高级网络威胁检测系统有哪些检测能力?
- 威胁情报:内置字节安全全网威胁情报检测,对于恶意源IP、恶意域名的访问流量进行精准识别。支持自动更新。检出内容包括:木马病毒、恶意软件、热门漏洞、后门、重保情报等。
- 基础防御检测:是利用了字节跳动在攻防实战中长期积累的入侵检测规则,能够覆盖常见的网络攻击类型,识别率高,误报率小。检出内容包括:SQL注入、命令注入、WEB后门、弱口令、代理隧道、DGA域名等多种威胁类型。
- 虚拟补丁检测:针对热门漏洞、常见漏洞、高危漏洞的漏洞利用攻击手法进行检测,包括反序列化漏洞、系统漏洞、软件漏洞等多种漏洞利用攻击类型。
- 智能防御:采用了机器学习算法和行为分析模型等多种大数据分析技术,去发现潜在风险,包括勒索、挖矿、隐蔽隧道、代理穿透、DGA域名、弱密码等多种威胁。
- 文件威胁检测:支持HTTP协议中文件审计还原,并能够有效识别exe, dll, zip, rar, elf, gzip等多种类型的恶意文件。
- 邮件数据分析:支持SMTP等邮件协议审计还原,并能够识别出病毒邮件、钓鱼邮件、邮件泄密等安全风险。
高级网络威胁检测系统是否支持攻击拦截?
高级网络威胁检测系统不支直接对攻击进行拦截,可以通过配合使用火山引擎云防火墙对外部攻击、主机异常外连等威胁进行拦截防护。
高级网络威胁检测系统是否支持多少种协议解析?
目前高级网络威胁检测系统支持20+种协议解析,包括不限于TCP、UDP、ICMP、HTTP、HTTPS、RDP、DNS、FTP、POP3、SMTP等常见协议。
高级网络威胁检测系统规则库更新频率?
普通规则每两周更新一次,紧急严重规则即时更新,火山引擎内部有专门的安全专家团队持续建设优化检测规则,当发现紧急严重漏洞和热点事件时,则会立即推出检测方案,即时更新规则库。
机器学习有无学习进度可视化展现?
大部分机器学习模型是在字节内部做模型训练,并将生成的建模结果形成规则上传到高级网络威胁检测系统规则库中,属于有监督机器学习,所以无进度可视。
高级网络威胁检测系统和WAF的区别?
- WAF主要是以静态检测为主,无法检出未知威胁,WAF只针对WEB业务防护,对于非WEB类业务没有防护能力。
- 高级网络威胁检测系统,除了静态检测外,还支持行为分析、机器学习、关联分析、大数据建模等技术,能够发现静态规则无法检出的未知高级威胁,并且高级网络威胁检测系统支持全流量采集,解析分析2-7层主流20+协议,实现全流量检测,帮助用户完成全网安全可视。
高级网络威胁检测系统和主机安全的区别?
- 主机安全是通过安装agent采集主机日志,并利用特征分析、行为分析、威胁情报等技术,发现主机的异常行为,包括暴力破解、挖矿、命令执行、恶意文件等多种威胁。
- 高级网络威胁检测系统是通过流量检测,以网络流量作为数据源并应用特征分析、威胁情报、行为分析、关联分析、机器学习等技术发现已知网络攻击和未知威胁,检出内容包括:勒索、挖矿、隐蔽隧道、漏洞攻击、暴力破解、僵木蠕虫等事件。NTA与主机安全分别从流量侧和主机侧不同维度对网络安全进行监测,共同生效,相互补齐,保障网络安全。
高级网络威胁检测系统是否支持病毒检测?
支持,NTA支持还原并识别流量中exe, dll, zip, rar, elf, gzip等多种类型的恶意文件。NTA同时支持邮件数据分析,支持SMTP等邮件协议审计还原,并能够识别出病毒邮件、钓鱼邮件、邮件泄密等安全风险。
高级网络威胁检测系统具备哪些销售许可资质?
具有NIDS销许和网络防病毒销许两种销售许可资质。