- 产品介绍
持续威胁检测与溯源系统(RayEYE)是一款APT检测产品,集下一代入侵检测、网络异常行为检测、病毒木马检测、未知威胁沙箱行为检测、威胁情报检测、恶意代码基因图谱检测、恶意流量人工智能检测等多种技术于一体,对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。RayEYE 除了具备常规的入侵检测功能外,还可以从网络流量中还原文件,并通过多病毒检测引擎有效识别出病毒、木马等已知威胁;通过基因图谱检测技术检测恶意代码变种;还可以通过沙箱行为检测技术发现未知威胁。RayEYE基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联,还原攻击事件,及时告警,溯源威胁,对检测及防御APT攻击起到关键作用。
-
- 下一代入侵检测
有效弥补目前安全设备对攻击识别能力的不足,帮助用户分析入侵行为的攻击链路和了解整体环境的入侵情况,从而让用户精准有效的发现威胁并解决问题;
-
- 网络异常行为检测
通过对网络流量双向会话行为的深入分析,发现网络中存在的 DoS/DDoS攻击、各种异常行为等即刻发出告警,降低潜在的网络安全风险;
-
- 静态文件检测
多个反病毒引擎对已知威胁进行基于特征的静态检测和多检测模块交叉验证,检测包括Shellcode、Webshell、后门程序、挖矿木马、间谍软件、蠕虫病毒、恶意软件、远程木马等;
-
- 沙箱行为检测
新型病毒、新型木马等未知威胁检测;
-
- 威胁情报检测
恶意 IP 检测、恶意域名检测、恶意 URL 检测、恶意文件检测;
-
- 人工智能检测
恶意文件变种检测、恶意加密流量、暗网流量、翻墙代理、VPN通信识别、DNS/ICMP/HTTP隐蔽隧道、Web攻击等进行检测、僵尸网络C&C通信检测;
- 人工智能、大数据与安全技术相结合
+- RayEYE 采用了人工智能的机器学习 / 深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,并有效减少安全运维人员的人工识别工作量。
- 全面的已知、未知威胁检测
+- 通过内置的下一代入侵检测引擎,Multi-AV 防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术对恶意代码的变种进行检测,通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测。
- 独特的基因图谱检测技术
+- 通过结合机器学习 / 深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络 CNN 深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。解决了特征检测的人工提取困难、行为检测的时间开销大且误报高等问题。对于恶意代码变种和加壳文件具有优异的检测能力,且具有快速、准确率高、误报率低、跨平台检测等特点。
- 行为沙箱检测技术
+- 支持基于沙箱行为的未知威胁检测;支持多种沙箱环境;支持沙箱行为签名检测;根据主机或网络行为判断其是否为恶意文件,支持显示沙箱内样本运行截图;支持对沙箱内样本的流量进行检测、支持反虚拟机和反调试行为检测。
- 综合溯源取证能力
+- 溯源能力覆盖攻击链各阶段,可留存原始网络流量PCAP。支持对网络攻击线索、攻击过程、攻击手段和主机威胁等信息进行溯源,发现威胁源头并留存攻击证据。通过对威胁事件、元数据、威胁情报以及原始会话数据包追溯,支撑安全运营人员威胁发现、威胁研判和威胁取证的全过程工作。
- 强大的处理性能
+- 产品形态是软硬件一体机的组合方式,内置沙箱,集成度高,处理性能优越,RayEYE单台流量处理性能可达10Gbps。
- 典型部署一
- 典型部署二
- 典型部署三
办公网、生产网、政务内外网和数据中心等,将RayEYE设备以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口。
通过分光城域网数据中心、机房的线路流量, RayEYE设备对城域网进行分布式的网络流量安全监测。在城域网安全管理中心部署一套网络安全感知分析平台,对多台RayEYE的安全事件进行统一收集、处理和展示。通过长时间的关联分析,精准告警,安全威胁及溯源取证。
重要信息系统安全监测,将 RayEYE设备以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口,可以配合大数据安全分析系统,进行网络威胁态势感知、关联分析和溯源取证。
可有效检测APT等高级可持续性威胁,并结合其他安全设备,具备威胁情报检测、网络异常检测、下一代入侵检测、多AV检测、基因检测和沙箱行为检测等多种安全能力,降低运维成本,提高运维工作效率。