北信源高级威胁检测系统产品综合利用多种威胁检测技术对现网流量进行已知威胁检测和未知威胁检测,覆盖网络攻击的完整攻击链。通过已知威胁检测和未知威胁检测实现关联分析对沙箱发生的中间结果数据、沙箱输出的报警数据、辅助检测系统(IDS和AV)发生的报警数据、流量还原发生的网络流数据等,生成综合安全事件,并对其攻击阶段进行定性,可以将大量的重复性基础安全事件进行归并、聚合,极大地减小了告警或事件的数量,减轻了安全分析人员的工作量。
Ø 机器学习检测
已嵌入检测模型包括webshell检测模型、PE检测模型和DGA检测模型等。机器学习检测模型使用离线学习、定时更新的策略来实现检测模型的动态更新。
Ø 自定义异常检测
支持管理员添加、删除或修改各种异常流量检测策略,对电子邮件传输、web访问、远程控制、文件传输以及特定网络端口进行精细化检测和异常发现。
Ø 多维关联分析
内置基于复杂状态机的关联分析引擎,可以对各种检测模块输出基础事件和威胁情报等进行多维度关联分析,提高安全事件告警的准确性,降低误报。
Ø 威胁溯源取证
基于流量日志审计和流量数据存储,实现威胁溯源取证功能,将流量审计日志等元数据保留在本地磁盘上,通过强大的搜索过滤功能,支撑客户进行多种条件的混合检索。
<i id='4bad8'><strike id='82ce2'><tt id='51f88'><pre id='ce997'></pre></tt></strike></i>