概要介绍

科来APT攻击检测系统是一款专门面向APT（Advanced Persistent Threat）高级持续性攻击行为，提供全方位检测、发现与防御的产品。APT攻击检测系统针对APT攻击的特点，为用户提供多视角的检测发现能力，及时发现针对客户的重要资产实施的多种形式的定向高级攻击，而这类攻击行为是传统安全检测系统无法有效检测发现。通过对高级网络攻击行为的发现，同时提供对攻击行为的拦截与阻断，帮助客户抵御网络攻击与渗透，保护客户的重要资产信息与基础设施免遭窃取与破坏。

价值与应用

科来APT攻击检测系统

快速发现高级定向攻击行为

APT攻击的主要方式和途径是通过邮件和文件向被攻击目标投放恶意样本。科来APT攻击检测系统利用独特的非商业化虚拟机分析技术，对各种邮件附件、文件进行深度的动态行为分析，从中发现利用系统漏洞等高级技术专门构造的恶意文件，从而发现和确认APT攻击行为。

准确获取APT攻击的全方位痕迹与证据

科来APT攻击检测系统具备多维度的检测发现能力，针对APT攻击形式和途径多样化，攻击持续时间长的特点，以不同的检测视角和分析手段，获取一切与APT攻击相关的可疑行为数据，尽可能多的覆盖和还原APT攻击的全貌。

有效阻止APT攻击对目标的渗透破坏

APT攻击具有隐蔽性强，成功率高，危害性极大的特点。通过科来APT攻击检测系统能发现高级网络渗透行为，进行直接有效的阻断与拦截。在阻止APT攻击行为的同时，避免攻击行为造成进一步损失。

与现有安全防御系统构成互补完整的安防体系

科来APT攻击检测系统定位于检测发现高级未知威胁与攻击行为，而非已知威胁的检测，而对已知威胁的检测防护由传统安全产品实现。科来APT攻击检测系统与客户现有的网络安全设施共同构成完整的防护体系，应对已知和未知的网络攻击与威胁。

功能亮点

科来APT攻击检测系统

深度文件动态行为分析

独有的基于硬件虚拟化技术的高性能文件动态分析能力，真实模拟文件的运行环境，充分激发和全面捕捉样本文件的多种动作行为，准确识别通过各种途径传递的文件中含有的未知攻击或恶意代码。

全面的邮件安全分析

支持标准邮件和多达十余种主流Web邮件的还原分析，包括SMTP、POP3、IMAP的标准邮件以及sina、sohu、163、126、yeah、21cn、qq等webmail。通过对邮件所带附件的深度动态分析，判断是否为恶意攻击邮件。

全局事件关联分析

APT网络攻击行为往往通过多种途径实施，在不同的地方总会留下相应的痕迹和线索。系统对应有多个检测分析模块，通过关联分析模块对所有检测结果进行集中关联查询和展示，呈现APT攻击行为的全貌。

多维度的可疑网络行为发现

系统具备多种攻击行为检测分析模块，包括：高危邮件分析、Web攻击、账号异常、隐蔽信道检测、TCP异常会话等，通过全方位多角度的异 常网络行为的检测与分析，对攻击事件进行完整的分析，以及故障解决建议。

恶意网络行为的拦截与阻断

系统除了发现APT攻击行为，还能拦截和阻断攻击行为。对于发现的执行恶意样本而发起的网络连接请求， 或潜伏的木马外联网络通讯，进行有效的拦截与阻断，并能及时更新拦截规则，实现对APT攻击行为的有效防御。

灵活和可扩展的部署形式

系统具有多种部署形式：单机和分布式都能很好的支持。分布式部署适合大型集团和需要对多网段进行全面监控和防御的客户。单机部署适合为只有单一网络出口的中小型客户提供对APT攻击的检测与防御。