安天追影威胁分析系统(PTA)

featured-image

产品介绍

多环境威胁鉴定 多维度信标关联

安天追影威胁分析系统,简称安天追影(英文名:Persistent Threat Analysis System,PTA),是安天自主研发的深度威胁鉴定设备,可对格式文档、可执行文件等对象进行深度安全分析,有效检出各类已知威胁与未知威胁。安天追影是为政府、企事业单位、金融行业、安全分析团队等需要针对文件进行深度鉴定与分析的机构设计开发的高级威胁深度鉴定系统,为专业反APT产品。安天追影内置安天自主知识产权的专业反病毒引擎AVL SDK,结合海量数据病毒库和白名单库,追影可对已知威胁实现高精度检测,对白名单对象予以标注。依托安天17年专业反病毒经验和对APT事件持续多年的分析与跟进,追影对高级威胁具有更强的检测和分析能力,且在检测精度、检测能力和检测速度等方面均显著优于仅依赖动态监测或开源系统的普通沙箱产品。


功能价值

1.隔离网络文件进入检查

当用户需要将外部文件拷入内部隔离网络时,为保证网络的安全性,在文件拷入之前,可将外部文件投入到追影中进行鉴定,确定安全后再在内网中传播。

2.高级威胁事件追溯

当新APT事件发生后,用户可在当前追影数据中查询是否存在APT事件特征,验证网络的安全性。

3.恶意代码样本分析与研判

将发现的病毒样本投放到追影中,追影鉴定后输出的文件分析报告可为安全分析团队提供丰富有力的分析支撑资料。

4.邮件附件安全检查

追影可对邮件服务器接收和发送的邮件内容以及附件进行安全检查,邮件服务器管理员可根据追影鉴定结果,在服务器端制定灵活的管控策略,从邮件源头遏制恶意行为的扩散。


产品优势

全方位威胁行为揭示,情报输出支撑有效防御

1.快速高效的大批量文件分析能力

内置安天自主知识产权的专业反病毒引擎AVL SDK,搭载海量数据病毒库和白名单库,采用动态与静态相结合的恶意代码检测技术以及智能决策机制,依托安天17年专业反病毒经验与能力积累,使得追影可对大批量文件进行快速高效的分析,可支持分析的文件来源包括:追影Web界面批量上传工具、安全自有设备以及第三方安全产品等。

2.动静态结合,多向量提取,有效揭示恶意程序与0day攻击

追影采用动静结合的鉴定方式,配合独有的智能学习功能,可对格式文档、可执行文件、URL等对象进行深度安全分析,有效检出各类已知威胁与未知威胁。同时,追影具有种类丰富的向量提取能力,在文件尚未投入到沙箱的初始分析阶段,仅通过静态分析即可完成多种向量的提取;通过动态深度分析,可精准发现格式文档溢出和0day漏洞等攻击行为。

3.提供多种操作系统和应用软件组合,支持构建用户特有环境的检测能力

追影除了支持Windows和Linux及常见的应用软件外,同时也是国内首款支持自主可控国产操作系统(麒麟)环境沙箱和国产办公软件( WPS)的动态分析产品。追影可基于用户需求对指定操作系统和软件进行组合,以构建更符合用户实际使用场景的分析环境,赋予用户独有的威胁检测能力,使其面向定向攻击时具备更加有效的安全保障。


应用场景

1.与安天产品联动,形成完整安全解决方案鉴定结果
featured-image
追影与安天探海威胁检测系统联动示意图

安天探海威胁检测系统可将网络流量还原为文件,并对文件的安全性进行判定,结合追影的深度鉴定能力,安天探海威胁检测系统可准确展现网络安全态势,为管理员了解掌握全网安全情况、做出安全预警、采取安全防护措施提供有力支撑。

featured-image
追影与安天智甲联动示意图

安天智甲可对网内所有终端(主机、PC等)进行安全防护,结合追影的深度鉴定能力,安天智甲可更快、更准确发现威胁并根据配置进行处置。

2.单独部署
featured-image
PTA单独部署示意图

追影设备单独部署到用户内部网络中,对用户通过追影的Web页面,进行手动提交或者通过批量上传工具投放到设备中,然后对文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于未知样本分析与研究、已知病毒样本分析研判等。

3.与第三方产品联动,增强第三方产品安全鉴定能力
featured-image
PTA与第三方设备联动示意图

与防火墙联动:为第三方防火墙提供文件安全属性,帮助防火墙有效阻断内部、外部威胁;

与FTP服务器联动:可对上传至FTP服务器的文件安全性进行鉴定用户可根据鉴定结果对文件进行相应的处理;

与IPS联动:增强IPS产品的威胁识别能力;

与OA系统联动:对文档进行鉴定分析,根据鉴定结果标识文件,方便对文件进行管理;

文件存储服务器:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理,用户通过使用追影的标准API接口,将第三方产品与追影联动,第三方产品即会将文件投放到追影中进行鉴定。