产品概述：

惠而特高级威胁检测分析系统将人工智能、大数据技术与安全技术相结合，实时分析网络流量，监控可疑威胁行为，内置多种检测技术，可对APT攻击链进行交叉检测和交叉验证。

高级威胁检测分析系统除了具备常规的入侵检测功能外，还可以从网络流量中还原出文件（HTTP、SMTP、POP3、IMAP、FTP、SMB等协议）并通过多病毒检测引擎有效识别出病毒、木马等已知威胁；通过基因图谱检测技术检测恶意代码变种； 还可以通过沙箱行为检测技术发现未知威胁；对抽取的网络流量元数据，进行情报检测、异常检测、流量基因检测；最后将所有安全威胁进行关联分析，输出检测结果，对检测及防御APT攻击起到关键作用，及时发现客户网络中已知和未知威胁攻击。

性能特点：

高级威胁检测分析系统将人工智能、大数据技术与安全技术相结合，实时分析网络流量，监控可疑威胁行为，内置多种检测技术，可对APT攻击链进行交叉检测和交叉验证。

高级威胁检测检测分析系统特点：

·   人工智能、大数据与安全技术的结合

高级威胁检测分析系统采用了人工智能的机器学习/深度学习技术，基于大数据平台，用海量安全数据进行训练，从而具备检测未知威胁的能力，并有效减少安全运维人员的人工识别工作量。

·   高效的网络异常行为检测技术

高级威胁检测分析系统可识别丰富的网络应用层协议，通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。

·   独特的基因图谱检测技术

通过结合机器学习、深度学习、图像分析技术，将恶意代码映射为灰度图像，建立卷积神经元网络CNN深度学习模型，利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。并且该方法能够有效地检测使用特定封装工具打包（加壳）的恶意代码。

·   全面的已知、未知威胁检测

通过内置的下一代入侵检测引擎，Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测；通过基因检测技术对恶意代码的变种进行检测，通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析，对未知威胁进行检测。

·   便捷的溯源取证能力

高级威胁检测分析系统支持解析并存储HTTP、DNS、FTP、SMTP、POP3、IMAP、SMB等几十种协议的元数据，具有完整的追溯取证能力。通过可视化操作，可快速定位攻击者，并定位出攻击者的IP、MAC、攻击方式、攻击协议，以及攻击目标等详细信息。

·   威胁情报（TI）检测

通过海量数据的采集、分析、验证获得威胁情报，内嵌于ATD系统形成情报中心，并将从流量中提取出的域名、IP、URL等与系统内置情报进行关联比对，进一步确认威胁来源的危害性，并支持JA3、JA3S和SSL恶意加密指纹检测，对于高级威胁，可以优先利用情报引擎进行过滤，及时告警。

适用领域：

需要对网络中进行安全检测分析的全行业领域

推荐理由：

高级威胁检测分析系统将人工智能、大数据结合到未知威胁检测工作中，通过深度学习、机器学习、步态指纹识别等技术，区别于传统安全产品的特征对比，有效提升识别效率,通过异常行为检测引擎、基因检测、沙箱检测、病毒检测等引擎，并结合内置的威胁情报检测引擎，能及时发现网络中存在的已知和未知的威胁，及时发现客户网络中存在的各种高级威胁行为，帮助用户发现威胁、感知威胁、处置威胁，为用户提供针对高级威胁的检测、响应、溯源一体化解决方案。