山石云·影：高效云沙箱

基于云端架构的恶意软件分析环境，包括海量恶意样本库和高性能沙箱集群。山石云·影和享有盛誉的山石网科防火墙、IPS等安全产品无缝连接，将特征匹配无法判别的文件传送至云端进行行为分析，平均两分钟，最快1分钟检测出未知威胁；同时，山石云·影基于全局威胁情报共享，将一个接入点检测到的未知威胁情报信息共享到所有站点，将未知威胁变已知威胁，快速阻断。

典型部署场景及客户价值

山石云·影解决了未知威胁检测的短板，沙箱行为分析技术结合传统的特征匹配，可以全面检测出已知的恶意软件，发现未知威胁，使得安全防护措施更加有效。

动静结合，全面检测

云端海量样本库，包括10亿+规模的恶意样本，可以通过快速匹配发现上传的文件是否存在恶意行为。 模拟文件的真实运行环境，通过触发文件的各种行为，包括创建进程、修改注册表、回链请求等进行分析，第一时间发现隐藏其中的未知威胁。

云端架构，即时启用

与山石网科现有安全技术无缝连接，包括山石网科防火墙、山石云·界、入侵检测及防御系统等。 无需新增硬件，无需中断业务，即时启用。

对加密流量提供保护

随着SSL加密技术的普及，越来越多的应用采用HTTPS方式部署，同时恶意软件也借助加密技术来躲避检测。

山石云·影可以对SSL加密流量进行解密及深度检测，精准还原出加密流量中的各种文件并进行行为分析，使恶意软件无所遁形。

动态更新网络防御能力

山石云·影基于全局威胁情报共享，将一个接入点检测到的未知威胁情报信息共享到所有站点，将未知威胁变已知威胁，快速阻断。

详细的恶意软件行为报告

山石云·影可提供恶意文件的详细行为报告，包括网络行为、进程行为、文件行为、文件关键信息等，并通过Kill Chain分析来还原攻击过程，提供威胁处理建议。

功能亮点

动静结合、全面检测

据统计，2014年全球开发出的恶意软件，包括计算机病毒和其他恶意软件的数量超过了3.17亿种。也就是说，每天新出现的安全威胁接近百万种。受存储容量和检测效率的限制，传统防病毒软件的病毒库通常在百万、千万级别，很难覆盖到快速变化的恶意样本及其变种。山石云∙影位于云端的海量恶意样本库可到十亿级别，可以更好的覆盖病毒及其变种。

山石云∙影采用沙箱技术来侦测未知威胁。沙箱在仿真环境中打开文件，动态监控和全面分析文件的执行行为。如果文件启动攻击行为，沙箱可以捕获这些行为从而判断该文件为恶意软件。虽然免杀技术可以改变恶意软件的静态特性，但是不会改变恶意软件的动态行为特征，所以沙箱技术可以有效对抗最新的免杀技术，有效检测出未知威胁。

云端架构、即时启用

与山石网科现有的安全产品无缝连接，包括山石网科下一代防火墙、山石云·界、入侵检测及防御系统、山石云·景等。无需新增硬件，无需中断业务，即时启用。

对加密流提供保护

随着SSL加密技术的普及，越来越多的应用采用HTTPS方式部署，同时恶意软件也借助加密技术来躲避检测。山石云∙影可以对SSL加密流量进行解密及深度检测，精确还原出加密流量中的各种文件并进行行为分析，使恶意软件无所遁形。

反沙箱技术的对抗策略

通过隐藏沙箱运行的相关信息，包括内核模块、进程名称、注册表中的相关信息等，山石云∙影能够最大程度模拟真实的运行环境，避免被恶意软件检测到自己运行在沙箱环境中。对于恶意软件的躲避措施，山石云∙影通过模拟人工操作、交互操作、接管API等措施，可以最大程度的触发恶意软件的各种动作，确保检测的精确性。

详尽的报表和威胁呈现

在检测到恶意软件和未知威胁后，山石云∙影会及时给出安全警报，这些警报会第一时间通过防火墙的管理界面在用户端呈现。同时，山石云∙影可提供恶意文件的详细行为报告，包括网络行为、进程行为、文件行为、文件关键信息等，并通过Kill Chain分析来还原攻击过程，为安全管理员提供威胁处理建议。

动态更新安全防御能力

发现未知威胁后，山石云∙影会将恶意文件信息更新到山石网科的云智能分析中心。云智能分析中心可以提取恶意文件的特征行为，包括恶意软件特征码、钓鱼网站信息等，并实时更新山石网科防御设备如智能防火墙、入侵防御系统的威胁特征库，使其具备最新的安全防御能力。