下一代威胁感知系统（神眼） Intrusion detection system
  神眼下一代威胁检测系统通过镜像现网流量来检测外部黑客发起的钓鱼邮件攻击、或在内部子网间传播的恶意软件，利用软件虚拟运行、沙箱逃逸对抗等技术对恶意软件的真实意 图进行深度剖析，能够发现常规手段无法检测的 APT 攻击等高级恶意威胁，并能与防火墙等 设备进行安全联动，阻断威胁的进一步蔓延，为企业或组织机构的网络安全保驾护航。
产品优势

■静态威胁检测

  产品对各类常见网络流量进行深度协议解析，记录流量元数据，还原上层承载文件，基 于流量特征及文件特征进行静态威胁检测，能够发现各种已知的恶意攻击行为。 产品内置入侵检测特征库（IDS），能够有效检测各种常见的网络入侵、漏洞扫描和 SQL 注入等恶意攻击，支持自定义攻击特征，支持 ASCII 码、十六进制和正则等多种表达方式； 产品内置恶意文件检测特征库（AV），并支持集成多 AV 特征库，能够检测各种常见的已 知病毒、木马、蠕虫和僵尸网络等恶意文件； 产品还支持文件黑白名单机制，能够针对特定文件进行精准检测或针对文件误报进行免检过滤。 
■动态威胁检测
      动态威胁检测是产品的核心功能模块，能够发现传统特征库检测模式无法发现的 APT攻 击或针对性攻击。 产品内部建立了数十个沙箱虚拟运行环境，将待检测文件在特定的沙箱中触发运行，通 过观察并记录文件在运行过程中的所有网络行为、注册表行为、文件行为、进程行为、服务 行为等多种日志，结合行为知识库来判断该文件是否为恶意文件。 沙箱虚拟环境可以分为两类：系统级沙箱和应用级沙箱。系统级沙箱模拟一个完整的操 作系统，能够检测各类可执行文件、批处理文件、脚本文件及动态链接库等；应用级沙箱则 针对性模拟某些常见的应用程序（比如 office 和浏览器等），能够并行、高效地检测该类应 用程序对应的恶意文件。沙箱支持各种反逃逸特性，能够有效检测目前已知的各种逃逸动作。 产品支持网络仿真技术，能够有效触发并检测恶意文件在运行过程中的各种网络行为。 目前支持仿真 ICMP、DNS、FTP/TFTP、HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S 等多种网络协 议。 此外，产品还实现了沙箱数量自适应特性，能够根据检测队列的压力大小动态调整沙箱 数量，以达到更高的检测效率和资源利用率。
■机器学习检测
     产品内部实现了利用机器学习检测模型来进行威胁检测的功能，目前已经嵌入的检测模 型包括 webshell 检测模型、PE 检测模型和 DGA 检测模型等。利用这些机器学习建立的模型， 能够实现对网络中传播的恶意 webshell 文件、恶意 PE 文件及恶意域名的快速检测。机器学 习检测模型使用离线学习、定时更新的策略来实现检测模型的动态更新。 
■威胁情报检测
       产品引入了威胁情报技术，定时向云端威胁情报库请求刷新，发现有最新的威胁情报则 快速更新到本地并实时生效。云端威胁情报库融合了国内外最新的威胁情报，利用威胁情报 能够快速发现恶意 IP、恶意域名、恶意 URL、恶意 email 以及恶意文件等各类威胁信息，协 助定位内网失陷主机和外部攻击源。 威胁情报检测支持整体开关以及细粒度配置，可以根据实际需要开启或关闭某类情报。 匹配了威胁情报的网络流量将生成威胁情报事件，在产品界面上可以根据 IP 地址、威胁种 类、情报类型、流量来源等多种条件进行详细筛选和查询，并支持输入特定 IP 或域名到威 胁情报库中进行查询。 系统支持自定义恶意 IP 或恶意域名类威胁情报，可通过 excel 格式导入或导出。
■自定义异常检测
       产品支持自定义规则功能，允许管理员随时添加、删除或修改各种异常流量检测策略， 对电子邮件传输、web 访问、远程控制、文件传输以及特定网络端口进行精细化检测和异常 发现。 在自定义规则中，管理员可以指定 IP 地址、邮箱账号、邮件关键字、网站地址、网站 关键字、文件名称、文件内容关键字、协议名称、端口列表等内容对异常流量进行实时检测， 还支持对几种常见的远程控制协议进行检测和发现，以实现安全管控的目的。 匹配了自定义规则的网络流量会生成相应的自定义事件，作为各类基础事件之一，支持 通过告警名称、类型、级别、IP 地址、流量来源等内容进行深度搜索和过滤。
■嵌套压缩文件检测

恶意软件为了掩人耳目、躲避检查，经常会把自己隐藏在多级嵌套压缩文件里面。为有 效解决此类问题，产品支持对多级嵌套压缩文件进行检测，能够将压缩文件层层解压，针对 每一层级的文件都进行独立检测，以发现隐藏在多级压缩文件中的恶意文件。 目前支持的压缩文件格式包括：zip、7z、rar、cab、gzip、tar 等。 

■多维关联分析

  产品内置基于复杂状态机的关联分析引擎，可以对各种检测模块输出基础事件和威胁情 报等进行多维度关联分析，提高安全事件告警的准确性，降低误报。

  主要包括： 1、沙箱行为日志关联：基于内置的行为模式规则库，能够对沙箱输出的行为日志以及 相关安全数据做灵活的关联分析，全面覆盖对各类文件威胁的检测；

                    2、威胁情报关联：支持对各类日志数据进行多维度威胁情报关联匹配，包括恶意 IP、 恶意域名、恶意 URL、恶意 Email 等。

                    3、告警和流量日志关联：对于各安全分析引擎产生的告警事件，通过关联分析能够实 现事件跟相关流量日志的关联，以提高告警的准确性。比如，将 SSH 暴力破解攻击事件与 SSH 连接的状态码进行关联，可以确认 SSH 暴力破解是否成功。       

                    4、基础事件关联：基于已有的安全分析经验，根据典型攻击场景设置关联分析规则， 刻画攻击所处的阶段，将一次攻击过程触发的多条相关基础事件组合成完整的攻击链，便于 对攻击进行回溯分析。产品已内置若干关联分析规则，覆盖了各种常见的攻击场景。 

■流量元数据提取

产品支持流量元数据提取功能，通过深度协议解析，能够对网络流量进行细粒度分解， 提取其中的关键信息，比如网络会话元数据信息、邮件收发件人、邮件主题、邮件正文、邮 件附件、网页 URL、POST 请求、响应码、DNS 访问记录等，并可以将这些信息发送至外部其 他平台，如态势感知或综合日志审计系统等。 针对 http 协议，产品支持代理场景下的主机溯源功能，能够通过流量分析和元数据提 取将真正的原始主机 IP 地址还原出来，而不是只显示代理主机的 IP 地址。

■联动阻断防护

旁路部署的安全设备很难对发现的威胁或攻击进行及时的阻断，为了达到阻断目的，产 品增加了设备联动阻断防护功能，目前支持以下两种联动方式： 

（一）被动方式 产品提供联动 API 接口，防火墙或 IPS 等直路部署的安全设备使用该 API 接口来提交 文件或其他数据进行威胁检测，产品在检测完成后返回检测结果，防火墙或 IPS 根据结果来 决定采取什么样的动作，比如阻断或隔离等。 

（二）主动方式 产品通过流量镜像自行检测分析流量中是否存在威胁，一旦发现则通过预先确定的联动 接口来向直路部署的安全设备（比如防火墙）下发相应的联动动作，以阻断威胁的进一步传 播。除此之外，产品还支持将自身发现的安全事件以 syslog 或其他格式发送给其他大数据 平台，由该平台联动防火墙等设备进行阻断防护。 

■威胁溯源取证

 基于流量日志审计和流量数据存储，产品能够有效的实现威胁溯源取证功能，将流量审 计日志等元数据保留在本地磁盘上，通过强大的搜索过滤功能，支撑客户进行多种条件的混 合检索。除此之外，产品还具备原始流量存储能力，用户可以自定义存储策略，对原始流量 进行灵活的存储，目前支持全量存储、异常流量存储以及自定义 IP 范围存储，能够有效涵 盖多种应用场景。 

通过流量审计功能，客户可以在发现网络攻击或高级未知威胁后，通过流量日志检索功 能锁定关键的网络会话，以及可以作为证据的原始流量报文，为深入分析和事件调查提供有力支撑。