產品定位

數字革命推動業務創新和經濟增長已經成為新世紀的趨勢，但是同時也帶來了新威脅，在競爭激烈的市場下，以APT攻擊為核心的攻擊方式正在愈演愈烈，此類攻擊發起者往往是雇傭的黑客團隊，攻擊手法非常高級，會使用到零日攻擊、病毒、木馬等組合攻擊手段，從行為上看十分隱蔽，可以完美的繞過已有的基礎安全設備；會給組織帶來非常致命風險。

面對日益復雜的攻擊形式，單一的防護無法發現復雜的攻擊行為，APT的防御必須圍繞組織內部核心資產開展基于大數據模型的風險計算，通過對惡意文件、惡意攻擊行為、高級組合攻擊、基于業務的邏輯攻擊進行模型分析計算，實時得出風險提示，通過專家在線、現場服務做到風險跟蹤關閉，為組織核心資產提供有力的保障。

APT平臺是依托于中新網安研發的大數據平臺建設的全新風險展示平臺，多年來的安全服務能力和大數據算法研究能力鑄造了當前平臺的三大核心功能，包括對于未知文件的沙箱檢測技術、國際常見黑客的攻擊行為指紋技術以及通過大數據算法實現機械學習技術，通過三維立體的風險定位模型刻畫了攻擊行為的路線，有助于發現潛在和未來的安全攻擊行為，最大限度保證核心數據資產不被黑客侵犯。

功能特點

中新金盾高持續威脅防御系統，標準的整體機架式部署，采用“5+2+1”的產品架構，包括五大支撐引擎，兩大服務體系，一大展現平臺。

支撐引擎

1. 數據接收引擎

數據接收引擎也就是我們俗稱的探針，不僅能夠支持接收傳統網絡中交換機鏡像過來的流量，還支持以云化的方式部署，通過API接口調度和虛擬接口調度的方式，接收來自云端的數據流量。

2. 行為分析引擎

行為分析引擎能夠對網絡中數據包進行深度分析，涉及信息內容的權重、頻次以及動作等，不僅能夠實時的展現攻擊者單次的攻擊行為，還能夠分析出某個時間段的攻擊過程，對攻擊者的攻擊手法、滲透過程進行深度挖掘。

3. 大數據分析引擎

大數據分析引擎承載著原始攻擊流量存儲、資產行為數據存儲、實施攻擊行為和文件環境等功能，為整個數據挖掘提供挖掘框架，實現模型的訓練，并且能夠完成歷史行為的深度自學習。

4. 高效沙箱引擎

高效沙箱引擎高度還原了真實的系統環境，支持還原多種文件類型，分析文件的行為，并對文件進行病毒查殺和木馬檢測。

5.  機器學習引擎

機器學習引擎是中新金盾高級持續威脅平臺的業務分析核心，深度學習關注業務交易的核心深度識別業務的安全風險。

服務體系

1. 在線專家服務

在線專家服務，能夠給客戶提供實時的技術問答和技術支持，包括產品操作，攻擊行為處理等方面的問題。

2. 現場支持服務

現場支持服務除了幫助客戶，解決產品的上線部署，公司還擁有優秀的應急響應小組，能夠幫助客戶及時處理，存在的潛在風險，保證業務的正常進行。

展現平臺

以可視化的形式全方面的監控用戶的資產，安全轉臺，基于用戶行為、數據流量進行畫像學習，并實現APT場景和案件的重構，動態的顯示攻擊者的攻擊行為路線。

核心技術

多維動態行為檢測

獵潛者能夠多維度的對攻擊行為進行檢測，涉及到應用層攻擊、系統層攻擊以及數據庫層面，目前的檢測類型有18類，包括郵件攻擊、沙箱檢測、隱蔽信道逃逸檢測、web應用層攻擊、域滲透、遠程控制等，并支持多維的攻擊模式識別，能夠檢測由外網到內網發起的攻擊，內部不同業務和安全域間的訪問以及內網訪問外網，防數據竊取回傳的檢測。

沙箱技術

zxsandbox是一款由中新網安自主研發的沙盒軟件，用于自動化分析惡意軟件，它通過虛擬機技術創建一個獨立的運行環境運行惡意軟件，從而監控惡意軟件的行為。

1. 反虛擬機技術

虛擬機環境存在一定的指紋特征，某些惡意軟件在運行時，會針對這些指紋特性對當前運行的環境進行檢測，一旦發現當前環境是虛擬機環境，則不觸發，為了解決虛擬機指紋特征的問題，zxsandbox具有高保真特性，采用一些手段將運行環境偽造成真實的環境，來誘發惡意軟件觸發真實行為。

2. 高效靈活的文件類型識別

zxsandbox具有多種模式匹配和文件類型規則，能夠高效、靈活的識別文件類型；針對未知文件類型可快速補充規則進行識別，準確率達到95%以上。

3. 多種靜態分析

常規的靜態分析方法主要是依靠病毒引擎，而zxsandbox針對不同的文件類型，添加了特定的檢測方法，比如針對PDF文檔，我們嵌入了js檢查，剝離js腳本檢測，并可根據需要對js腳本進行動態分析。

4. 高級內存分析

zxsandbox可對受感染的內存鏡像進行分析，主要包括系統的文件操作、注冊表操作、加載模塊分析、進程分析等。

5. 詳細的網絡行為記錄

zxsandbox能夠詳細記錄沙盒中所有的網絡信息，包括加密的信息?？梢詭椭l現惡意軟件的下載動作、網頁訪問等行為。

6. 綜合判斷文件危害程度

zxsandbox內置了很多惡意軟件的行為特征規則，這些規則是對不同類型的惡意軟件真實行為的總結，貫穿整個靜態檢測、內存分析、網絡行為記錄等檢測過程。避免正常軟件的正常行為被系統五保，從而綜合的判斷出文件的危害程度。