产品内部打磨的结果,旁路的saas化全流量威胁检测平台,基于威胁情报和安全分析模型发现风险,例如勒索病毒,挖矿木马,APT攻击,还有常见的内网穿透,隐蔽隧道。
DFI是深度流检测技术,专注于分析网络流的特征和行为,可以在不深入检查数据包的情况下,识别和分类网络应用,比深度包检测技术DPI更快。
加密流量也可以基于指纹技术识别出可能的网络攻击。
目前市面上1G的威胁流量感知硬件设备的价格在10-20万之间1年,所以这个高级网络威胁检测系统价格怎么样,可以自行计算。
很多硬件威胁检测设备的是部署在机房,对接核心交换机,火山引擎的威胁检测系统是saas模式,需要把流量传输到火山引擎的云上进行分析,这个也需要考量数据安全的问题,现在很多saas产品的市场化,未来是存疑的,saas面向中小企业,但是不愿意投入太多到IT信息化上,大企业可能更希望提供私有化的方案,有点尴尬。
邮件数据分析和文件威胁分析的功能是有点奇怪了,邮件可以有邮件安全网关,文件可以有杀毒软件,这两种日志的分析可是相当大的流量。在其他主流厂商的威胁分析产品中似乎没有特别的检测。
产品的威胁情报来自自身的收集,毕竟产品线比较多,不排除和一些威胁情报厂商有合作,调用多家的API情报。
威胁检测可能还是适用火山引擎自己的云产品,作为主机安全产品的一个补充,或者说在没有主机安全产品的时候,作为一种替代,偏向全流量侧。
