产品概述

绿盟全流量威胁分析解决方案针对原始流量进行采集和监控，对流量信息进行深度还原、存储、查询和分析，可以及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为，保障重要信息系统的网络安全。

绿盟全流量威胁分析系统TAM
绿盟全流量威胁分析系统TAM利用大数据技术对解析还原的流量数据进行存储、挖掘；结合探针智能检测告警进行关联分析，发现APT事件，同时可进行溯源分析。

绿盟统一威胁探针UTS
绿盟统一威胁探针UTS采集镜像流量数据，对流量数据进行逐层解码和解析，提取流量数据、PCAP包数据，并具备入侵检测、web攻击检测等多种检测能力。

绿盟高级威胁检测TAC
绿盟高级威胁检测TAC提供恶意文件检测功能，基于沙箱检测引擎，可以动态虚拟执行各类文件及应用程序，并将检测结果上报至TAM进行进一步处理和分析。

绿盟威胁情报系统NTI
绿盟威胁情报系统NTI提供威胁情报功能，通过与情报的有效结合，可以实时获取全球最新的热点事件和信息，大幅提升安全威胁事件的可信程度。

特性

01
全流量解析与存储
支持TCP、UDP、HTTP、FTP、数据库等多种协议数据的解析与提取，通过白名单，多通道，数据压缩以及自主研究的反序列化方法、大数据技术等提升数据采集处理能力，可实现海量数据的流量解析与存储。
02
多种威胁检测手段
支持规则检测引擎、沙箱检测引擎、威胁情报引擎、机器学习引擎等多种威胁检测手段，具备漏洞利用、木马病毒、暴力破解、SQL注入、DDOS攻击、扫描攻击、虚拟机逃逸、等多种攻击检测能力。
03
多种机器学习算法模型
机器学习检测引擎能有效检测未知威胁，支持蠕虫传播、暴力破解、恶意URL、C&C异常、webshell、隐蔽隧道、钓鱼检测、恶意加密流量等的检测模型。
04
灵活的自定义业务检测能力
除内置检测模型外，支持自定义黑名单（如IP、URL、域名、文件MD5黑名单等）、自定义规则、自定义检测插件的方式，可灵活按需扩展所需的威胁检测场景。

客户价值

01
拒绝海量告警，提升运维效率
基于多种规则引擎分析产生的告警日志、流量日志进行威胁关联、评估，事件压缩比可达2000：1。并从重点事件、失陷资产、攻击者画像三个维度进行分析，直观呈现重要的检测结果，大大提升运维效率。
02
攻击有证可查，协助确认攻击
基于全量留存的流量日志以及PCAP包取证功能，可在发生攻击事件后下钻原始流量日志以及调取PCAP包进行调查取证，协助确认攻击是否成功,真正做到攻击有证可查。
03
攻击不漏，应急无忧
在重大漏洞应急时可以排查资产漏洞利用情况，做到“零时间风险窗口”的快速响应；在样本披露发生时，可以提供抵御攻击者的应变手段，并且基于恶意样本历史通信流量，做事件的深入调查。
04
主动威胁追踪，而非被动等待
使用大数据技术实时分析流量中的一些重要信息，包括流量大小，会话数，应用、响应码等，快速直观反映业务的运行情况，提供全流量数据的交互式查询工具，支持安全专家威胁追踪。

成功案例

某运营商客户全流量案例
某运营商客户，接入15G流量进行检测，实现流量监控、威胁分析，并结合业务检测需要自定义木马外联域名、XBASH僵尸网络C2通信以及服务器下载危险文件的检测场景。
某运营商客户全流量案例
某运营商客户，接入15G流量进行检测，实现流量监控、威胁分析，并结合业务检测需要自定义木马外联域名、XBASH僵尸网络C2通信以及服务器下载危险文件的检测场景。
某运营商客户全流量案例
某运营商客户，接入15G流量进行检测，实现流量监控、威胁分析，并结合业务检测需要自定义木马外联域名、XBASH僵尸网络C2通信以及服务器下载危险文件的检测场景。