APT威胁侦测设备

亚信安全深度威胁发现设备TDA是一款360度的网络流量分析产品，该产品是亚信安全自主研发，且完全拥有自主知识产权的产品。通过TDA设备，可掌握全 网络的流量来侦测并响应APT攻击与未知威胁。TDA可扫描网络第2层至第7层的数据流量，包含100多种通讯协议的应用如HTTPS，HTTP，FTP，TFTP，SMTP，POP3，IMAP，SNMP，IRC，DNS，DHCP，P2P，SMB，RDP，VNC，TELNET，TCP，UDP和数据库协议（MSSQL,MySQL,Oracle）等，为用户提供较全的网络威胁侦测。

●    TDA可以支持Webshell检测： ghost webshell，PHP webshell2，ASP webshell1，PHP webshell3，PHP Webshell4，ASP webshell_2等

●    TDA支持常见漏洞检测：支持Tomcat写文件漏洞，ImageMagick命令执行漏洞，ElasticSearch 命令执行漏洞，Samba 远程命令执行漏洞等漏洞检测

●    TDA支持如下黑客工具攻击检测：Cknife，SQLmap，havij，awvs，Nmap，pangolin，EarthWorm，sql综合利用工具，dirbuster，w3af，OWASP ZAP 2.6.0，Bbscan，OpenVAS，Golismero security scanner等

●    TDA支持威胁流量与协议异常检测 ，如零日攻击、网络蠕虫、木马、后门、僵尸、间谍软件、网络漏洞、网页威胁（网页漏洞、跨网站攻击）、钓鱼邮件、暴力攻击、数据库注入攻击等

●    TDA支持定制化黑白名单检测：支持将企业长期累积的黑白名单（如IP/URL/Domain/File SHA1） 汇入TDA实行侦测或是排除。

TDA采用三层式的侦测方法，一层是静态分析，第二层是动态分析及行为侦测，第三层是事件关联，目的就是为了发掘隐匿的攻击活动。TDA根据静态分析、动态分析、事件关联的汇总分析结果来实现威胁侦测的可视化。其独特的侦测引擎加上定制化沙箱动态模拟分析，能快速发掘并分析恶意文档，恶意软件、恶意网页，C&C通信数据以及传统防护无法侦测到的定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应，并可自动与亚信安全产品或第三方情报中心透过公开标准分享情报，建立一个实时的定制化体系来防范黑客攻击。

一层静态分析：

1）恶意文件侦测：通过内置的病毒代码匹配，能够侦测各种文件型病毒，如木马、僵尸、后门等；

2）恶意行为分析检测：通过内置的行为分析技术，能够侦测威胁流量与协议异常威胁，如零日攻击、网络蠕虫、木马、后门、僵尸、间谍软件、网络漏洞、网页威胁（网页漏洞、跨网站攻击）、钓鱼邮件、暴力攻击、数据库注入攻击等。

第二层动态分析：

1）虚拟化沙盒系统：支持用户本地化环境定制为沙盒系统；

2）具有安全风险评估技术分析：包含针对注册表、内存、程序、网络活动、文件系统等操作系统环境的变化进行记录与分析；

3）广泛的文档分析支持：各种Windows可执行程序、OFFICE文档，FDF、Web内容、各类压缩文件。

第三层事件关联：

通过多协议关联分析技术，能够自动关联不同协议、不同会话的威胁日志，发掘隐匿的攻击活动，实现威胁侦测的可视化。

TDA具备PACK流量包存储功能，可以针对检测到的安全攻击事件进行单独预存数据包，便于用户下载PACK流量包进行深入分析；TDA设备也可以对其扫描过的全流量进行存储，支持用户在一定时间内，基于单IP地址进行回溯，并支持下载回溯的流量包。

功能特性

●    简单易用，快速部署

TDA 为一网络旁路侦测设备，主要对于网络镜像流进行多网络层的分析（网络层从第二层至第七层），部署快且运作时不影响部署环境的网络效能。全新设计的智能搜寻以及威胁分类界面，可以让安全管理员容易进行重要日志的快速查找以及定制化条件的日志报表输出。

●    云端大数据库倍增分析能力

TDA 能针对 APT 攻击提供网络防护，监控所有连接端口以及 100 多种通讯协议，分析所有进出的网络数据流量。通过其特殊的侦测引擎与定制化沙盒技术，能发现并分析攻击者使用的恶意文档，恶意软件、恶意网页，幕后操纵（C&C）恶意通讯，以及隐匿的攻击活动，提供调查情报让调查人员快速响应并阻止攻击。再加上亚信安全最早投产的全球 APT 情报数据库及全球最强的云安全智能防护网络（Smart Protection Network），可以让 TDA 在侦测大量的变种威胁以及利用零日漏洞的未知攻击上的侦测更具优势。

●    威胁预警，态势分析

大部分的威胁发现设备无法确切告知用户某攻击正在进行的阶段，以至于安全管理员在响应处理上无法采取更有效的策略。而 TDA 在攻击事件的分析上可具体呈现出每个 APT 攻击所在的阶段，帮助安全管理员针对事件所在的攻击阶段采取更有效率的响应策略以及作为。

●    联动响应，实时处理

作为亚信安全 APT 治理战略中的重要一环，TDA 可透过与亚信安全终端安全产品 OfficeScan，服务器安全产品 Deep Security，以及网络安全产品 Deep Edge 进行实时联动，从企业安全运营的各个重要环节实时阻断威胁的攻击活动。透过产品本身提供的 Web API 以及安全威胁情报共享标准 IOC ，企业的既有安全架构可充分利用 TDA 所产出的本地威胁情报进行集成和利用，持续累积强化企业自身的安全防护能力。

部署条件：具镜像流量输出功能的交换机

部署位置：TDA 可部署于总部与分支机构中间，数据中心出入口，办公网与互联网的边界，生产网与内网的出入口等等。一台 TDA 可同时接入不同部署环境的镜像流量，实行威胁的侦测分析。

亚信安全深度威胁发现设备TDA-硬件参数

型号	产品形态	配置类型	单位	硬件规格	功能模块	功能描述	使用场景
亚信安全深度威胁发现设备 TDA EE 380	软硬一体机	必选	套	接口数量:标配4个千兆电口 吞吐量:500Mbps 电源:250W*1 硬件外形:软硬一体化1U标准机架式设备; CPU:2核*1 内存:8G 硬盘容量:1T*1 闲置插槽:无	动态沙箱分析	通过内置沙箱对未知威胁进行分析，分析维度包含注册表、内存、程序、网络活动、文件系统等	等保/HW/数据中心 APT检测/威胁运维/网威胁流量监控/医疗、企业、教育、政府等中小型网络
					恶意行为检测	对威胁流量与协议异常检测 ，如零日攻击、网络蠕虫、木马、 后门、僵尸、间谍软件、网络漏洞、网页威胁(网页漏洞、跨网 站攻击)、钓鱼邮件、暴力攻击、数据库注入攻击等
					恶意文件检测	在网络层对文件进行还原与检测，能够侦测各种文件型病毒，如木马、僵尸、后门、蠕虫等
					威胁分析及联动验伤	提供主机威胁回溯调查的自动验伤功能，支持威胁类型包括勒索病毒、木马病毒、恶意代码、僵尸网络、钓鱼网站、渗透工具、挖矿网址、挖矿病毒、带毒邮件攻击等
亚信安全深度威胁发现设备 TDA EE 680	软硬一体机	必选	套	接口数量:标配4个千兆电口 吞吐量:1Gbps 电源:350W*2 硬件外形:软硬一体化1U标准机架式设备; CPU:2核*1 内存:16G 硬盘容量:1T*2 闲置插槽:1个全高	动态沙箱分析	通过内置沙箱对未知威胁进行分析，分析维度包含注册表、内存、程序、网络活动、文件系统等	等保/HW/数据中心 APT检测/威胁运维/网威胁流量监控/医疗、企业、教育、政府等中小型网络
					恶意行为检测	对威胁流量与协议异常检测 ，如零日攻击、网络蠕虫、木马、 后门、僵尸、间谍软件、网络漏洞、网页威胁(网页漏洞、跨网 站攻击)、钓鱼邮件、暴力攻击、数据库注入攻击等
					恶意文件检测	在网络层对文件进行还原与检测，能够侦测各种文件型病毒，如木马、僵尸、后门、蠕虫等
					威胁分析及联动验伤	提供主机威胁回溯调查的自动验伤功能，支持威胁类型包括勒索病毒、木马病毒、恶意代码、僵尸网络、钓鱼网站、渗透工具、挖矿网址、挖矿病毒、带毒邮件攻击等