• >
  • 부가서비스
  • >
  • 좀비제로

좀비제로

■ 개요

 

ZombieZERO Inspetor는 가상시스템을 이용한 네트워크기반 탐지시스템과 분석시스템으로 구성되어 있으며, 총 3단계의 시그니처

행위기반 분석을 통해 알려지지 않은 신·변종 악성코드를 탐지하여, 잠재된 내부 위협에 대한 사전 대응이 가능합니다.

 

 

 

 ■ 주요기능

 

1. 트래픽 분석 및 파일추출

 

- 트래픽 분석을 통한 유입 파일 수집

 

▷ Web, FTP, SMTP, POP등 파일 전송 관련 프로토콜을 통한 유입 파일 수집

▷ 실행 및 압축파일, 문서파일 등 다양한 확장자를 가진 유입 파일을 수집/분석

 

2. 3단계 악성코드 분석 시스템

 

 

 

▷ 시그니처 분석 및 행위기반 분석 동시 지원

▷ 탐지된 악성코드 패턴생성을 통한 감염PC 치료기능 제공


3. 행위기반 분석

 

- 가상시스템을 통한 행위기반 분석

 

▷ Sandbox 기반의 가상시스템을 제공, 동적 분석 시스템과 정적 분석 시스템으로 구성된 가상시스템 적용

▷ PE파일(DLL, EXE 등)과 압축파일, MS-Office, HWP, PDF 등 다양한 포맷 문서에 대한 분석 기능 제공

▷ 동적 분석 엔진을 이용한 의심파일 실행 후 프로세스, 파일, 네트워크, 메모리 등의 행위 모니터링/분석 후

    악성 유무에 대한 탐지결과 제공

▷ 정적 분석 엔진(PE정적, 문서정적)을 이용한 파일 소스코드 분석 및 스크립트 분석을 통해 소프트웨어

   취약점(인젝션, 웹 등)을 이용한 시도 가능한 공격 및 소스코드, 스크립트 포함 여부를 탐지, 상세정보 제공

▷ 실행파일에서 가상엔진상에서의 동작을 탐지하는 부분을 제거하여 강제로 실행을 유도함으로써

   가상엔진 회피형 악성코드에 대해서도 탐지


■ 특장점


1. C&C 서버 접근에 대한 이중 탐지/차단


▷ Outbound URL 및 URI 접근 패턴 분석을 통한 C&C 접속행위 탐지

▷ 내부 사용자의 C&C 서버 접속 이중 탐지 차단 (DNS Sinkhole, TCP Reset)

▷ 엔피코어 C&C 분석센터에서 보유한 C&C 서버 리스트와의 연동을 통해 C&C 정보 라이브 업데이트 지원


2. 유 · 출입되는 트래픽에 대해 지능형 분석을 통한 악성행위 탐지


▷ 세션별 통합분석

▷ 파일의 네트워크 행위(DNS, URL 등)에 대한 유해성 검사

▷ 대형 트래픽 상황에서도 관련도 검색을 통한 'Bot net'통신 탐지


3. 대용량 트래픽 분석


▷ 자체 개발한 트래픽 처리 전용 멀티코어 프로세스 SmartNIC을 장착시킨 임베디드 하드웨어 플랫폼을

    적용하여 대용량 트래픽에 대해서도 고성능 분석 제공

▷ 작은 패킷 사이즈에서도 20Gbps의 빠른 패킷 수집 성능 제공


■  사양
 

 Model

Inspector 500 

Inspector 1000 

Inspector 2000 

 Inspector 5000

Dectector + Analyzer

 Dectector + Analyzer

Dectector

Analyzer 

 Dectector

Analyzer 

 CPU

Intel Xeon

E3-1220 3.1GHz 

Intel Xeon

E3-1245 3.4GHz  

 Intel Xeon

E3-1245 3.4GHz 

 2 x Intel Xeon

E5- 2609 2.5GHz 

 2 x Intel Xeon

E5-2630 2.6GHz  

 2 x Intel Xeon

E5-2630 2.6GHz   

 Memory

8GB

16GB 

8GB x 4

8GB x 4, 1GB x 4

16GB x 8

16GB x 8 

 SSD

256GB(128GB x 2)

512GB(256GB x 2)

512GB(256GB x 2)

1TB 

256GB x 1,

512GB x 1

2TB(1TB x 2) 

 Management

Interface

2 x

10/100/1000Base-T

2 x

10/100/1000Base-T 

2 x

10/100/1000Base-T 

2 x

10/100/1000Base-T 

2 x

10/100/1000Base-T 

2 x

10/100/1000Base-T 

NetworkInterface

 

4 x 1GbE Copper

 

4 x 1GbE Copper

4 x 1GbE Fiber 

4 x 10GbE Fiber 

 -

 Extend

NetworkInterface*

4 x 1GbE Copper/

4 x 1GbE Fiber 

4 x 1GbE Copper/

4 x 1GbE Fiber  

 Capture Card

-

Capture Card

-