明御全流量深度威胁检测平台结合了安恒信息在安全审计分析领域多年积累的全流量审计、威胁深度识别、流量协议解析、应用识别、行为溯源以及流量趋势分析等经验,是一款面向全流量安全分析、业务分析、审计分析的产品。结合内置的离线高可信威胁情报库与风险检测模型实时掌握流量信息资产风险、敏感信息访问行为,僵尸网络和失陷主机等用户关注的流量行为。
通过双向流量检测对网络流量行为研判,发现各种层面的攻击行为,包含对蠕虫传播、dos攻击、系统漏洞利用、web攻击、通用协议命令解码、恶意文件投递、异常用户名登录请求、可疑执行代码等
对网络中用户行为分析和发掘,解析流量中协议内容和协议类型,支持识别2800多种应用会话行为,并对特定应用程序访问产生的数据进行深度发掘,监控异常应用的访问行为
对身份信息、关键字、数据源等进行自定义,通过自定义内容深度匹配流量中的敏感信息,并对敏感信息快速定位,实现对敏感信息访问行为的有效监测
识别流量中web用户名、qq账号等信息资产的登录行为,提取关键登录证据,对物理个人进行准确定位,从而对黑客追踪溯源和分析取证
对流量中的资产进行统计分析,发现未登记资产
内置离线高可信威胁情报库,与云端威胁情报协同防御,应用远控类型的情报指标(ioc,indicator of compromise)对僵尸主机和僵尸网络精准检测,实时发现失陷主机和c&c主机
对常见协议文件进行分离,分析流量中传输的正常和异常文件,支持对文件本地化存储通过接口进行自动外发,便于文件管理和追溯分析
通过对业务流量和用户行为检测,可视化感知流量和风险趋势,实现流量溯源、应用分布、业务流量以及异常流量的分析检测,为流量趋势分析(风险趋势、应用趋势、异常流量行为趋势)提供全面的分析依据
自动识别业务应用,映射应用下的资产流量使用趋势,并对流量态势记录,发现资产下的应用异常流量行为
具备详细的系统操作及系统运行日志记录,通过日志自动审计了解系统运行状态、监视资源的配置和使用状况、并可进行有效的错误处理;提供可管理的排错平台,对系统异常智能定位并处理
本地离线情报与云端威胁情报协同防御,准确发现和定位失陷主机,结合云端大数据分析和机器学习,实现风险实时发现和自动预警
对2-7层流量行为、流量构成、流量趋势等进行流量审计分析,实时了解流量风险行为、应用协议行为以及合规行为的动态趋势
支持将还原后的原始流量通过多种接口与第三方平台对接,满足第三方平台对流量分析溯源需求,同时具备强大的接口二次开发能力和可扩展能力
支持大流量场景下的流量分析检测,通过数据中心 探测器模式实现集群化部署,实现不同业务节点的流量集中管理和流量态势分析