产品介绍

全流量实时检测 全要素追踪溯源

安天探海威胁检测系统，简称探海（英文名：Persistent Threat Detection System ，PTD），是安天自主研发的网络威胁检测设备。探海通过旁路部署，能够实现全流量、高精度的网络威胁实时捕获和检测，定位威胁源头并监控各种攻击行为；通过对元数据、脆弱性数据、资产信息、安全事件、运行状态、审计日志、威胁情报等信息的全要素、细粒度的记录，提升了对定向攻击、高级威胁的发现和溯源能力，从而达成对潜在威胁、未知威胁的持续检测效果。在针对高价值资产的网络攻击愈演愈烈的现状下，安天探海面向关键信息基础设施和重要IT资产，集网络流量捕获检测、文件还原、文件分析于一体，使用户具备威胁持续采集、快速发现、及时响应的能力。

功能介绍

1.多维度流量捕获与监测

探海支持从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行全流量检测，同时可获得威胁信誉、威胁名称、核心行为等多个维度的信息。多层次的检测可以保证获取的数据更丰富，检测的内容更多且方法更多样化。探海能够监测攻击者在正式行动前的扫描探测活动以及针对网站、邮箱建立的命令控制通道，结合情境化分析技术，能够大幅提供网内高价值目标的快速布防和威胁定位能力

2.未知威胁监测发现能力

探海内置可以检测超过800余万种病毒、木马、蠕虫等恶意代码，以及多种网络攻击行为，并准确提供病毒类别、名称变种版本、风险级别和病毒能力等相关信息，帮助用户获得最准确的检测结果。

配合追影威胁深度分析系统，可为用户提升发现未知漏洞利用的能力，发现未知恶意程序的能力，发现远程控制木马控制指令及命令控制通道的能力

3.追踪溯源、取证分析

探海利用独有的威胁追踪技术，可实现对已公开或未公开的高级威胁进行持续追踪，通过定期提供威胁追踪包，可帮助用户实时掌控网内的威胁变化趋势，提早发现高级威胁，避免受到高级威胁的侵害。威胁追踪是针对特定的威胁事件进行的，可同时协助相关部门进行应急取证等工作。

产品优势

1.流量全要素采集，细粒度精细化分析

探海针对网络流量中的数据进行协议解析与内容还原，在此过程中，探海将IP、域名、URL、文件、账户信息等网络元数据进行采集。

探海能针对可执行的载荷进行模拟执行和向量提取，获取载荷的行为特征。丰富的数据可为关键威胁揭示以及态势跟踪提供数据基础。

2.标签化筛选、定制化检测赋能，构建攻击者无法预知的网络防御能力

探海将网络事件标签化，多种不同的标签进行组合构建成事件场景，再根据场景提炼检测规则，最终通过特定的检测规则有效的对威胁进行检出。探海依据用户网络的特点定制检测规则，支持每个用户根据其业务特点和应用场景构建其独有的威胁监控策略，配合探海深度的网络场景关联分析能力，为用户提供攻击者无法预知的网络防御能力。

3.自主威胁检测引擎，海量威胁情报支撑

依托安天17年专业反病毒经验与能力积累，基于安天自主研发的AVL SDK反病毒引擎，使探海具备了对大量的、已知的恶意程序的过滤能力反病毒引擎可以提供网络数据流、URL、主机文件等多种检测能力。AVL SDK作为最快速的网络病毒检测引擎，可使用海量的本地病毒库，内置三千万条高质量病毒特征，检测800余万种病毒样本。依靠强大的病毒库，探海可直接对已知威胁进行有效识别，不仅能够大幅提高探海的识别率还可明显减少动态分析的检测噪音，从而使系统更专注于分析未知的高级威胁。

应用场景

1.互联网出口部署

PTD互联网出口部署示意图

探海可连接到用户网络核心交换机的镜像端口，对进出用户网络的流量进行实时检测。

2.内网部署

PTD内部网络部署示意图

探海可灵活部署在内网中任何交换机的镜像口处，可针对特定服务内容进行检测，从而检测到病毒在网内的横向移动，定位威胁源头

3.分布式部署

PTD分布式部署示意图

探海支持多级分布式部署，适用于多分支机构、中心统一呈现检测数据的场景。

4.联动部署

PTD联动部署

探海可与安天追影联动，借助安天追影卓越的文件分析鉴定能力，更加准确地呈现网络安全态势。