Fire Eye APT检测原理

文章转自http://www.freebuf.com/news/65315.html

FireEye APT攻击检测的关键技术是MVX技术（多向量虚拟执行，Multi-Vector Virtual Execution），即在虚拟环境下执行和检测攻击，发现恶意脚本和阻断攻击。VX Engine是核心处理引擎，从技术原理的角度上来说，检测主要分为两个阶段：
（1）阶段1: 捕获阶段，即捕获Web、电子邮件和文件样本；
（2）阶段2: 虚拟运行阶段，即放到沙箱（sandbox）中依据不同的操作系统和应用进行虚拟执行／Reply（重放），发现包括恶意软件在内的威胁。

报警是基于样本的。

在FireEye的产品和服务体系中，Threat Analytics Platform（TAP，威胁分析平台）是FireEye产品体系的大脑。TAP是进行数据关联、分析和威胁识别的处理引擎。FireEye非常智慧地将这个引擎放到了“云”上，用户可以上传数据，并通过访问云端平台获得威胁分析的结果，同时一些新的IOCs（Indicators of Compromises）和Profiles也通过TAP同步到本地。

下图是TAP的系统示意图：