高级威胁检测系统有什么产品功能？

高级威胁检测系统（Advanced Threat Detection System）是一种用于检测和对抗高级和复杂网络威胁的安全解决方案。

实时监测和分析：高级威胁检测系统能够实时监测网络流量、事件和活动，对数据包和日志进行分析，以识别潜在的威胁。

行为分析： 这类系统使用行为分析和机器学习技术，以检测网络中的异常活动和行为，例如未经授权的访问、异常数据传输等。

威胁情报整合： 高级威胁检测系统通常整合了来自多个威胁情报来源的信息，以及已知恶意IP地址、域名等黑名单数据，以帮助识别潜在的威胁。

漏洞和弱点扫描： 这些系统可以对网络中的漏洞和弱点进行扫描，以帮助组织及时修复潜在的安全漏洞。

入侵检测和入侵防御： 高级威胁检测系统可以检测入侵尝试，如恶意软件、僵尸网络、拒绝服务攻击等，并采取措施来防止或减轻威胁。

文件和内容分析： 这些系统可以对文件和内容进行深入分析，以检测恶意文件、潜在的数据泄露和敏感信息泄露。

警报和通知： 高级威胁检测系统可以生成警报并通知安全团队或管理员，以便及时采取措施来应对威胁。

网络流量分析： 这些系统分析网络流量，以便发现隐藏的恶意活动、数据泄露和网络入侵。

日志记录和审计： 高级威胁检测系统记录事件和活动的日志，以便进行审计、合规性和事后分析。

整合性管理和报告： 这些系统通常提供集中的管理控制台，以便管理安全策略、监控威胁和生成报告。

自动化响应： 一些高级威胁检测系统具备自动化响应功能，可以采取预定义的措施来应对威胁，例如隔离受感染的系统或停止恶意进程。

这些功能协同工作，以帮助组织发现、分析和对抗高级威胁，以保护其网络和数据资源。高级威胁检测系统在网络安全中扮演着关键的角色，有助于提高网络的抵御力和恢复力。

高级威胁检测系统有什么应用场景？

单点部署

当边界流量小于3G时，推荐使用单点部署模式，此时高级威胁检测系统的分析平台、沙箱和流量探针可部署在单台服务器上。

多探针部署

当有多个边界点的流量需要采集，且总分析流量小于10G时，可采用多探针部署模式。此时多个探针分别部署在各节点交换机旁，采集到的流量日志将输送到统一的高级威胁检测系统及沙箱处分析。

多探针、平台集群化部署

当流量大于10G时，平台将采用集群化部署，支持硬件设备按需平行扩展，灵活应对10G以上大流量。

高级威胁检测系统支持哪几种部署模式？

高级威胁检测系统支持单机部署与分布式部署两种模式。

• 小流量场景可使用单机部署模式，即流量采集与解析、沙箱分析系统、数据分析平台将在一台服务器上完成。

• 大流量场景推荐使用分布式部署模式，数据平台分析采用分布式架构，支持平行扩容，同时支持接入多个沙箱分析系统与流量采集探针。在分布式部署模式下，沙箱分析系统及流量采集探针也都具备平行扩容能力。