華為Firehunter6000系列沙箱

                    更新:2018-12-05 16:48:25      點擊:
                    • 產品品牌   HuaWei
                    • 產品型號   Firehunter6000系列
                    • 產品描述

                      近年來,眾多跨國公司甚至國家政府機構都飽受黑客的攻擊,不僅在經濟上遭受巨大損失,甚者還會泄露國家機密,對國家安全構成威脅。而攻擊者利用的就是0-Day漏洞、高級逃逸技術等多種技術的組合,它們可以繞過現...

                    產品介紹

                    近年來,眾多跨國公司甚至國家政府機構都飽受黑客的攻擊,不僅在經濟上遭受巨大損失,甚者還會泄露國家機密,對國家安全構成威脅。而攻擊者利用的就是0-Day漏洞、高級逃逸技術等多種技術的組合,它們可以繞過現有的大部分安全設備,躲避多層次的網絡防護和過濾,最終達到竊取關鍵信息資產、破壞企業IT基礎設施等目的。由于此類威脅的目標多是針對經濟或政治價值大的目標,造成的破壞程度極大,所以人們命名此類威脅為APTAdvanced Persistent Threat,高級持續性威脅)攻擊。APT攻擊通常是定向型攻擊,主要攻擊涉及國計民生的基礎設施,例如能源、金融、交通等。攻擊者每次攻擊前都會通過社會工程學收集目標IT系統的信息,從而通過這些信息有針對性地制定攻擊入侵方案。例如攻擊者收集到目標IT系統的已知漏洞或者0-Day漏洞,通過這些脆弱點滲透進入企業內部,并在企業內部擴散,最終獲取到關鍵信息資產或者對目標IT基礎設施造成破壞。 FireHunter6000沙箱是華為公司推出的新一代高性能APT威脅檢測系統,檢測未知惡意文件滲透和 C&C惡意外聯。通過還原交換機或者傳統安全設備鏡像的網絡流量,在虛擬的環境內對網絡中傳輸的文件進行檢測,實現對未知惡意文件的檢測。FireHunter6000沙箱面對高級惡意軟件,通過信譽掃描、實時行為分析、大數據關聯等本地和云端技術,分析和收集軟件的靜態及動態行為,憑借獨有的行為模式庫技術,FireHunter6000沙箱根據分析情況給出精確的檢測結果,對“灰度”流量實時檢測、阻斷和報告呈現,有效避免未知威脅攻擊的迅速擴散和企業核心信息資產損失。特別適用于金融、政府機要部門、能源、高科技等關鍵用戶。

                    產品特點

                    全面檢測,有效防護未知威脅

                    1.全面的流量還原檢測:具備流量還原能力,可以識別主流的文件傳輸協議如HTTPSMTPPOP3IMAPFTP等,從而確保識別通過這些協議傳輸的惡意文件。

                    2. 模擬主流的操作系統和應用軟件、動靜結合檢測多維分析

                    1) Firehunter可以模擬多種軟件運行環境和操作系統。Firehunter沙箱又分PEPDFWeb啟發式沙箱和虛擬執行環境沙箱,啟發式沙箱可分別模擬可以模擬Internet Explorer等瀏覽器、OfficeWPS等辦公軟件,虛擬執行環境可模擬多種Windows操作系統。文件在其中執行,跟蹤執行狀態和結果做分析。

                    2) FireHunter能夠動靜結合檢測。通過靜態分析,包括代碼片段分析、文件格式異常、腳本惡意行為分析等,來縮小可疑流量范圍;通過指令流監控,識別文件、服務操作,來進行動態分析,最后通過行為關聯分析,判斷定性。

                    3) FireHunter具有高級抗逃逸技術,能夠通過檢測利用交互、執行文件路徑檢測、虛擬機環境檢查、延時對抗、環境檢測等技術的高級逃逸手段,防止惡意軟件潛伏、躲避虛擬機檢測,快速檢測惡意文件,并給出檢測結果。

                    3. 支持主流文件類型檢測

                    1) Firehunter可以對主流的應用軟件及文檔進行惡意代碼檢測,包括支持WordExcelPPTPDF HTMLJSEXEJPGGIFPNGZIPSWF等軟件及文檔。

                    2) Firehunter支持WEB流量檢測:Firehunter6000沙箱可以對基于WEB的惡意代碼的檢測,支持Web頁面零日漏洞檢測技術,該能力在國內同類產品中是唯一支持的。支持該技術的廠家全球范圍內也僅有兩家,使FireHunter發現未知威脅的效率大大增加。

                    秒級響應,快速攔截未知威脅

                    1.業內一流的性能:華為提供業內一流的Firehunter6000沙箱分析能力,每天可以分析7萬個樣本,同時支持通過水平擴容方式組成分析集群。

                    2.提供準實時的處理能力:Firehunter6000沙箱提供接近實時的處理能力,有效的將對高級威脅的檢測的響應時間從幾周降到秒級,并與下一代防火墻配合實現在線防御能力。

                    C&C外聯異常檢測,發現內部向外的異常通信

                    由于惡意文件通常通過釣魚郵件、水坑式攻擊等方式下載到宿主主機,攻擊者不能主動感知是哪些文件被下載,宿主主機的狀態等。所以一旦惡意文件滲透進入內網,這些文件通常都會通過宿主主機發起向命令與控制 (Command & Control,簡稱C&C)服務器的連接,用來獲得指令進行攻擊活動,包括獲取攻擊開始的時間和目標,上傳從宿主主機偷竊的到的信息,定時給感染機文件加密勒索等。黑客往往在惡意軟件中植入程序,使其生成對應C&C主機IP的大量隨機外聯域名,通過DNS協議外聯C&C 主機的真實IP,達到不被檢測、長期通信的目的。

                    沙箱主要通過分析DNS協議和HTTP協議流量信息檢測出C&C通信異常。沙箱預置大數據機器學習算法生成的DGA域名識別模型,獲取DNS報文中的域名信息,基于此域名字符串特征進行識別,判斷是否是DGA域名。沙箱提取HTTP連接中域名的信息,與域名黑名單、DGA域名檢測結果進行關聯分析,判斷域名/IP地址是否是惡意域名或者僵尸主機IP,對匹配的HTTP連接報威脅事件。

                    IOC可機讀情報,共享外部可機讀APT組合式攻擊情報,快速準確檢測、預警行業/區域已知APT威脅

                    FireHunter也可輸出具有豐富內容的可機讀情報IOC (Indicators of compromise,簡稱IOC),幫助分析師、風險官和部門運維人員等研究、解釋、分析、交付相關問題和事件。IOC表明了入侵行為的可觀測對象,沙箱提供北向接口,向第三方輸出根據文件檢測結果輸出的IOC主機感染特征情報,包括文件、注冊表、進程、驅動、模塊信息;還包括網絡感染特征情報,包括IP、域名、URL、文件hash 信息。沙箱開放南向接口API,可利用外部可機讀組合式攻擊情報,快速準確檢測、預警行業、區域已知高級威脅。

                    輸出詳細威脅報告,幫助運維、快速決策

                    包括文件檢測信息,威脅行為分類和動態行為。文件檢測信息包含文件詳情、檢測結果、文件相關會話信息;威脅行為分類從11個維度分類威脅行為,包括文件格式異常、文件行為異常、網絡通訊異常等威脅;動態行為展示虛擬執行環境信息,分析網絡行為和主機行為。

                    產品部署模式

                    1.與NGFW/NIP聯動部署:NGFW/NIP負責還原文件,并將需要檢測的文件送到沙箱進行檢測。

                    2. 單機獨立部署:通過鏡像的方式,先將流量鏡像到沙箱,沙箱進行流量還原,還原出文件,并對文件進行檢測。鏡像部署支持設備鏡像口鏡像,也支持分光模式。該部署場景下,沙箱只對附件進行檢測,攔截的功能由相關的安全設備實施

                    典型應用

                    1. 互聯網邊界出口:重點防范來自互聯網的惡意郵件、惡意web流量等。

                    2. 分支接入邊界:避免外聯接入區域惡意文件、未知威脅擴散,分支總部之間任意擴散。

                    3. 數據中心邊界:重點保護服務器核心資產,發現內網潛伏的攻擊、惡意掃描,滲透等。

                    4. 核心部門邊界:防范內網可疑文件傳播,橫向感染核心部門。

                    支持的流量還原類型

                    支持多種協議還原-支持httpsmtppop3imapftp協議的流量還原

                    支持檢測的文件類型

                      壓縮文件-gzrarcab7ziptarbz2zip

                      PE-exedllsys(不支持對32PE格式文件的檢測)

                      office97-2003-docxlsppt

                      office 2007及以后      docmdotxdotmxmsmxmtxxltmxlam pptmpotxpotmppsxppsmppam

                       圖片-jpgjpegpngtifgifbmp

                           WPS-wpsdtdps

                           WEB頁面-htmhtmljs

                           視頻-swf

                           java       -jarclass

                           pdf-pdf

                    Python-pypycpyo

                    可執行腳本-cmdbatvbsvberubyps1py

                    內置AV檢測 C&C異常檢測

                      沙箱內置AV,除支持上述檢測文件類型,還支持檢測chmaspphpcom elf格式文件

                    C&C惡意服務器外聯

                      基于DGA域名檢測算法,檢測C&C外聯隨機惡意域名檢測

                    報告輸出

                      輸出詳細惡意文件檢測報告,包括文件檢測詳情、上威脅行為分類、動態行為分析等

                    IOC可機讀威脅情報   

                      輸出豐富機讀情報IOC (Indicators of compromise),提供南北向接口共享情報
                    更多產品
                    国产a国产片