■ 개요
ZombieZERO Inspetor는 가상시스템을 이용한 네트워크기반 탐지시스템과 분석시스템으로 구성되어 있으며, 총 3단계의 시그니처
및 행위기반 분석을 통해 알려지지 않은 신·변종 악성코드를 탐지하여, 잠재된 내부 위협에 대한 사전 대응이 가능합니다.
■ 주요기능
1. 트래픽 분석 및 파일추출
- 트래픽 분석을 통한 유입 파일 수집
▷ Web, FTP, SMTP, POP등 파일 전송 관련 프로토콜을 통한 유입 파일 수집
▷ 실행 및 압축파일, 문서파일 등 다양한 확장자를 가진 유입 파일을 수집/분석
2. 3단계 악성코드 분석 시스템
▷ 시그니처 분석 및 행위기반 분석 동시 지원
▷ 탐지된 악성코드 패턴생성을 통한 감염PC 치료기능 제공
3. 행위기반 분석
- 가상시스템을 통한 행위기반 분석
▷ Sandbox 기반의 가상시스템을 제공, 동적 분석 시스템과 정적 분석 시스템으로 구성된 가상시스템 적용
▷ PE파일(DLL, EXE 등)과 압축파일, MS-Office, HWP, PDF 등 다양한 포맷 문서에 대한 분석 기능 제공
▷ 동적 분석 엔진을 이용한 의심파일 실행 후 프로세스, 파일, 네트워크, 메모리 등의 행위 모니터링/분석 후
악성 유무에 대한 탐지결과 제공
▷ 정적 분석 엔진(PE정적, 문서정적)을 이용한 파일 소스코드 분석 및 스크립트 분석을 통해 소프트웨어
취약점(인젝션, 웹 등)을 이용한 시도 가능한 공격 및 소스코드, 스크립트 포함 여부를 탐지, 상세정보 제공
▷ 실행파일에서 가상엔진상에서의 동작을 탐지하는 부분을 제거하여 강제로 실행을 유도함으로써
가상엔진 회피형 악성코드에 대해서도 탐지
■ 특장점
1. C&C 서버 접근에 대한 이중 탐지/차단
▷ Outbound URL 및 URI 접근 패턴 분석을 통한 C&C 접속행위 탐지
▷ 내부 사용자의 C&C 서버 접속 이중 탐지 차단 (DNS Sinkhole, TCP Reset)
▷ 엔피코어 C&C 분석센터에서 보유한 C&C 서버 리스트와의 연동을 통해 C&C 정보 라이브 업데이트 지원
2. 유 · 출입되는 트래픽에 대해 지능형 분석을 통한 악성행위 탐지
▷ 세션별 통합분석
▷ 파일의 네트워크 행위(DNS, URL 등)에 대한 유해성 검사
▷ 대형 트래픽 상황에서도 관련도 검색을 통한 'Bot net'통신 탐지
3. 대용량 트래픽 분석
▷ 자체 개발한 트래픽 처리 전용 멀티코어 프로세스 SmartNIC을 장착시킨 임베디드 하드웨어 플랫폼을
적용하여 대용량 트래픽에 대해서도 고성능 분석 제공
▷ 작은 패킷 사이즈에서도 20Gbps의 빠른 패킷 수집 성능 제공
■ 사양
Model |
Inspector 500 | Inspector 1000 | Inspector 2000 | Inspector 5000 |
Dectector + Analyzer | Dectector + Analyzer | Dectector | Analyzer | Dectector | Analyzer |
CPU |
Intel Xeon E3-1220 3.1GHz |
Intel Xeon E3-1245 3.4GHz |
Intel Xeon E3-1245 3.4GHz |
2 x Intel Xeon E5- 2609 2.5GHz |
2 x Intel Xeon E5-2630 2.6GHz |
2 x Intel Xeon E5-2630 2.6GHz |
Memory |
8GB |
16GB |
8GB x 4 |
8GB x 4, 1GB x 4 |
16GB x 8 |
16GB x 8 |
SSD |
256GB(128GB x 2) |
512GB(256GB x 2) |
512GB(256GB x 2) |
1TB |
256GB x 1, 512GB x 1 |
2TB(1TB x 2) |
Management Interface |
2 x 10/100/1000Base-T |
2 x 10/100/1000Base-T |
2 x 10/100/1000Base-T |
2 x 10/100/1000Base-T |
2 x 10/100/1000Base-T |
2 x 10/100/1000Base-T |
NetworkInterface |
4 x 1GbE Copper |
4 x 1GbE Copper |
4 x 1GbE Fiber |
- |
4 x 10GbE Fiber |
- |
Extend NetworkInterface* |
4 x 1GbE Copper/ 4 x 1GbE Fiber |
4 x 1GbE Copper/ 4 x 1GbE Fiber |
Capture Card |
- |
Capture Card |
- |