安天追影威胁分析系统获创新产品(技术)奖
时间: 2018年09月05日
来源:安天
由国家计算机网络应急技术处理协调中心举办的本届中国网络安全年会新增了创新评选环节,以公平、公正、客观、权威的原则,公开征集评选我国网络安全领域创新产品和创新技术成果,并颁发奖励证书。经过材料征集、材料初审和现场答辩竞选三个环节,安天追影威胁分析系统(英文简称PTA,以下简称安天追影)获评“2018网络安全创新产品(技术)”奖。
追影是安天自主研发的深度威胁分析产品,其可以针对端点防护、流量监测、应急处置工作中采集、还原、提取的各种文件进行分析,发现各种格式漏洞、细粒度揭示文件执行行为,实现威胁情报生产。安天是国内恶意代码威胁自动化处理的先行厂商,2004年便已实现了每日全量新增文件的自动化识别处理和规则输出,奠定了海量威胁自动化处理的工作基础。并从2006年起,依托自动化能力,为安全合作伙伴提供对象鉴定和文件分拣服务,为部署安天产品的客户提供威胁响应和鉴定的支持。
随着安全威胁的发展,仅靠非黑即白模式的恶意代码对抗机制,易于被免杀、零日漏洞利用等绕过,而导致单点失效。高级别网络安全需求下,将所有不可识别的可执行文件全部提取留存鉴定,将流量侧所有可能是攻击载荷的文件留存还原鉴定,逐渐成为刚性需求,用户威胁鉴定所需要的响应周期不断缩短。同时,攻击载荷不再仅是传统的可执行程序、脚本文件,利用Office、PDF、WPS等格式文档,利用7z、ZIP等压缩包进行的各种格式攻击、重定向执行攻击不断增多。用户将文档文件提交给厂商进行安全鉴定,存在泄密风险,形成了文件判定的安全需求和保密要求之间的矛盾。
安天在2013年及时跟进上述需求,将后台分析能力进行剪裁封装,推出了追影威胁分析系统。建立了与安天端点防护、流量监测产品的联动能力,协助用户形成文件采集鉴定到威胁情报反馈的自我运行闭环。安天追影将安天针对高级网空行为体分析所形成的威胁情报向态势感知等产品输送,不断提升针对高级威胁的发现能力。
安天新版追影全面增加了对国产系统的环境模拟支持,利用安天下一代威胁检测引擎的向量拆解输出能力,形成与动态行为的验证,建立了基于标签逻辑的决策森林判定机制,支持用户定制向量级规则扩展,并将动静态向量转化为上层安全管控和态势感知平台可用的分析数据资源。通过这些特性的增强,获得了“2018网络安全创新产品(技术)”奖。
安天追影分析案例:
安天对CVE-2017-11882漏洞利用样本的检测与防御(https://mp.weixin.qq.com/s/ymq6jol8pPDUcCEgZ-yK9g)
安天追影对利用“0199”漏洞的病毒变种的监测与分析
(http://mp.weixin.qq.com/s/CJtrhy9XjnC9u77-Jt3rqQ)