360天眼APT侦测网关

FireEye、Trend Micro、PAN WildFire、McAfee、 Fildelis
基于可信应用程序保护的产品（非白即黑）
Байду номын сангаасit9，
基于大数据安全分析
RSA 安全分析平台（Symantec）
360天眼APT鉴定方案
▪ 借助360独有的样本分析技术对样本进行分 析。
360企业APT防御方案
APT
▪ APT(Advanced Persistent Threat)，高级持续 性威胁，是指专门针对特定组织所作的复 杂且多方位的高级渗透攻击
▪ 它具有极强的隐蔽能力、很强的针对性和 很强的背景性
▪ 攻击手段更加丰富，攻击手法更加高明
APT 事件
▪ 国际上多起安全事件驱动
更快的响应速度 借助全局安全态势 专业分析团队
▪ 不完全依赖于已知的特征码，而是依赖样 本执行过程当中发生的行为事实，可以准 确地发现使用0day等未知漏洞发起的攻击 行为。
360天眼APT侦测方案
▪ 可以和360的网络嗅探模块结合，抓取和分 析网络出口流量，并将样本和可疑URL送入 天眼分析；
▪ 天眼自带强大的分析报表和报警系统，支 持实时和定时的报表和事件报警；
针对伊朗的“超级工厂” RSA SECURID种子被窃取 Google 的极光行动
▪ 国内目前没有公开批露过被发现的APT攻击
【可能性1】没有被APT过 【可能性2】没有被发现过 【可能性3】发现过但没有批露
APT 方案
▪ 市场上宣称针对APT进行防御的产品有三类
基于恶意代码检测及网络入侵检测的产品
▪ 支持接入360云安全中心，借助360云安全 中心的数据进行进一步鉴定。
静态鉴定引擎
▪ 高纯度的文件白名单 ▪ QVM高启发引擎 ▪ 文件信誉云引擎 ▪ URL信誉云引擎 ▪ QEX和AVE文件和漏洞特征引擎 ▪ RVI 协议分析引擎
动态鉴定
▪ 天眼虚拟执行引擎（SEVX）
已经在360云安全中心当中长期使用、高度成熟 可鉴定程序、文档、压缩包和网址 高度启发和准确的规则，甄别恶意行为。 基于事实判断，极少误报 利用处理器虚拟化和可以高度自定义的环境模
拟，极高的性能和适应性。
本地化引擎
▪ 默认包含大量中国本地软件的引擎环境
福昕PDF查看器 WPS 办公软件等，
▪ 可以根据组织和单位的需求，建立包含客 户自定义软件环境的高度自定义的检测引 擎，可以有效防范针对性攻击。
接入360云安全中心
▪ 部署了天眼系统的企业和组织可以可控地 将样本提交到360云安全中心并快速获取结 果