奇安信威胁情报中心的ALPHA威胁分析平台 - 威胁分析武器库，服务于安服、安运、安全分析师及各类企业用户。主要功能如下：

• 失陷情报批量查询工具：针对办公网、DMZ服务器出站IP、域名、URL、批量自动化情报查询。

• 恶意IP批量查询工具：针对DMZ服务器入站IP批量自动化情报查询。

• IOC自动化数据流检测工具：利用大数据和机器学习，支持未知IP、域名、URL人工智能定性检测。

• 样本哈希批量查询工具。

• APT样本自动化检测器：利用机器学习自动化样本恶意家族检测，支持样本未知家族检测。

• 样本自动化分析：高对抗云沙箱，支持windows、Linux、Android样本自动化分析。

• 护网IP情报箱：护网蓝队防守IP情报工具箱。

• PCAP自动化分析工具：支持Wireshark等抓包文件自动化分析，支持木马通信协议检测、支持IOC情报检测。

• 观星日志自动化检测：观星实验室出品，支持系统日志入侵检测和情报分析。

• 分析任务管理：以事件维度管理威胁情报线索。

图1 ALPHA威胁分析平台武器库入口

图2 威胁分析武器库首页

在以上能力基础上，武器库推出邮件自动化检测新模块工具，支持邮件样本批量检测，自动化鉴别钓鱼邮件、垃圾邮件、情报威胁。

邮件批量自动化检测工具主要有以下特点：

• 集成OWL与RAS引擎：可输出检测的基本信息；判别是否为钓鱼邮件；检测附件是否存在威胁；输出相关恶意家族，及攻击团伙详情等检测结果信息。

• 分析结果在历史记录列表中展示，支持邮件的回扫检测与提交沙箱分析。

使用邮件自动化检测工具，您可按下面的指引操作：

1、在ALPHA威胁分析平台导航栏，点击阿瑞斯武器库，进入武器库工具首页。

图3 ALPHA威胁分析平台-武器库入口

2、在威胁分析武器库首页，点击邮件批量自动化检测工具，进入工具操作页。

图4 武器库-邮件自动化检测工具入口

图5 邮件自动化检测工具操作页

4、历史记录页面中，您可以查看曾经检测过的记录，并且进入详情查看邮件原文和检测结果。此页面支持直接回扫邮件获取最新结果，也可以直接进入详情查看邮件附件的检测信息。

图6 邮件自动化检测工具-历史记录页面

1. 邮件原文：直接解析邮件附件，能如实看到此邮件在邮箱的内容。

2. 检测详情：邮件检测工具使用邮件威胁情报检测引擎，结合RAS引擎和沙箱检测引擎，判别和提取邮件正文、邮件头及邮件附件的恶意情报信息。详情中可以看到邮件头、邮件正文和邮件附件的检测详情。

图7 邮件自动化检测工具案例-邮件原文

图8 邮件自动化检测工具案例-检测详情

图9 邮件自动化检测工具案例-附件检测

图10 邮件自动化检测工具案例-邮件正文

奇安信威胁情报中心推出的邮件自动化检测服务，具有以下特色：

• 秒级性能：强大的检测引擎，秒级单个样本处理性能。联动海量威胁情报数据。

• 高精准率：恶意判定准确率超99.99%。

• 海量覆盖：上百种附件格式解析。主流文件检测覆盖率超90%。

• 联动沙箱：支持海量样本的关联搜索。

邮件自动化检测工具上线后，给用户带来更便捷的工具和全新体验，以下为真实反馈：

前往奇安信ALPHA威胁分析平台官网https://ti.qianxin.com登录了解详情，可立即体验新功能！

附录A：奇安信威胁情报中心

奇安信威胁情报中心是北京奇安信科技有限公司（奇安信集团）旗下的威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础，基于奇安信长期积累的核心安全技术，依托亚太地区顶级的安全人才团队，通过强大的大数据能力，实现全网威胁情报的即时、全面、深入的整合与分析，为企业和机构提供安全管理与防护的网络威胁预警与情报。

微信公众号