随着攻击者利用更加隐蔽复杂的规避检测技术，企业信息安全事件频频发生，损失不断增长，实时未知威胁检测能力的需求日益增加，为确保快速响应并在重大损害发生之前完成威胁预警，聚铭网络流量智能分析审计系统在失陷分析、威胁情报分析、域名异常分析、攻击威胁特征分析、隐蔽通道分析、异常行为分析、网络异常分析等分析技术的基础上，新增恶意软件行为分析能力，与传统的反恶意软件检测不同，聚铭未知威胁检测引擎通过模拟文件执行环境来分析和收集文件的静态和动态行为数据，快速发现未知威胁。

未知威胁检测引擎主要功能

        1、支持各种文件分析

        支持Windows可执行文件、DLL文件、MS Office文件、HTML文件、PHP脚本文件、CPL文件、VB脚本文件、JAR文件、ZIP压缩包等。

        2、反检测技术

        利用虚拟环境检查、模拟人工交互式检查、关键路径检查等检测技术，防止恶意软件尝试躲避虚拟仿真环境的行为检查。

       3、文件静态分析

       文件静态分析，包括对文件的代码片段、对调用的API的分析。

       4、虚拟仿真环境行为分析

      模拟文件的真实运行环境，触发文件的各种操作行为，包括对文件系统、服务、注册表和网络的操作行为分析以及行为过程中外连对象的威胁情报匹配。

       5、详尽分析报告

     完整的行为分析报告，综合各类文件操作行为以及静态分析结果，对文件是否存在威胁做出综合性的评估，并支持用户查看各类分析项的明细。

部署方案