2024年分宜电厂APT高级威胁检测设备介绍

　　APT高级威胁检测设备

　　硬件要求

　　标准1U机架式安全设备，配置冗余电源，提供≥4个10/100/1000M自适应管理接口，业务口配置不少于2个10/100/1000M自适应电口、4个千兆光口，额外配置2个接口扩展槽位。扩展接口理论满配支持8个万兆光口或16个千兆电口(或光口)，内存≥32GB，硬盘≥2TB。

　　功能要求

　　1.具备全流量检测能力，告警事件须自动给出攻击结果判定，以减少分析噪音，攻击结果包括成功、失败、正在利用等，对于告警事件须提供原始数据报文以供研判分析;支持对恶意软件利用、可疑行为、攻击利用、攻击探测、APT攻击事件等常见攻击类型进行检测;支持对暴力破解行为进行检测，可自定义检测周期、检测频率，支持检测的协议类型包括但不限于：HTTP、HTTPS、FTP、SSH、SMTP、IMAP、RDP、MySQL、Oracle、MSSQL、POP3、Telnet等;支持邮件二维码检测和钓鱼邮件算法检测;

　　2.支持内置分析场景不少于15个，至少包括：特征检测场景、恶意域名场景、脆弱口令场景、暴力破解场景、扫描探测场景、DDOS攻击场景、邮件检测场景、威胁情报分析场景、挖矿行为分析场景、勒索专项分析场景、横向移动分析场景、僵木蠕分析场景、WEB攻击场景、DNS隧道检测场景、可疑行为分析场景;

　　3.支持挖矿行为场景化分析，可查看挖矿币种分布图、挖矿主机活跃度、挖矿阶段图、挖矿主机、矿池地址、挖矿阶段、挖矿持续时间等信息，可查看的挖矿阶段至少包括尝试连接矿池、连接矿池成功、获取挖矿任务、挖矿控制通信、挖矿成功;

　　4.具备独立的研判界面，支持对告警事件进行研判分析，可查看告警事件的请求头、请求体、响应头、响应体或payload;可下载告警事件的原始数据报文，提供在线报文分析;

　　5.须内置沙箱，具备100种以上文件格式沙箱检测能力，涵盖Windows、Linux、Android多种操作系统，支持自定义文件类型;支持人工干预沙箱检测过程，可登录正在运行的沙箱环境，进行鼠标点击等干预操作;支持恶意代码反混淆检测，可自动识别加壳程序并自动脱壳，支持的加壳程序至少包括UPX、Aspack、PECompact、WinUpack;

　　6.具备未知威胁分析能力，可通过动态沙箱实现未知威胁的检测、分析;沙箱具备进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等方面的分析能力与扩展能力;同时可通过事件关联分析模块以可视化方式提供时间段内，被监测网络中的特定主机与其他主机之间、威胁事件影响主机的相关联的已知、未知威胁事件与异常网络行为，并可采用智能化和自动化方式将多个相关联和类似的攻击事件进行归并，具备基于安全规则实现安全事件的关联分析的技术能力，并获得国家权威机构的技术认证;

威胁分析.png

　　7.产品制造商需曾入选国家级“APT监测分析”网络安全应急支撑单位，并具备独立的高级可持续威胁(APT)安全监测产品的销售许可证(增强级)。

　　8.具备未知威胁分析能力，可通过动态沙箱实现未知威胁的检测、分析;沙箱具备进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等方面的分析能力与扩展能力;同时可通过事件关联分析模块以可视化方式提供时间段内，被监测网络中的特定主机与其他主机之间、威胁事件影响主机的相关联的已知、未知威胁事件与异常网络行为，并可采用智能化和自动化方式将多个相关联和类似的攻击事件进行归并，具备基于安全规则实现安全事件的关联分析的技术能力，并获得国家权威机构的技术认证。评审依据：上述功能提供对应截图和封面具有CMA或CNAS标志的国家认可的第三方检测(验)机构出具的对应功能体现的检测报告复印件并加盖制造商公章佐证;技术能力须提供国家权威机构出具的技术证书证明材料复印件并加盖制造商公章佐证。

　　9.具备多样化的安全监测能力，能实现常用电子邮件、应用、远程控制、VPN等协议的数据收集，并实现对恶意扫描行为、钓鱼邮件攻击、地址欺骗、漏洞攻击、恶意程序、异常网络通信行为等攻击行为的监测，并具备防逃避监测的手段，可实现漏洞攻击、恶意程序、隐蔽信道等方面的防逃避监测;具备基于网络设备提取流量攻击报文特征的技术能力，并获得了国家权威机构的技术认证。

　　评审依据：上述功能提供对应截图和封面具有CMA或CNAS标志的国家认可的第三方检测(验)机构出具的对应功能体现的检测报告复印件并加盖制造商公章佐证;技术能力须提供国家权威机构出具的技术证书证明材料复印件并加盖制造商公章佐证。

　　10.★具备较高的安全检测能力，对于已知安全威胁样本检测率不低于100%，对于未知安全威胁样本检测率不低于80%;具备较低的误报率，整体误报率不高于10%。具备专业的高级持续威胁的检测技术能力，并获得了国家权威机构的技术认证。评审依据：上述检测和误报能力的体现需要封面具有CMA或CNAS标志的国家认可的第三方检测(验)机构出具的对应的检测报告复印件并加盖制造商公章佐证;技术能力须提供国家权威机构出具的技术证书证明材料复印件并加盖制造商公章佐证。

　　11.★其他要求提供原厂商授权书、三年售后服务承诺书及三年特征库升级;APT可通过联动接口与IDS、防火墙、网闸等安全防护产品进行联动。联动产品将监测到的可疑文件通过联动接口传送至本系统，由本系统进行动态沙箱检测。系统检测的结果也可以通过联动接口传送回联动设备等设备，以作为传统安全防护产品对于恶意文件类型的攻击无法准确检测的补充，做到全方位的防护;为了便于管理及维护与现有IDS为同一品牌。

网站提醒和声明

本文内容来自自互联网公开信息或用户自发贡献，该文观点仅代表作者本人，版权归原作者所有。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。若发现侵权或违规内容请联系电话4008352114或邮箱442699841@qq.com，核实后本网站将在24小时内删除侵权内容。

发布：2026-02-26 15:01:27 编辑：xiaona [打印此页] [关闭]

2024年分宜电厂APT高级威胁检测设备介绍

本站推荐

相关推荐

最新文章