与文件检测同步进行,采取情报共享机制,构筑 检测生态圈,准确、快速地掌握攻击链条。
最大带宽处理能力可达10Gbps;最高文件处理性能可达18 万文件/天;并支持集群技术,集群数量可按需扩展。
实时展示当前网络环境中存在异常主机信息和状态。
资产画像
态势感知
以全球地图为背景,实时展现网络状态下的各种威胁态势,并以此推断未来某一威胁的爆发趋势。
状态监控
以图表方式监测、分析设备的资源使用率和实时运行状态。
-
高效的网络行为检测
集成了BDE网络行为检测引擎与SDE网络行为规则检测引擎,可辨别广泛网络及应用程序与数据报协议。通过协议分析、 内容萃取、事件触发、跟踪监控等报告网络事件,再经深度分析快速鉴别出DDoS攻击、SSH暴力破解、SQL注入、DNS 污染、漏洞扫描等恶意网络行为。
独特的基因检测
领先的未知威胁检测
具有业界独特的基因检测技术,可以利用恶意代码在变种过程中的遗传学特征,即基因在遗传过程中的复制特性及部分基 因突变特性,对恶意代码进行检测。通过基因比对,可以很轻易的识别出恶意代码变种,目前基因库恶意病毒基因高达 4.2亿份且在不断更新,检测的时间粒度在毫秒级别。
支持各种WEB沙箱、Windows沙箱、Android沙箱、Office 沙箱、PDF沙箱等;并基于沙箱技术对各种文件进行内容“ 引爆”,通过恶意行为模式匹配检测未知威胁,具有高检出 率,低误报率,防变种,防逃逸等特点。行为模式库高出同 行业近15倍。
全面的威胁检测
首先通过协议分析获得还原文件类型;其次通过内置的防 病毒引擎对已知威胁进行静态检测;再通过基因检测技术 对已知威胁的变种进行检测,并结合智能检测技术防止逃 逸和躲避(AET);最后通过对恶意代码在沙箱中的主机 行为和网络行为进行深入分析,对未知威胁进行检测。
威胁报表
溯源取证
以图表形式展现一段时间内网络中发现的各种威胁类型及 其数量,包括威胁源IP地址、威胁目的IP地址、威胁类型、 威胁严重程度、威胁详细信息等。
主要以条形图、饼图以及表格的形式统计一段时间内的过 去实时流量数据,为用户提供APT高级持续性攻击的完整 证据链,辅助用户完成供给分析。
-
云安全检测系统 EASTED Ecloud Security Detection
