明御APT攻击预警平台AI-APT
来源:
明御APT攻击预警平台AI-APT.xmind明御APT攻击预警平台(AI-APT)V2.0R79产品白皮书-20260429_184346.docx明御APT攻击预警平台V2.0R79主打PPT-毛润华-20260528_093406.pptx明御APT攻击预警平台V2.0R79招标参数及截图-张宇卓-20251112_093037.docx- 网络安全整体结构理解图
0. 产品介绍思路
接着明鉴漏扫往下讲,漏扫偏“事前体检”,AI-APT 就偏“事中发现攻击”。客户不光想知道自己有没有漏洞,还想知道网络里现在有没有攻击、有没有恶意文件、有没有 C2 回连、钓鱼邮件、横向移动这些真实行为。AI-APT 的作用就是在网络流量侧做高级威胁检测、攻击链分析、告警和取证。在等保 2.0 里,它主要支撑入侵防范、恶意代码防范、安全审计和新型网络攻击行为分析。功能模块可以按流量解析、高级威胁检测、规则检测、异常流量、两高一弱、沙箱、威胁情报、全包回溯、关联分析和联动响应来记。部署位置一般是在互联网出口、核心交换、DMZ、服务器区、办公区这些能拿到镜像流量的地方;部署方式通常是旁路镜像,也可以一体机、中心加探针、独立沙箱、PTS 全包回溯或者云/软件部署。讲完 AI-APT 后就可以自然转到 EDR:AI-APT 能在网络侧发现攻击,但攻击落到哪台机器上、主机里到底发生了什么、怎么隔离处置,就要靠 EDR。
1. 一句话总览
明御APT攻击预警平台 AI-APT 是网络流量侧的高级威胁检测与溯源平台:通过旁路采集镜像流量,对网络中的已知威胁、未知威胁、恶意文件、钓鱼邮件、C2 回连、加密攻击、横向移动、弱口令和 APT 攻击链进行检测、告警、取证和联动响应。
通俗记忆:
AI-APT = 看全流量 + 找高级威胁 + 还原攻击链 + 联动处置 + 回溯取证它不是防火墙那种“访问控制设备”,也不是漏扫那种“主动体检工具”。它更像网络里的“高级威胁雷达”,重点是从真实流量里发现攻击行为。
2. 产品是干什么用的
AI-APT 主要解决四类问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 看不清网络里有没有攻击 | 采集互联网出口、DMZ、办公区、服务器区等关键位置的镜像流量 | 威胁告警、攻击源、攻击目标、攻击类型 |
| 传统 IDS/防火墙难发现未知攻击 | 规则检测 + 机器学习 + 动态沙箱 + 智能语义 + 威胁情报 | APT、0day、恶意文件、C2、DGA、钓鱼邮件等告警 |
| 发生事件后无法还原过程 | 结合原始数据包、元数据、攻击链、ATT&CK 标签和场景化分析 | 溯源报告、取证材料、攻击链路 |
| 检测到风险后处置慢 | 联动 WAF、防火墙、EDR、MSS、SOC 等平台 | 阻断、查杀、专家研判、告警外送 |
一句话定位:用全流量分析和高级威胁检测能力,帮客户发现已知和未知攻击,并支撑溯源取证与响应。
3. 在等保 2.0 里哪里体现
AI-APT 在等保 2.0 中主要体现于 入侵防范、安全审计、恶意代码防范、新型网络攻击行为分析。
| 等保相关方向 | AI-APT 对应能力 | 怎么理解 |
|---|---|---|
| 入侵防范 | 在关键网络节点检测来自外部和内部的攻击行为 | 从流量中发现 Web 入侵、漏洞利用、暴力破解、横向移动等 |
| 新型网络攻击行为分析 | 机器学习、智能语义、动态沙箱、威胁情报、APT 攻击链分析 | 满足三级/四级系统对新型攻击分析能力的要求 |
| 恶意代码防范 | 文件还原、病毒库、静态分析、动态沙箱、恶意文件 AI 研判 | 发现木马、勒索、挖矿、远控、未知恶意样本 |
| 安全审计与留痕 | 记录攻击源 IP、攻击类型、攻击目标、攻击时间、报文和数据包 | 为测评、事件复盘和责任判定提供证据 |
| 监测预警 | 告警、威胁情报、MSS 联动、外送 SOC/SIEM | 提前或及时发现正在发生的网络安全事件 |
注意边界:
Important
AI-APT 偏“检测预警、分析溯源、联动响应”。真正的阻断通常要联动防火墙、WAF、EDR 或通过旁路阻断实现;主机侧处置仍要依赖 EDR、运维和应急流程。
4. 产品功能有几个大的功能模块
按 XMind 和白皮书,可以记成 11 个大功能模块:
| 模块 | 作用 |
|---|---|
| 网络流量解析与还原 | 解析 2-7 层协议,识别应用、URL、文件、流向和报文内容 |
| 高级威胁检测 | 检测 DGA、钓鱼邮件、APT 组织活动、C2 回连、未知威胁 |
| 基础规则检测 | Web 攻击、文件攻击、邮件攻击、自定义检测等规则能力 |
| 异常流量检测 | 暴力破解、DoS、爬虫扫描、ARP 欺骗等异常模型 |
| 两高一弱检测 | 从流量侧被动发现高危漏洞利用、高危端口和弱口令 |
| 加密流量与 VPN 检测 | 证书解密、Agent 取密钥、识别加密工具、代理/VPN/翻墙行为 |
| 资产发现与智能报表 | 识别资产、服务、应用、端口,输出威胁和资产风险报表 |
| 综合分析与云端增强 | 攻击者/受害者视角聚合,云端情报和高级分析增强 |
| 全量数据包存储回溯 | PTS 型号保存 PCAP,用于审计取证、回溯和策略优化 |
| 关联分析与响应 | 聚合告警成安全事件,联动 WAF/FW/EDR/MSS/SOC 处置 |
| AI 功能 | 恒脑/第三方大模型做告警研判、邮件研判、文件研判和辅助分析 |
也可以简化成四层架构:
流量采集层 -> 威胁检测层 -> 威胁分析层 -> 管理平台层5. 产品部署在哪里
结合网络结构图,AI-APT 应部署在 能拿到关键镜像流量的位置,一般靠近核心交换、互联网出口、DMZ、服务器区、办公区或分支出口。
常见位置:
- 互联网出口 / 边界区:看外部攻击、DDoS、Web 入侵、邮件攻击、C2 回连。
- 核心交换区域:汇聚全网关键流量,适合做全局威胁检测和流量分析。
- DMZ 区域:看公网 Web、邮件、API、代理等对外服务的攻击流量。
- 服务器区 / 数据中心区:看业务系统、数据库、中间件之间的攻击和横向移动。
- 办公区:看终端失陷、勒索、挖矿、远控、横向扩散、弱口令。
- 分支机构:分支本地部署探针,再由总部统一管理。
- 云环境:云上虚拟化部署或通过 Agent 收集云主机流量。
记忆图:
关键流量汇聚点
├─ 互联网出口:外部攻击、Web入侵、DDoS、C2
├─ DMZ:公网Web、邮件、API、代理服务
├─ 核心/汇聚交换:全网流量总览和攻击链关联
├─ 服务器区:业务系统攻击、横向移动、恶意文件
├─ 办公区:终端失陷、勒索、挖矿、弱口令
└─ 分支/云:探针或Agent采集,中心统一分析6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 单机旁路部署 | 常规客户、单区域流量检测 | 接交换机镜像流量,不串联业务链路 |
| 一体机部署 | 希望一台设备完成采集、检测、沙箱、分析、展示 | All In One,部署简单 |
| 分布式部署 | 多区域、多分支、大规模网络 | 中心节点统一管理多个探测器 |
| 集中管理部署 | 总部统一配置、升级、告警查询和威胁分析 | 管理中心 + 下级探针 |
| 流量探针部署 | 监管、态势感知、流量采集上送场景 | 探针负责采集和威胁日志输出 |
| 独立沙箱部署 | 文件检测量大或需要专门恶意样本分析 | 不接流量,聚焦文件动静态检测 |
| 沙箱集群部署 | 大量文件检测积压、需要提升沙箱效率 | 中心端按负载分发文件到检测器 |
| PTS 全包回溯部署 | HW 复盘、取证、审计、全数据包保存 | 全流量 PCAP 存储、检索、下载 |
| 云 / 纯软件部署 | 云环境、虚拟化或软件交付场景 | 云主机 Agent 收集流量,GRE 转发到平台 |
| AI+APT 一体机 | 本地大模型研判、数据不出网场景 | 内置恒脑大模型,告警/邮件/文件 AI 研判 |
核心部署口径:
AI-APT 通常旁路接入镜像流量;
大规模场景用中心 + 探针分布式部署;
云环境用虚拟化/Agent 采集;
需要取证回溯用 PTS;
文件检测压力大用独立沙箱或沙箱集群。7. 新人速记
明御APT攻击预警平台 AI-APT
├─ 是什么:网络流量侧的高级威胁检测与预警平台
├─ 干什么:看全流量、找APT/0day/恶意文件/C2/弱口令/横向移动
├─ 等保作用:入侵防范、安全审计、恶意代码防范、新型攻击分析
├─ 功能模块:流量解析、高级威胁、规则、异常流量、两高一弱、加密流量、资产报表、综合分析、全包回溯、联动响应、AI研判
├─ 部署位置:互联网出口、核心交换、DMZ、服务器区、办公区、分支和云
├─ 部署方式:旁路、一体机、分布式、集中管理、探针、独立沙箱、PTS、云/软件、AI一体机
└─ 产品边界:负责发现和分析威胁,阻断处置要联动FW/WAF/EDR/SOC8. 一句话复述
明御APT攻击预警平台 AI-APT 是部署在关键流量汇聚点的高级威胁检测平台,通过旁路采集网络流量,结合规则、沙箱、机器学习、智能语义、威胁情报和大模型研判,发现 APT、0day、恶意文件、C2、加密攻击、横向移动等威胁,并支撑等保合规、HW 实战、攻击溯源、全包取证和联动响应。