高级威胁检测系统

腾讯云御界高级威胁检测系统 YJE（下文中也叫御界）通过镜像方式采集企业网络边界流量，结合腾讯多年积累的海量安全数据，运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁（APT）。同时，对事件告警原始流量进行留存，方便事后追溯。御界可较大提升云环境下的威胁感知能力。

功能
腾讯云御界提供高级威胁发现、入侵感知、失陷感知、流量记录、威胁追溯、攻击链时序展示功能。

高级威胁发现
关键信息基础设施面临高级持续性威胁（APT），攻击者从目标对象处通过带有恶意附件的电子邮件进行窃取数据活动。御界集成腾讯哈勃沙箱分析系统，支持多种文件格式，多种虚拟环境，应用先进机器学习，行为分析算法，能对恶意文件精准识别。

网络入侵检测
网络中木马、蠕虫、漏洞利用等攻击手段仍占据相当大的比例，御界提供完善的网络入侵规则集，高度覆盖已知入侵场景。

实体失陷感知
由于黑客往往通过远程控制已攻陷的系统，企业信息资产被挂马，外联 C&C 服务器会产生相应的网络流量，因此网络边界是从全局感知失陷资产的较佳位置。御界搭载腾讯御见威胁情报，精准识别网络主机产生的失陷流量。

流量完整记录
通过旁路镜像采集并存储网络流量，解析存储完整流量日志，为后续多维度流量数据关联分析、行为建模，以及异常数据挖掘、分析、*提供基础。同时御界对攻击流量进行数据包级别存储，可提供 PCAP 包下载，精确还原攻击。

数据溯源分析
攻击发生后，对安全事件进行溯源分析，了解安全事件的来龙去脉。对较大的安全事件，甚至需要深入的复盘。御界提供流量日志存储功能，利用御界“检索”功能可进行流量日志的交互式分析，回溯攻击发生时刻的流量信息。

攻击链时序展示
基于大数据及安**力，对攻击者及受影响资产进行长时间跟踪分析，从攻击链视角对相关的威胁进行时序关联。以攻击链视角呈现安全事件序列，以及攻击者、受影响资产行为分布。