绿盟首款基于全流量的超融合威胁检测探针，利用协议解析、流量还原、威胁检测、机器学习等手段，针对传统威胁及APT高级威胁进行实时检测和留存，全场景覆盖，极大的提升威胁检测及溯源取证能力。其中XC设备最大规格已达到20G，非XC单设备规格更是突破160G。

绿盟综合威胁探针系统，是一款面向全行业的全流量威胁检测探针，集绿盟多年安全研究及威胁检测能力于一身，运用规则引擎、虚拟沙箱、威胁情报、机器学习等技术，具备识别广泛、检测精准、互联互通的特点，可面向不同场景检测和分析高级威胁，回溯安全事件。

1、丰富的检测手段，精度高

除内置入侵检测、web检测等传统规则检测引擎以外，还具备多重高级威胁检测引擎，如威胁情报，动态沙箱，钓鱼邮件检测，DGA域名检测，隐蔽隧道检测等，精准发现C&C通信，挖矿行为，勒索病毒，及APT攻击威胁。

2、加密流量检测，识别加密威胁

应用机器学习算法，针对旁路镜像流量，通过数据处理、特征工程、模型训练、情报融合等手段，提供可落地的加密流量检测与识别方案，解决不解密进行加密流量检测的问题。具备高精度、高性能的特点，同时支持多个应用场景，可精确识别Tor、shadowsocks、v2ray等加密代理工具，以及冰蝎、哥斯拉、蚁剑等加密webshell黑客工具。

3、文件动态检测，发现未知威胁

基于不依赖已知攻击特征的虚拟执行技术，可以检测利用0day漏洞及其他传统特征检测引擎无法检测的恶意软件，具备操作系统层面的检测能力和内存指令级分析，发现各种攻击和逃逸行为。

4、敏感数据发现，监控数据风险

实时监控流量中协议、文件、数据库传输敏感数据的传输行为，如个人、企业单位的敏感数据信息等，防止敏感数据泄露，满足数据合规按要求。支持流量中识别API接口、API资产管理、API风险识别等，实时检测针对API接口的威胁或异常行为，及时发现和处置安全风险。

5、覆盖5G安全

基于获取的5GC场景下的用户面、信令面和管理面流量，利用全流量采集探针UTS，通过对N1~N40接口的流量采集、分析和网络攻击的检测，实现对5G核心网的威胁分析能力，如终端侧恶意接入检测、资产识别、信令攻击检测，以及流量追溯取证等。

1、日常APT监测

APT攻击往往具备多种攻击手段而且持续时间长，比如特定的恶意工具，加密等手段进行绕过以逃避检测，而传统设备往往只包含单一检测引擎，缺乏对未知攻击的检测和流量分析和留存的能力，无法准确感知APT威胁。UTS融合了公司多年的安全积累，具备入侵检测、web安全检测、威胁情报、动态沙箱、钓鱼邮件、DGA域名、隐蔽隧道等多项能力。覆盖APT攻击全过程，极大的增强各种威胁的发现能力，避免单一检测引擎的局限性。

2、挖矿专项检测

挖矿行为通常会采用固定的挖矿协议，如Stratum等。在网络出口部署UTS，对流量中的挖矿协议进行识别，监测参与挖矿的源IP地址。以及识别利用漏洞攻击的挖矿家族、网页挖矿行为等。UTS还能识别DNS请求信息，通过内置的挖矿家族IOC域名和IP及云端情报感知挖矿行为

3、提前发现勒索事件

UTS旁路部署，对流量进行深度解析及文件还原，结合强大的检测引擎，提前发现勒索事件。内置千万级病毒库，发现wannacry勒索及变种家族活动，发现勒索病毒的下载行为

发现各类恶意勒索软件传输和通信

4、云上威胁检测与响应

VPC内部署UTS，通过云内SPAN策略镜像流量到UTS。独立部署或通过负载均衡（SLB）部署，取决于镜像策略的节点。UTS将检测后日志上报到平台，进行威胁检测和溯源分析。

5、攻防演练——社工防范

UTS进行全流量监测，对邮件附件进行多重检测发现钓鱼邮件和木马病毒，结合沙箱+威胁情报发现APT攻击；

6、数据安全治理

UTS进行数据安全风险监控，发现数据安全事件。UTS进行API接口安全管理，发现API接口异常事件。