一、全流量深度检测与高级威胁识别
- 多引擎协同检测:融合威胁情报、文件虚拟执行(沙箱)、机器学习与规则引擎,精准识别 APT 攻击、勒索软件、Web 攻击、远控木马、僵尸网络等高级威胁;支持数百种协议解析,可发现 SimpleHTTPServer 伪装传输、加密隧道等隐蔽行为奇安信集团。
- 异常行为建模:基于流量数据构建基线,覆盖非常规服务、登录行为、邮件行为、数据外发等场景,检测内部违规与零日攻击变体。
- APT 专项能力:关联奇安信威胁情报中心的 47 个境内外 APT 组织画像,结合 ATT&CK 标签化分析,实现攻击链可视化与团伙溯源。
- 文件威胁鉴定:硬件级沙箱 + 指令级分析,反逃逸能力强,可检测 PE / 非 PE 恶意样本,支持全包取证与样本提取奇安信集团。
二、攻击回溯与全链路取证
- 全包存储与检索:本地搜索引擎技术支撑 TB 级流量秒级检索,支持数月流量回溯,完整还原攻击过程奇安信集团。
- 线索图谱拓线:可视化攻击路径,自动关联失陷主机、攻击源、恶意文件与通信链路,快速定位影响范围。
- 事件复盘工具:按时间轴 / 攻击阶段呈现告警,提供 HTTP 头、URL、载荷等细节,支持自定义查询条件与报表导出奇安信集团。
三、智能告警分诊与响应编排
- AI 降噪与精准研判:QAX-GPT 驱动智能分诊,实验室环境告警降噪率约 90%;基于 ATT&CK 标签聚合告警,减少冗余告警奇安信集团。
- SOAR 自动化处置:联动终端 EDR、边界 NDR、防火墙,自动执行封禁 IP、隔离主机、卸载恶意进程等操作,响应速度达毫秒级奇安信集团。
- 高级阻断能力:内置七层封禁(支持 URL、HTTP 头、GET/POST 参数)与 IP / 域名封禁,可基于 3000 + 条规则与威胁情报实时阻断攻击,无需依赖第三方设备。
四、云原生与邮件安全专项防护
- 容器云四位一体监测:覆盖 “流量 + 资产 + 风险 + 云地协同”,采集 Pod 流量,检测容器内 Webshell、漏洞利用等攻击,关联到具体 Pod 并溯源奇安信集团。
- BCC 邮件安全:钓鱼邮件检出率 99.88%,拦截鱼叉式钓鱼与恶意附件,支持邮件流量分析与发件人溯源奇安信集团。
五、威胁情报与生态协同
- 本地化 TIP 服务:情报更新 < 30 分钟,适配隔离网环境;支持自定义情报规则与 APT 团伙画像导入奇安信集团。
- 跨产品联动:与奇安信 EDR、天堤防火墙、网神云锁等深度协同,实现 “网络 - 终端 - 边界” 闭环防御;支持第三方设备告警接入与数据关联。
六、核心组件与部署能力
- 流量传感器:旁路部署,采集镜像流量并还原,提取网络 / 传输 / 应用层信息,加密传输至分析平台。
- 分析平台:存储日志、关联分析、可视化展示,支持离线 / 隔离网部署,适配关基与涉密场景奇安信集团。
- 文件威胁鉴定器:集中检测多来源样本,输出恶意行为报告与 IOC 信息。
实战价值速览
| 场景 | 核心功能 | 效果 |
|---|---|---|
| 攻防演习 | 攻击链可视化 + 全包取证 | 快速定位攻击源,复盘攻击路径 |
| APT 狩猎 | 威胁情报关联 + 异常建模 | 发现隐形攻击,溯源团伙背景 |
| 安全运营 | AI 降噪 + SOAR 编排 | 响应效率提升 90%,人力成本降低 |
| 容器云防护 | 流量采集 + Pod 级关联 | 精准定位容器内风险,避免横向扩散 |
:创建Actor添加组件初始化)
