■静态威胁检测

  产品对各类常见网络流量进行深度协议解析，记录流量元数据，还原上层承载文件，基 于流量特征及文件特征进行静态威胁检测，能够发现各种已知的恶意攻击行为。 产品内置入侵检测特征库（IDS），能够有效检测各种常见的网络入侵、漏洞扫描和 SQL 注入等恶意攻击，支持自定义攻击特征，支持 ASCII 码、十六进制和正则等多种表达方式； 产品内置恶意文件检测特征库（AV），并支持集成多 AV 特征库，能够检测各种常见的已 知病毒、木马、蠕虫和僵尸网络等恶意文件； 产品还支持文件黑白名单机制，能够针对特定文件进行精准检测或针对文件误报进行免检过滤。 
■动态威胁检测
      动态威胁检测是产品的核心功能模块，能够发现传统特征库检测模式无法发现的 APT攻 击或针对性攻击。 产品内部建立了数十个沙箱虚拟运行环境，将待检测文件在特定的沙箱中触发运行，通 过观察并记录文件在运行过程中的所有网络行为、注册表行为、文件行为、进程行为、服务 行为等多种日志，结合行为知识库来判断该文件是否为恶意文件。 沙箱虚拟环境可以分为两类：系统级沙箱和应用级沙箱。系统级沙箱模拟一个完整的操 作系统，能够检测各类可执行文件、批处理文件、脚本文件及动态链接库等；应用级沙箱则 针对性模拟某些常见的应用程序（比如 office 和浏览器等），能够并行、高效地检测该类应 用程序对应的恶意文件。沙箱支持各种反逃逸特性，能够有效检测目前已知的各种逃逸动作。 产品支持网络仿真技术，能够有效触发并检测恶意文件在运行过程中的各种网络行为。 目前支持仿真 ICMP、DNS、FTP/TFTP、HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S 等多种网络协 议。 此外，产品还实现了沙箱数量自适应特性，能够根据检测队列的压力大小动态调整沙箱 数量，以达到更高的检测效率和资源利用率。
■机器学习检测
     产品内部实现了利用机器学习检测模型来进行威胁检测的功能，目前已经嵌入的检测模 型包括 webshell 检测模型、PE 检测模型和 DGA 检测模型等。利用这些机器学习建立的模型， 能够实现对网络中传播的恶意 webshell 文件、恶意 PE 文件及恶意域名的快速检测。机器学 习检测模型使用离线学习、定时更新的策略来实现检测模型的动态更新。 
■威胁情报检测
       产品引入了威胁情报技术，定时向云端威胁情报库请求刷新，发现有最新的威胁情报则 快速更新到本地并实时生效。云端威胁情报库融合了国内外最新的威胁情报，利用威胁情报 能够快速发现恶意 IP、恶意域名、恶意 URL、恶意 email 以及恶意文件等各类威胁信息，协 助定位内网失陷主机和外部攻击源。 威胁情报检测支持整体开关以及细粒度配置，可以根据实际需要开启或关闭某类情报。 匹配了威胁情报的网络流量将生成威胁情报事件，在产品界面上可以根据 IP 地址、威胁种 类、情报类型、流量来源等多种条件进行详细筛选和查询，并支持输入特定 IP 或域名到威 胁情报库中进行查询。 系统支持自定义恶意 IP 或恶意域名类威胁情报，可通过 excel 格式导入或导出。
■自定义异常检测
       产品支持自定义规则功能，允许管理员随时添加、删除或修改各种异常流量检测策略， 对电子邮件传输、web 访问、远程控制、文件传输以及特定网络端口进行精细化检测和异常 发现。 在自定义规则中，管理员可以指定 IP 地址、邮箱账号、邮件关键字、网站地址、网站 关键字、文件名称、文件内容关键字、协议名称、端口列表等内容对异常流量进行实时检测， 还支持对几种常见的远程控制协议进行检测和发现，以实现安全管控的目的。 匹配了自定义规则的网络流量会生成相应的自定义事件，作为各类基础事件之一，支持 通过告警名称、类型、级别、IP 地址、流量来源等内容进行深度搜索和过滤。
■嵌套压缩文件检测

恶意软件为了掩人耳目、躲避检查，经常会把自己隐藏在多级嵌套压缩文件里面。为有 效解决此类问题，产品支持对多级嵌套压缩文件进行检测，能够将压缩文件层层解压，针对 每一层级的文件都进行独立检测，以发现隐藏在多级压缩文件中的恶意文件。 目前支持的压缩文件格式包括：zip、7z、rar、cab、gzip、tar 等。 

■多维关联分析

  产品内置基于复杂状态机的关联分析引擎，可以对各种检测模块输出基础事件和威胁情 报等进行多维度关联分析，提高安全事件告警的准确性，降低误报。

  主要包括： 1、沙箱行为日志关联：基于内置的行为模式规则库，能够对沙箱输出的行为日志以及 相关安全数据做灵活的关联分析，全面覆盖对各类文件威胁的检测；

                    2、威胁情报关联：支持对各类日志数据进行多维度威胁情报关联匹配，包括恶意 IP、 恶意域名、恶意 URL、恶意 Email 等。

                    3、告警和流量日志关联：对于各安全分析引擎产生的告警事件，通过关联分析能够实 现事件跟相关流量日志的关联，以提高告警的准确性。比如，将 SSH 暴力破解攻击事件与 SSH 连接的状态码进行关联，可以确认 SSH 暴力破解是否成功。       

                    4、基础事件关联：基于已有的安全分析经验，根据典型攻击场景设置关联分析规则， 刻画攻击所处的阶段，将一次攻击过程触发的多条相关基础事件组合成完整的攻击链，便于 对攻击进行回溯分析。产品已内置若干关联分析规则，覆盖了各种常见的攻击场景。 

■流量元数据提取

产品支持流量元数据提取功能，通过深度协议解析，能够对网络流量进行细粒度分解， 提取其中的关键信息，比如网络会话元数据信息、邮件收发件人、邮件主题、邮件正文、邮 件附件、网页 URL、POST 请求、响应码、DNS 访问记录等，并可以将这些信息发送至外部其 他平台，如态势感知或综合日志审计系统等。 针对 http 协议，产品支持代理场景下的主机溯源功能，能够通过流量分析和元数据提 取将真正的原始主机 IP 地址还原出来，而不是只显示代理主机的 IP 地址。

■联动阻断防护

旁路部署的安全设备很难对发现的威胁或攻击进行及时的阻断，为了达到阻断目的，产 品增加了设备联动阻断防护功能，目前支持以下两种联动方式： 

（一）被动方式 产品提供联动 API 接口，防火墙或 IPS 等直路部署的安全设备使用该 API 接口来提交 文件或其他数据进行威胁检测，产品在检测完成后返回检测结果，防火墙或 IPS 根据结果来 决定采取什么样的动作，比如阻断或隔离等。 

（二）主动方式 产品通过流量镜像自行检测分析流量中是否存在威胁，一旦发现则通过预先确定的联动 接口来向直路部署的安全设备（比如防火墙）下发相应的联动动作，以阻断威胁的进一步传 播。除此之外，产品还支持将自身发现的安全事件以 syslog 或其他格式发送给其他大数据 平台，由该平台联动防火墙等设备进行阻断防护。 

■威胁溯源取证

 基于流量日志审计和流量数据存储，产品能够有效的实现威胁溯源取证功能，将流量审 计日志等元数据保留在本地磁盘上，通过强大的搜索过滤功能，支撑客户进行多种条件的混 合检索。除此之外，产品还具备原始流量存储能力，用户可以自定义存储策略，对原始流量 进行灵活的存储，目前支持全量存储、异常流量存储以及自定义 IP 范围存储，能够有效涵 盖多种应用场景。 

通过流量审计功能，客户可以在发现网络攻击或高级未知威胁后，通过流量日志检索功 能锁定关键的网络会话，以及可以作为证据的原始流量报文，为深入分析和事件调查提供有力支撑。