安天追影威胁分析系统

产品介绍

        安天追影威胁分析系统,简称追影(英文名:Persistent Threat Analysis System ,PTA ),是安天自主研发的深度威胁分析设备。包含Windows分析环境、Linux分析环境和Android分析环境,其中Linux分析环境包括国产操作系统与开源操作系统。追影可对格式文档、可执行文件等对象进行深度安全分析,可有效检出各类已知威胁与未知威胁。追影作为专业反APT产品,是为政府以及各行业企事业单位等需要对文件进行深度鉴定与分析的机构设计开发的高级威胁深度分析系统。追影内置具有自主知识产权的专业反病毒引擎AVL SDK,结合海量病毒库和白名单库,可对已知威胁实现高精度检测,对白名单对象予以标注。依托安天十八年专业反病毒经验和对APT事件的持续分析与跟进能力,在面对高级威胁的情况下,追影具备动静结合全方位地分析能力,在检测精度、检测能力和检测速度等方面均显著优于仅依赖动态监测或开源系统的普通沙箱产品。

        追影可为态势感知系统提供丰富的研判信息。可输出针对不同环境下载荷文件的表现能力和潜在能力,进而为威胁的处置决策提供有效的数据支撑。也可输出C&C地址、窗口标题、互斥量等信标,作为同类检测规则来加速用户环境的安全改善。

  • 与安天产品联动,形成完整安全解决方案鉴定结果

            安天探海威胁检测系统可将网络流量还原为文件,并对文件的安全性进行判定,结合追影的深度鉴定能力,安天探海威胁检测系统可准确展现网络安全态势,为管理员了解掌握全网安全情况、做出安全预警、采取安全防护措施提供有力支撑。

    ...

    追影与安天探海威胁检测系统联动示意图

    ...

    追影与安天智甲联动示意图

             安天智甲可对网内所有终端(主机、PC等)进行安全防护,结合追影的深度鉴定能力,安天智甲可更快、更准确发现威胁并根据配置进行处置

  • 单独部署

             追影设备单独部署到用户内部网络中,对用户通过追影的Web页面,进行手动提交或者通过批量上传工具投放到设备中,然后对文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于未知样本分析与研究、已知病毒样本分析研判等。

    PTA单独部署示意图

  • 与第三方产品联动,增强第三方产品安全鉴定能力

    PTA单独部署示意图

    • 与防火墙联动:为第三方防火墙提供文件安全属性,帮助防火墙有效阻断内部、外部威胁;
    • 与FTP服务器联动:可对上传至FTP服务器的文件安全性进行鉴定用户可根据鉴定结果对文件进行相应的处理;
    • 与IPS联动:增强IPS产品的威胁识别能
    • 与OA系统联动:对文档进行鉴定分析,根据鉴定结果标识文件,方便对文件进行管理;
    • 文件存储服务器:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理,用户通过使用追影的标准API接口,将第三方产品与追影联动,第三方产品即会将文件投放到追影中进行鉴定。

交互式分析工具

产品介绍

        交互式分析工具是安天自主研发的面向威胁载荷、流量等进行逆向和深度分析的专用工具,也是安天分析团队的重要分析工具。
        主要有安全比对插件、逆向调试插件、流量分析插件等三种插件。其中:

  • 安全比对插件      包括安卓仿冒件检测、文件比对分析、代码反编译(Smali&Java)及Java反编译等。

  • 逆向调试插件      包括代码反编译(Smali&Java)、Java反编译、文件提取(Manifest、证书、资源、Zip包、字符串)、CFG控制流程图、安卓文件逆向脱壳及HTTP协议监控等。

  • 流量分析插件      包括HTTP协议监控HTTP封包格式解析自动化代理监听HTTP后端接口漏洞检测HTTP URL漏洞检测。