北信源高級(jí)威脅檢測(cè)系統(tǒng)產(chǎn)品綜合利用多種威脅檢測(cè)技術(shù)對(duì)現(xiàn)網(wǎng)流量進(jìn)行已知威脅檢測(cè)和未知威脅檢測(cè),覆蓋網(wǎng)絡(luò)攻擊的完整攻擊鏈。通過(guò)已知威脅檢測(cè)和未知威脅檢測(cè)實(shí)現(xiàn)關(guān)聯(lián)分析對(duì)沙箱產(chǎn)生的中間結(jié)果數(shù)據(jù)、沙箱輸出的報(bào)警數(shù)據(jù)、輔助檢測(cè)系統(tǒng)(IDS和AV)產(chǎn)生的報(bào)警數(shù)據(jù)、流量還原產(chǎn)生的網(wǎng)絡(luò)流數(shù)據(jù)等,生成綜合安全事件,并對(duì)其攻擊階段進(jìn)行定性,可以將大量的重復(fù)性基礎(chǔ)安全事件進(jìn)行歸并、聚合,極大地減小了告警或事件的數(shù)量,減輕了安全分析人員的工作量。
? 機(jī)器學(xué)習(xí)檢測(cè)
已嵌入檢測(cè)模型包括webshell檢測(cè)模型、PE檢測(cè)模型和DGA檢測(cè)模型等。機(jī)器學(xué)習(xí)檢測(cè)模型使用離線學(xué)習(xí)、定時(shí)更新的策略來(lái)實(shí)現(xiàn)檢測(cè)模型的動(dòng)態(tài)更新。
? 自定義異常檢測(cè)
支持管理員添加、刪除或修改各種異常流量檢測(cè)策略,對(duì)電子郵件傳輸、web訪問(wèn)、遠(yuǎn)程控制、文件傳輸以及特定網(wǎng)絡(luò)端口進(jìn)行精細(xì)化檢測(cè)和異常發(fā)現(xiàn)。
? 多維關(guān)聯(lián)分析
內(nèi)置基于復(fù)雜狀態(tài)機(jī)的關(guān)聯(lián)分析引擎,可以對(duì)各種檢測(cè)模塊輸出基礎(chǔ)事件和威脅情報(bào)等進(jìn)行多維度關(guān)聯(lián)分析,提高安全事件告警的準(zhǔn)確性,降低誤報(bào)。
? 威脅溯源取證
基于流量日志審計(jì)和流量數(shù)據(jù)存儲(chǔ),實(shí)現(xiàn)威脅溯源取證功能,將流量審計(jì)日志等元數(shù)據(jù)保留在本地磁盤(pán)上,通過(guò)強(qiáng)大的搜索過(guò)濾功能,支撐客戶進(jìn)行多種條件的混合檢索。