安天追影安全平台

1、产品介绍
安天追影安全平台(以下简称“追影”)是安天自主研发的深度威胁鉴定设备,可对文档文件、可执行文件、URL等对象进行深度安全分析,有效检出各类已知威胁与未知威胁,对基于格式文档的0day漏洞攻击尤其具备优秀的检出能力,对恶意网站与脚本也有较高的检测率。

追影将海量黑白文件过滤、静态向量知识检测与动态监测能力融为一体,通过静态、动态向量的对比和复合决策构成多维度检测模型,提升了高级威胁的逃逸难度。同时,追影可对已知威胁实现高精度检测,对白名单对象予以标注,从而更好的筛选出高级威胁。基于以上特性,追影的检测精度、检测能力和检测速度均显著优于仅依赖动态监测的普通沙箱产品。

与各种云端鉴定产品和服务相比,追影是完全本地化的安全设备,产品的动静态引擎、知识和决策机制能够确保文件的整个分析过程都在本地设备中完成,而不需要用户传递检测对象或者关联数据给安天,由此,用户可在保密的前提下获得深度检测能力。同时,用户可选择开启追影的公有云支撑服务,对接安天后台分析能力。

追影可改善安全网关、企业级安全防护产品的检测能力纵深,可为安全分析团队提供良好的能力支撑,也可为安全运维中心类产品的自动决策环节以及专家研判提供可靠的基础鉴定能力和参考数据。

2、产品特点

动静结合,有效检测各种基于格式文档的攻击,发现0day漏洞
追影采用静态检测和动态鉴定相结合的方式对未知文件进行行为分析。通过Shellcode静态特征检测、文件格式识别、静态启发规则、虚拟执行沙箱、多种运行环境模拟、反虚拟识别、反跟踪等技术检测文件的溢出漏洞和溢出攻击特点,进而发现文件中的0day恶意攻击。

行为细粒度呈现与归纳
追影能够完整监测待分析文件的全部系统行为及网络行为,并在此基础上对文件行为进行更细粒度的特征识别,进一步提取行为结果信息,并通过报告的形式给用户全面呈现文件的行为过程、结果以及相关事件。

已知病毒木马检测,海量已知白文件过滤
追影配备了安天自主研发的AVL SDK反病毒引擎以及海量白文件特征库,可对已知威胁以及已知白文件进行过滤。截至2015年5月7日,AVL SDK可以全面精准检测8大分类、3.64万个家族的720.68万个独立变种,检测能力可以覆盖超过8800万的HASH样本集合。基于反病毒引擎的全面检测以及白特征库的过滤,可为动态检测提供更多参考信息和关联分析信息,帮助追影精确识别未知威胁,大幅提高动态检测效率。

国产系统支持,维护国产网络环境安全
追影在国内率先支持国产办公环境(WPS)的动态行为分析检测,可在多种Windows操作系统下对各种格式的WPS文档进行检测分析。同时,追影也是国内首款支持自主可控国产操作系统(麒麟)环境沙箱的动态检测产品。独有的Linux沙箱技术结合国产办公环境分析为自主可控环境提供更加有效的安全保障。

第三方网络安全产品联动,建立整体安全解决方案
通过追影的标准API接口,用户可以根据需要与第三方网络安全产品(防火墙、入侵防御系统、下一代防火墙等)联动,为第三方网络安全产品提供动深度未知威胁分析检测能力,从而实现精准的在线阻断防御,形成更加完备、更加健壮的信息安全防护体系。