产品介绍
当前位置:主页 > 产品中心 > 平台类 > RayEye 高级威胁检测平台
烽火台-高级威胁检测系统(RayEye)是盛邦安全为了解决传统检测设备无法有效检测出黑客有目的、有组织的高级持续性攻击而研发的一款高级威胁检测类产品。其通过威胁情报、行为关联分析、云沙箱、协议还原等技术,可帮助客户有效的检测出南北向和东西向流量中的恶意程序(特种木马、病毒等)、异常行为等高级威胁,并可对安全事件进行有效溯源。
系统定位
产品需要能够在网络层面应对高级网络安全威胁,应对攻击;
产品需要在网络层实现对网络通信数据的监控,发现木马运行轨迹;
产品需要在网络层对木马行为进行检测、分析、预警和阻断,具备识别已知和未知木马的能力;
产品能够解决防火墙、入侵检测和防毒墙对木马程序检测率低等问题;
产品除了需要在网络层对木马网络通信行为进行识别外,还需要进行深度的木马追踪和地址定位。
技术创新
产品需要在现有基于特征码木马识别机制的基础上,通过技术创新,通过基于行为的威胁识别方式,加强对未知威胁和特种木马的安全识别;
产品需要通过服务创新,将专业木马分析人员的技能和知识积累,通过算法研究提高产品的木马识别成功率。
技术特点
1、网络级的木马安全检测
高级威胁检测系统通过直连或旁路方式部署在网络出口和核心交换设备上,对全网范围内的木马通信行为进行实时监控、分析、识别、预警和阻断隔离,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白。
2、灵活的数据采集方式
高级威胁检测系统通过直连或旁路方式部署在网络出口和核心交换设备上,对进出口网络和核心交换设备的网络通信数据进行实时采集,根据用户实际网络环境需要,部署灵活的数据采集方式,支持策略采集、支持网桥模式、支持BYPASS模式、支持双机热备、支持数据镜像、支持多机镜像等。 
3、全面的协议分析和还原
高级威胁检测系统支持主流的TCP/IP、UDP/IP、DNS协议、HTTP协议、HTTP代理协议、POPS协议、SMTP协议、IMAP协议、FTP协议、TELNET协议、QQ协议、MSN协议等通信协议的分析和还原,管理员可以根据自己协议分析需要,自定义分析协议和内容,如只对DNS协议的特定域名(www.3322.org)进行解析和还原。
4、基于行为和特征的检测方法
高级威胁检测系统通过强大的特征库和行为库,使用基于行为和特征的木马检测方法,在网络层对各种已知和未知木马的网络通信行为进行实时监控、分析、识别、预警和阻断隔离,如通过黑域名、黑IP和广谱特征码对已知木马进行检测和发现,通过心跳规律、可疑流出流量、动态域名等木马行为对未知木马进行检测和发现。
5、强大的木马追踪和地址定位
高级威胁检测系统具有强大的木马追踪和地址定位能力,一旦发现网络内部具有木马行为,则可以对内网的主机和外网的目标地址进行准确定位,判断目标主机所在的国家和地区,并获取与木马相关的深度信息,包括木马名称、木马编号、木马类型、木马家族、制作组织、来源国家、木马特征、危害等级、风险描述和安全建议。
6、具备已知和未知木马检测能力
高级威胁检测系统具备已知木马和未知木马的检测能力,通过基于特征(如黑域名、黑IP和广谱特征码等)的木马检测方法,发现已知木马的网络通信行为;通过基于行为(动态域名、心跳信号和可疑流出流量等)的木马检测方法,发现未知木马的网络通信行为。