在对威胁情报进行收集及处理后,可以直接将相应的结果以机读的形式分发给安全设备,实现精准的动态防御,达到“未攻先防”的效果,实现从传统“静态被动防御”到“动态积极防御”的转变升级。
什么是威胁情报?
图:产品能力与价值
TIDP的特色与亮点:
1
丰富威胁情报数据支撑,日更新高活跃80万条
安恒安全数据大脑丰富的威胁情报数据,是TIDP网络流量分析检测的重要基础。安恒安全数据大脑依托玄武盾SaaS云防护、蜜罐网络、全球资产探测等能力,国内外数百家情报源集成,通过大数据、机器学习与文件自动化分析等技术,提炼形成涵盖C&C、僵尸网络、恶意代理等60余类的情报数据,以及全球的网络资产基础数据,日更新高活跃情报数据80万条。
2
多维度、全方位发现失陷主机
TIDP中不仅内嵌了多种远控类型的情报指标,而且也结合了安恒信息在网络流量分析领域的长期积累,引入了包括利用机器学习检测DGA域名请求、远控工具指纹库、漏洞利用库,以及多个隐蔽信道通信检测模型,可以全方位发现失陷主机。并通过可视化的方式,从失陷主机、威胁类型、黑客组织等多个角度进行关联展示,呈现当前网络环境中所有的失陷和受控情况。
3
从海量随机性扫描中识别针对性攻击
网络环境中时刻在发生大量自动化随机扫描事件,这些随机扫描事件在传统网络安全设备上,将同步产生大量告警。TIDP通过对网络双向流量进行实时分析,准确识别针对服务器的针对性攻击事件,使安全分析人员能从大量随机性扫描攻击事件中解脱出来,第一时间对针对性攻击事件进行响应,极大提升安全团队对网络攻击事件的响应效率。
图:支持超大流量检测
