山石智·感—智能内网威胁感知系统，作为山石网科内网安全解决方案的核心组件产品，聚焦于内网风险态势感知，致力于核心业务安全。

山石智·感采用山石智能安全技术，重点监控核心资产服务器，检测发现已知及未知网络威胁，精准定位风险服务器和风险主机，完整的攻击链行为还原，使得内网安全可发现、可管理、可追溯、可信任。

产品价值：

• 发现高度可确信的已知及未知网络攻击及网络行为异常，精准定位失陷主机、跳板主机、风险服务器；

• 全局内网风险动态实时监控，透视内网主机及服务器的业务应用和互联流量，可视化管理内网全局威胁影响及互访关系；

• 通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表，全面掌握内网风险态势，为内网风险的判定、处置和预测提供信息支撑；

• 弥补传统边界网络安全建设的漏洞，联动山石NGFW，形成边界+内网的整体网络安全解决方案；

  
  

功能亮点：

实时威胁检测

实时检测内网已知及未知威胁，精准定位异常网络行为的风险主机及服务器；从海量的内网威胁中，突出有价值的高风险信息，降低噪音。使内网安全可信任，可管理。

• 基于静态签名技术检测发现已知网络威胁。

• 基于大数据分析网络攻击行为，并归类到不同的攻击行为族，通过匹配行为相似度，检测发现未知威胁。

• 基于机器学习技术学习主机及服务器的网络行为流量，通过数学建模算法建立主机及服务器的行为基线，以此检测发现主机及服务器的异常网络行为。

• 创新式融合欺骗式检测技术，集成本地蜜罐，模拟内网关键服务，检测发现高度可确信威胁。

• 采用Threat Hunting威胁追踪技术，持续采集网络威胁数据并定义存储，以进行威胁检测结果的威胁行为追踪和威胁行为证据信息的挖掘，从而提供更多的威胁行为证据信息。

• 深入攻击原理分析，基于威胁潜在关联性规则，通过源目的信息关联一定时间窗口内的威胁事件，主动还原多阶段的高级威胁攻击过程。

风险态势可视化

识别监控内网主机及服务器业务流量，透视核心资产东西向威胁及异常流量，基于内网攻击路径进行分析、溯源、取证；核心资产服务器流量和威胁双向维度深度可视化，充分还原攻击细节。使内网安全可视其形，可明其理。

• 全局内网风险态势的实时动态监控。

• 提供风险态势、网络威胁、外部攻击地理分布的可视化呈现。

• 图形化内网核心资产分布，基于T² Scope模型呈现服务器业务威胁及流量状态。

• 基于网络攻击链还原攻击细节，将威胁事件映射到不同的攻击阶段。

• 基于应用、源目的IP、源目的安全域等多维度监控统计内网业务应用流量。

风险评估及联动响应

可配置生成内网安全评估报告，全面掌控内网风险态势；支持一键式安全处置，联动边界NGFW，形成内网安全闭环，简单、快速、高效部署安全策略。使内网安全可控制，可预防。

• 详细的知识库信息及处置建议，助力安全运维分析。

• 基于风险资产导出风险评估报告。

• 基于全局内网风险态势导出内网安全评估报告。

• 支持记录事件日志、网络日志、配置日志和威胁日志，并可通过Syslog和Email外发日志。

• 联动Sysmon服务，网络侧威胁行为进行终端侧信息的关联溯源，从而定位到具体的终端进程、可执行程序、文件路径等关键信息。

• 联动山石NGFW，加密处理信息交互，确认威胁，一键完成处置策略下发，快速完成威胁处置。

内网失陷，将带来什么危害？

案例一：干扰服务器核心业务

案例二：窃取业务敏感数据

山石智·感的核心价值

• 发现高度可确信的已知及未知网络攻击及网络行为异常，精准定位失陷主机、跳板主机、风险服务器；
• 全局内网风险动态实时监控，透视内网主机及服务器的业务应用和互联流量，可视化管理内网全局威胁影响及互访关系；
• 通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表，为内网风险的判定、处置和预测提供信息支撑；
• 弥补传统边界网络安全建设的漏洞，联动山石NGFW，形成边界+内网的整体网络安全解决方案；

山石智·感的核心技术架构

山石智·感的部署场景

山石智·感的内网安全实践

内网风险态势动态实时监控

全局内网威胁概览

服务器风险监控

风险服务器

威胁事件