威胁情报检测系统与传统的基于规则的检测系统相比,有很大变革,至少需要具备如下八个模块:
一、全流量的日志、文件提取与报警pcap存储:对网络全流量进行协议还原,提取网络流量日志与流量中的文件,对所有报警和可疑网络行为保存pcap以供后续分析,并提供可视化能力对机器的网络行为进行深度分析;
二、威胁情报检测模块:分钟级别同步最新的专业威胁情报数据,并用于实时流量检测,情报包不只包含基础的失陷指标IOC,还应包含黑客团伙情报信息;
三、机器学习模型检测模块:应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测,如数据窃取行为、隧道通信行为、DGA域名等;
四、恶意文件检测引擎模块:对流量中提取的文件应用本地的文件检测引擎,进行高效率的恶意文件识别;
五、沙箱检测模块:对本地可疑文件,应用本地或者云端沙箱技术进行判定;
六、内网横向移动检测模块:支持接入内网流量发现内部横向移动行为;
七、自定义情报检测模块:支持提供自定义情报功能,并应用于实时流量检测;
八、攻击链回溯分析模块:对所有发现的各类威胁告警可以按照攻击链进行关联,完整回溯攻击过程。