DecoySpy•吉探(高级威胁检测与分析系统)

概述

吉探•高级威胁检测与分析系统（DecoySpy）提供对可执行文件、文档等多种格式的文件进行深度威胁检测和分析的能力，利用动态行为、静态特征、特征模式、情报IOC、威胁模型等多种威胁分析手段对恶意软件的真实企图进行深度剖析，能够发现常规手段无法检测的APT攻击等高级威胁。产品具有异构式检测、防逃逸沙箱、全过程检视等特点，支持与防火墙等外部系统进行安全联动，及时阻断威胁的进一步蔓延，可以广泛应用于各企事业机构网络安全监测和防御中，为网络空间的稳定、安全运行保驾护航。

主要特性

沙箱动态检测

产品预置多种沙箱（检测虚拟机），检测时将文件投放到对应沙箱中运行，通过观察文件在运行过程中产生的各种系统和网络等行为，基于行为中的风险操作来识别恶意文件。产品支持各种沙箱反逃逸，已覆盖当前已知的各种逃逸动作；支持沙箱环境自定义，可以按需调整软件和配置来支持对新文件类型的威胁检测能力；支持行为仿真来模拟真人在沙箱环境进行自定义操作；支持沙箱自适应调度，可根据检测任务动态调整各类沙箱的运行数量，提供更高的综合检测性能。

静态威胁检测

产品内置多个异构的恶意文件检测引擎，能够检测各种常见的已知病毒、蠕虫、木马和勒索软件等恶意文件；支持威胁情报检测，通过定期更新云端最新的情报数据到本地，提供对恶意文件、恶意IP、恶意域名、恶意URL、恶意Email等进行快速识别的能力；同时，产品提供用户自定义黑白名单功能，能够针对特定文件进行精准检测或对误报进行一键过滤。

机器学习检测

产品提供利用机器学习检测模型来进行威胁检测的能力，已经内置的检测模型包括PE检测模型、Webshell检测模型和DGA检测模型等，这些模型已经自动从大量的样本文件中学习到复杂的特征模式，具备较好的适应性和较强的泛化能力，应用到威胁检测时，能够提供对已知的和部分未知的恶意PE文件、恶意Webshell文件以及恶意域名进行快速检测的能力。

互联网环境模拟

产品支持互联网环境仿真模拟能力，利用网站镜像、系统克隆、终端克隆、流量学习、可视化编排等手段快速生成模拟不同目标的仿真模板插件，采用虚拟机、容器、软件模拟等仿真技术基于仿真模板插件可以快速部署各种模拟的互联网节点和网络拓扑，包括C&C服务器，特定网络服务、应用、网络结构等，实现对样本运行所需互联网环境的本地化高逼真仿真模拟，有助于恶意样本充分运行，从而获取到更完整的恶意行为，提高对高级威胁的检出能力。

威胁综合研判

产品提供对各引擎检测结果进行综合研判的能力，基于多引擎检测结果进行多维度关联分析和加权分析可以有效提高恶意文件检测的准确性，降低误报。支持基于攻击链、ATT&CK模型来对攻击链还原及攻击图谱绘制；支持样本释放文件检测分析，样本运行完整网络流量抓取存储，支持样本运行全过程录屏，实现对样本运行全周期行为可视化检视。

威胁联动处置

产品支持对检出的威胁文件进行联动处置能力。支持通过邮件、弹窗、微信、钉钉、飞书等告警通知方式及时发送恶意文件检出通知；支持通过标准API接口将威胁信息和检测报告推送到目标系统；支持标准格式威胁情报生产，支持联动第三方网关设备、XDR、SOAR、态势感知等平台，实现对文件威胁的自动化联动处置，快速对威胁进行响应，降低威胁对客户可能造成的影响。