- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
项目 | 功能 |
硬件规格 | 架构:产品采用B/S架构,软硬件一体化设计,系统硬件为全内置封闭式结构,稳定可靠,加电即可运行,启动过程无须人工干预。 CPU 2.1GHz/8核/11MB/85W,内存 128G,配置4T硬盘,可扩展13个硬盘盘位,标配4电,可选配4电/2万兆,支持端口聚合 支持电源冗余、风扇冗余、硬盘冗余(支持RAID0和RAID1),电源 2*800W(冗余电源) |
性能规格 | 可执行文件检测能力不小于6万/天,不可执行文件检测能力不小于80万/天,AV病毒检测率不小于24万/h,WEB沙箱文件检测率不小于10万/h,Windows沙箱文件检测率不小于2500/h,图像文件、PE、Office 、PDF、脚本文件检测性能不小于10万文件/天,检测时延低于60s |
部署方式 | 支持单机旁路部署,通过交换机端口镜像或光纤分光的方式获取流量,可在web界面上查看检测结果,也能通过syslog将发现的安全事件推送至态势感知平台或其他日志采集平台 支持跟防火墙联动部署,防火墙通过API接口将可疑文件提交至沙箱进行威胁检测,沙箱检测完后将结果推送给防火墙 支持以探针角色跟态势感知或日志审计等其他平台联合部署,将威胁检测结果上报给平台 支持多台设备集群部署实现平滑扩容 |
流量采集 | 支持采集IPv4、IPv6和VxLAN流量并进行协议解析,支持单边流量还原 |
文件提交方式 | 支持防火墙等第三方设备通过API接口上传文件、手动提交文件/URL检测、使用专用软件批量上传所在主机上的文件,支持设备提交文件检测,支持通过web浏览器手动上传本地文件,支持加密上传,支持流量还原提交文件检测 |
样本运行时网络行为抓取 | 针对手动上传的样本能够对其在沙箱内运行时的网络行为进行抓包,抓包文件保存为pcap且可下载。 |
文件还原 | 支持从HTTP、FTP、POP3、SMTP、IMAP4、NFS、SMB/CIFS等协议中还原出指定格式的承载文件 |
检测文件格式 | 检测文件格式包括Office(Word、Excel、PPT、RTF)、WPS、PDF、HTML、JS、SCRIPT、CSS PE(EXE、DLL、OCX、COM等)、ElF、RTF、JAVA、CHM、swf、IMAGE(tiff、bmp、gif、jpg等)、压缩包(zip、7z、rar、cab、gzip、tar等)、脚本文件(BAT、VBS、CMD、Powershell)、APK等,支持检测分析文件类型不少于40个 |
检测引擎 | 检测引擎至少包括,Windows沙箱、安卓沙箱、Linux沙箱、OFFICE沙箱、WEB沙箱、PE沙箱、PDF沙箱、AV病毒检测、文件漏洞检测、静态启发式检测、内容检测、威胁情报检测、机器学习检测、信誉度检测等专用安全检测引擎 |
病毒检测 | 系统内置病毒检测引擎和基于yara规则库的自研检测引擎,支持集成多个AV检测引擎。 |
动态沙箱检测 | 利用沙箱动态行为分析技术来检测已知威胁和未知威胁,沙箱类型包括Windows XP沙箱、Windows 7 32&64沙箱、Office沙箱、WEB沙箱、PE沙箱、PDF沙箱、Linux沙箱和安卓沙箱,支持对文件在虚拟执行环境中的行为进行记录 |
攻击检测 | 支持检测的攻击类型包括:恶意广告软件、灰色软件、漏洞利用攻击、病毒蠕虫攻击、间谍软件、木马/僵尸网络、后门程序、黑客工具、勒索软件、Rookit、钓鱼等 |
信誉度安全匹配 | 支持用户自定义黑白名单,能够对已知的正常文件进行免检操作,支持添加文件MD5值到白名单或黑名单,支持URL、文件、IP、DNS信誉查询 |
机器学习检测 | 支持基于机器学习算法检测恶意WEB文件、Office文件、PE文件、PDF文件等 支持分类展示文件威胁事件详情,包括文件名称、威胁类型、威胁描述、五元组、攻击方向、上报设备、网络日志、应用日志等信息 支持文件输出动态行为进程树,支持展示基于进程主机行为(文件、注册表、进程、模块、API、窗口等)与网络行为(TCP、UDP、ICMP、DNS、HTTP、网络异常行为等),分析其安全风险 |
网络行为仿真 | 支持多种常见网络协议仿真,包括ICMP、DNS、HTTP、SMTP、POP3等,模拟样本外联服务器进行应答,能够在不连接外网的情况下获取更多的恶意样本网络行为。 |
沙箱数量自适应 | 根据各类沙箱的文件检测队列长度,能够自动调整沙箱数量,动态适配变化的网络流量模型和不同的应用场景; |
样本内嵌文件检测 | 能够打开并运行样本中内嵌的文件,根据行为进行威胁判定。 |
嵌套压缩文件检测 | 支持对多级(至少3级)嵌套压缩文件的子文件进行威胁检测。 |
数字签名检测 | 能够对样本的数字签名状态信息进行分析,包括证书验证结果、时间戳、序列号、使用者、有效期等,并能识别签名有效性,能够识别证书过期、伪造等信息。 |
多样本并行检测 | Office沙箱可并发执行多个样本,并隔离不同样本的行为日志,提高检测性能 |
样本网络行为抓取 | 支持提取攻击释放及下载的样本文件,支持手动上传恶意样本在沙箱内运行时能对其网络行为进行抓包,保存为pcap文件且可下载至本地分析 |
文件伪装识别 | 能够根据文件内容而不是通过扩展名进行格式识别 |
分析处置 | 支持邮件、syslog、执行命令三种处置动作,可配置生效时间、处置规则和处置动作等参数。 |
监控中心 | 能够对系统的CPU、内存、IO、硬盘的使用情况和业务口接收的流量及会话趋势进行监控 |
威胁综合报表 | 支持以HTML或PDF格式周期性导出威胁综合报表,包含威胁概述、威胁趋势分析、威胁分布统计、异常主机分析、攻击者分析、高危事件列表 支持展示文件威胁占比、威胁文件趋势、TOP威胁文件数量、威胁文件数量(按协议类型)、威胁文件数量(按威胁类型)、受威胁主机数、攻击来源数、攻击阶段统计等 支持展示文件下载、文件释放、文件共享、文件复制、服务、内存对象修改,支持对可疑的网络行为进行检测并告警 |
