一、方案背景

      利用第三方軟件比如Adobe、Office等的漏洞構造的惡意文件，其攻擊方式通常是誘使用戶下載該文件，當用戶運行該文件后，攻擊過程在本地后臺悄悄執行，通常會在用戶不知情的情況下進行啟動或下載后門程序等攻擊行為。由于攻擊的過程發生在本地，攻擊發生時網絡報文中沒有攻擊特征，因此傳統的IDS產品無法在攻擊過程中對該類惡意文件進行檢測。而且此類惡意文件構造相對復雜，理論上可以有無數種變形，單純通過對文件傳輸過程中的網絡報文進行特征匹配很容易造成漏報、誤報。要精確檢測該惡意文件的特征需要對各種文檔類型比如.pdf、.doc等等進行精確的解析，同時要掌握各種漏洞的詳細原理，在IDS設備上實現成本太高。APT檢測引擎可通過聯動接口與傳統IDS產品進行聯動。IDS等可將監測到的可疑文件通過聯動接口傳送至APT檢測系統，由APT系統進行動態沙箱檢測。系統檢測的結果也可以通過聯動接口傳送回IDS設備， 以作為IDS等傳統安全防護產品對于惡意文件類型的攻擊無法準確檢測的補充，做到全方位的防護。

二、方案設計

三、方案特點

◎精準的事件特征

對于病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS、網站掛馬、異常流量等惡性攻擊行為有非常準確高效的檢測效果。

◎智能化威脅分析與處理

內置的智能分析引擎能夠對上報的事件進行關聯分析，識別出重要報警，提醒用戶關注，并通過簡單易懂的去技術化語言幫助用戶分析威脅，對威脅進行有效處理

◎雙重檢測：

包括未知漏洞攻擊行為檢測與文件威脅行為雙重檢測，其中未知漏洞攻擊行為檢測是通過使用對應的軟件（Office,Adobe Reader等）執行待檢測的文檔文件，觀察對應的軟件是否有可疑行為 ；文件威脅行為檢測 是根據文件類型執行相應的程序，并將核心檢測動態庫注入到該進程中，核心動態庫記錄對應進程的所有API調用，分析API調用序列，智能提取惡意行為規則，判斷文件的可疑度。

◎虛擬機智能調度：

根據目前系統資源，自動啟動/關閉相應的虛擬環境，保證樣本檢測的實時性；當樣本數量突發時，能智能調節虛擬環境進行任務分發

◎多環境檢測：

系統內部嵌入多種操作系統環境與應用軟件環境，可以讓惡意樣本在所有環境中運行，提高檢測的準確度與效率

◎隱秘通道檢測：

通過系統內的隱秘通道智能感知系統模擬后門服務器的感應，保證網絡連通性，降低惡意代碼檢測的誤報與漏報