Fire Eye APT检测原理

文章转自http://www.freebuf.com/news/65315.html

FireEye APT攻击检测的关键技术是MVX技术(多向量虚拟执行,Multi-Vector Virtual Execution),即在虚拟环境下执行和检测攻击,发现恶意脚本和阻断攻击。VX Engine是核心处理引擎,从技术原理的角度上来说,检测主要分为两个阶段:
(1)阶段1: 捕获阶段,即捕获Web、电子邮件和文件样本;
(2)阶段2: 虚拟运行阶段,即放到沙箱(sandbox)中依据不同的操作系统和应用进行虚拟执行/Reply(重放),发现包括恶意软件在内的威胁。
Fire Eye APT检测原理_第1张图片

Fire Eye APT检测原理_第2张图片

报警是基于样本的。

在FireEye的产品和服务体系中,Threat Analytics Platform(TAP,威胁分析平台)是FireEye产品体系的大脑。TAP是进行数据关联、分析和威胁识别的处理引擎。FireEye非常智慧地将这个引擎放到了“云”上,用户可以上传数据,并通过访问云端平台获得威胁分析的结果,同时一些新的IOCs(Indicators of Compromises)和Profiles也通过TAP同步到本地。

下图是TAP的系统示意图:
Fire Eye APT检测原理_第3张图片

你可能感兴趣的:(安全)