性能特点
产品概述
360文件威胁分析系统是一款专门检测恶意文件的软硬一体化设备,尤其是免杀、高级恶意代码、钓鱼邮件等高级网络攻击。该系统综合采用了静态检测、沙箱动态检测、威胁情报检测、机器学习等7种检测技术,拥有强大的逃逸对抗技术,能实现高检出、低误报,有效识别存在或潜在的恶意文件威胁。
功能架构
产品功能
1. 文件类型识别
支持office、网页、压缩包、脚本、图片、程序文件等70余种主流文件类型、自定义文件类型及无后缀文件智能检测。
2. 七大引擎防御
集成HASH检测、内容检测、CVE检测、动态沙箱检测、YARA规则检测(支持自定义YARA检测规则)、机器学习检测、机器学习威胁判定七大检测引擎进行文件威胁深度检测与分析,既可以快速发现漏洞利用、木马、蠕虫、病毒、黑客攻击等已知恶意威胁,也可以识别未知木马、未知网页挂马、0Day漏洞、NDay变种漏洞等高级威胁。
3. 恶意样本深度分析
针对恶意文件的威胁等级、影响范围进行评估,并输出文件威胁检测结果、威胁报告、概要报告、原始日志报告、动态行为分析报告以便安全运营人员进行调查取证和溯源分析。
4. 威胁情报反哺
支持对样本威胁行为进行深度挖掘,通过静态字符串(潜在)、API、网络通信提取Pcap中的IP、域名、URL提炼出威胁情报加入文件检测黑名单进行威胁检测能力反哺。
5. 多源样本获取
既可以通过流量还原、API上传、Web上传、URL下载等方式获取文件进行检测,也可以通过标准的数据接口外发检测结果和报告提升第三方安全设备文件检测能力。
核心优势
客户痛点
部署方案
360 文件威胁分析系统标准版(FAS)是不带文件还原功能,需与具备文件还原功能的第三方安全设备搭配使用或定制文件上传工具,将待检测文件上传至系统,系统对上传的文件进行检测,系统检测到威胁,通知用户干预或者工具自动处置。用户也可以通过系统的后台管理界面查看文件检测结果及详细报表。
360 文件威胁分析系统企业版(FAE)属于全功能版,自带文件还原功能,可直接旁路镜像部署在核心交换,将网络中原始的流量还原成协议会话和文件,系统再对还原出来的文件进行静态+动态技术结合的深度分析。一方面,用户可以通过Web管理界面查看检测的详细结果用于分析和取证,另一方面也可以通过标准的数据接口把检测结果上传给安全分析平台进行展示分析。补充安全分析平台文件威胁分析能力。
应用场景
