统一威胁探针(UTS)主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时UTS集成入侵检测、病毒检测及吸星引擎等各类安全探针,提供统一威胁检测能力。
威胁分析系统(TAC)提供恶意文件检测功能,基于沙箱检测引擎,可以动态虚拟执行各类文件及应用程序,并将检测结果上报至TAM进行进一步处理和分析。
威胁情报中心(NTI)提供威胁情报功能,通过与情报的有效结合,可以实时获取全球最新的热点事件和信息,大幅提升安全威胁事件检测能力。
全流量威胁分析平台(TAM)是全流量威胁分析系统的核心,TAM平台可以对流量元数据进行加工和整理,利用其强大的大数据分析能力及各类机器学习算法,快速检测各类重点事件,如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。TAM从资产角度出发,结合攻击链模型向用户展示失陷主机,帮助客户从海量告警事件中,快速定位需要关注和处理的资产。当系统检测规则落后于攻击行为,特别是0day攻击发生后,用户需要通过数据回溯分析,来检测出以往系统漏检的一些重要攻击行为信息。系统通过情报或用户自定义规则作为输入,可以对历史流量数据进行回溯分析,同时提供原始流量取证能力。最后T��������AM平台以灵活的自定义检测策略、数据挖掘分析能力,提供北向接口等功能,使得客户能够扩展和集成安全能力,实现投资的收益最大化。
