近年来境外多个apt黑客组织不断尝试对我国各类单位发起网络攻击,意图窃取重要敏感信息、控制相关设施,威胁巨大,严重危害了我国网络空间安全和利益。
据统计,2019年,国家安全机关发现并处置的网络攻击窃密活动中,涉及境外apt组织数量多达近百个,其中一组织全年针对我国重大活动的定向攻击,竟多达4000多次。
有组织的、武器化的、以数据及业务为攻击目标的apt攻击屡见不鲜,一直是客户关心的痛点,也引起越来越多的企业的高度关注。面对apt攻击现状,我们来看看天融信僵尸网络木马和蠕虫监测与处置系统-九合一探针(toptvd)是如何应对的。
toptvd首创应用tai-1智慧引擎,结合虚拟沙箱的检测技术,在不依赖任何规则库情况下,达到高效、精准的未知威胁检测能力。tai-1智慧引擎通过海量样本训练的机器学习模型识别未知恶意程序。虚拟沙箱检测采用仿真技术,模拟操作系统环境,构建执行引擎,动态化分析发现恶意程序。tai-1智慧引擎 虚拟沙箱的方式,打破了传统特征匹配技术的束缚,是发现未知威胁特别是apt攻击线索的有力工具。
toptvd采用本地嵌入威胁情报库的方式,威胁情报库由天融信听风者实验室分析生产,具备恶意ip、恶意url、恶意域名、恶意文件等多种情报类型。嵌入式威胁情报库情报来源可靠、情报种类丰富、更新速度快、独立性强,帮助客户及时、有效发现apt攻击线索。
toptvd不仅可对非加密流量进行检测,还可通过导入证书的方式,直接对加密流量进行解密处理,实现对加密流量元数据的深度提取,发现apt威胁线索。其次,toptvd还可通过指纹特征的方式检测加密通信,实现无证书检测加密通信的效果,从而进一步发现apt攻击的有效线索。
toptvd既能够对明文通信进行检测分析,也能够对各种隐蔽隧道通信进行检测分析,如http隐蔽隧道和dns隐蔽隧道。toptvd的隐蔽隧道通信检测技术可协助发现隐蔽的apt攻击行为线索,让apt攻击线索无所遁形。
- 关键词标签:
- 天融信僵尸网络木马和蠕虫监测与处置系统 检测apt 九合一探针 toptvd