产品简介

天阗APT检测系列，是一款针对恶意代码等未知威胁具有细粒度检测效果的专业安全产品，可实现包括对：未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞（0-day）利用行为的检测，由启明星辰集团独立自主研发。

天阗APT检测系列，采用国内的双重检测方法（静态检测和动态检测），多种核心检测技术手段：二进制检查、堆喷检测、ROP利用检测、敏感API检测、堆栈检测、Shell code检查、沙箱检查等，可以检测出APT攻击的核心步骤，同时，产品可结合人工服务，有效发现APT攻击。

功能特点

·         对多种文档格式的检测
本系统可以对多种文档格式进行静态动态检测，包括：windows系统下可执行文件、pdf、doc、xls、rtf、docx、xlsx、ppt、pptx,ppsx等。

·         对恶意文件的动态检测
系统使用多种虚拟机环境运行被检测文件，检测文件打开后的各种行为和系统环境等以确定文件是否具有恶意行为。动态检测的优点是检测率高、误报率低。

·         对恶意文件的静态检测
静态检测是指通过一定的特征比对或算法对被检测文件的二进制内容进行匹配或计算的检测方法，静态检测并不真实的运行被检测文件。静态检测的方法有很多种，天阗APT检测系统使用虚拟Shellcode执行、暴力搜索隐藏PE等多种方式对被检测文件的文件内容进行静态检测，以此来确定文件是否为恶意文件。静态检测的优点是速度快。

·         全面支持已知威胁检测

当前发布的天阗APT检测系列，只需要添加入侵检测与管理系统功能模块，就可以实现已知威胁加未知威胁的全面检测，包括但不限于：病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）、网络流量异常等威胁具有高精度的检测能力，产品对已知威胁事件库融合。