OpenText Threat Intelligence 是业界领先的全球集成式威胁情报与网页分类系统。该平台服务约150家集成合作伙伴,通过互联网级数据采集,覆盖 IP 地址、URL、域名及文件型威胁监测。OpenText 率先将机器学习技术应用于全网内容分类,OpenText Threat Intelligence 每日为数亿互联网用户提供防护,使其免受网络威胁及非法不良内容的侵害。
以下是有关 OpenText Threat Intelligence 的常见问题解答,助您了解该产品的领先优势与操作方法。
将 OpenText™ Threat Intelligence 的功能嵌入到安全、网络或其他解决方案中,可以显著提升产品价值,无需合作伙伴重新构建新技术能力或投入大量集成开发成本。这些服务旨在为嵌入式安全合作伙伴提供:
合作伙伴自有品牌的服务,可通过现有渠道销售,不会造成渠道冲突或客户归属问题
得益于其云服务模式,该方案可覆盖从最小型设备到最大规模系统的全场景部署,无论是远程办公点还是企业数据中心,OpenText OpenText Threat Intelligence均具备足够的灵活性,能够满足几乎所有类型的客户需求。
OpenText Threat Intelligence 的数据来自数百万个来源,包括实际终端设备与合作伙伴系统。
系统会对 URL、IP 地址、文件、移动 App 等不同数据点进行关联,利用 “关联罪证(guilt-by-association)” 模型预测可能出现的威胁。
合作伙伴可以自由选择最适合其产品的集成方式。OpenText 提供灵活的定价模型以满足合作伙伴的商业需求。
整合 OpenText Threat Intelligence 可带来多项好处:
可直接整合到合作伙伴的管理控制台、策略引擎及报告系统中
适用于合作伙伴所有产品线,从 SMB、远程办公室到数据中心
集成通常可以通过快速、轻量的开发周期完成。典型开发周期约为 1–4 人月(开发+QA),取决于合作伙伴策略引擎、报告系统及管理控制台的复杂程度。我们提供参考平台、性能指标与测试服务作为开发指导。
OpenText 会定期发布新版本,包含 Threat Intelligence SDK 与 Streaming Malware Detection SDK 的最新功能与增强。
旧版本仍会持续支持,但建议使用最新版本以获得最佳性能。值得注意的是:Streaming Malware Detection SDK 的更新可能需要额外系统资源。
完整的 SDK / API 使用说明(含示例请求与返回格式)会提供给嵌入式合作伙伴或潜在合作伙伴(需签署 NDA)。
OpenText Threat Intelligence 的 Web Classification 和 Web Reputation 服务可通过 RESTful API 或 OpenText Threat Intelligence SDK 使用。我们建议在集成时,将每日数据库下载与云端查询相结合,用于处理本地数据库中未命中的 URL。此外,客户还可以为本地数据库下载实时更新,并构建动态本地缓存,从而在本地完成大部分 URL 查询的解析。
SDK 可在客户端进行配置和调整,以适配多种集成方式。我们提供不同大小的本地数据库选项,范围从 17MB 到 430MB,具体取决于所需的配置;在每日更新期间,还需要额外的存储空间,但单次更新通常不到 1MB。
数据库的完整更新会每日发布一次,包含其中所有 URL 的最新分类信息。我们建议客户同时启用实时更新,这些更新会在每天的更新周期内持续发布,以确保获得最新的分类与信誉变化。
网络延迟会受到多种因素影响,包括带宽、拥塞程度以及硬件资源。不过,OpenText Threat Intelligence 的请求通常只会将网页完全加载的时间增加 5%–10% 左右,终端用户几乎感觉不到这种差异。此外,通过使用本地数据库和缓存机制,解析请求所需的时间可以进一步缩减到微秒级。
Web Reputation Score 与 Domain Safety Score 有什么区别?
Web Reputation Score 主要评估一个域名的预测风险,但它也会在网页存在安全风险时考虑完整 URL。
Domain Safety Score 则是作为下一代评分模型开发的,旨在帮助客户应对对“仅基于域名的流量可见性”日益增长的依赖问题。
该评分利用了专利的机器学习技术,根据域名的多项属性进行评估,例如:证书与注册信息、当前与历史用户流量模式和其他行为特征。
两种评分(Web Reputation Score 和 Domain Safety Score)都可以用于判断一个域名的风险程度。客户可根据自身对流量可见度的需求选择使用哪一种评分。
IP Reputation 服务可通过 RESTful API 和 OpenText Threat Intelligence SDK 进行使用。我们建议的集成方式是每日下载一份会动态更新的黑名单 IP 列表,并通过 API 调用获取更多上下文情报,例如地理位置数据与威胁历史记录。IP 威胁类别包括:Spam Sources、Windows Exploits、Web Attacks、BotNets、Scanners、Denial of Service、Reputation、Phishing、Proxy、Mobile Threats,以及 TOR Proxy。
SDK 会被配置为每日下载一份包含恶意 IP 地址的本地数据库,更新频率可由集成该技术的合作伙伴自行设定。本地数据库的大小通常为 20–40MB,实时更新文件则小得多。
该服务旨在防护公网(Public IPs)的入站威胁,不适用于内部或 intranet 网络的 IP 保护。
由于 IP 地址与威胁态势变化非常快速,我们建议每 5 分钟检查一次更新,以补充每日基础数据库文件。
OpenText Threat Intelligence SDK 通过使用本地数据库,减少对云端的调用,从而显著降低延迟。此外,我们在全球范围内部署了分布式服务器集群,使 API 响应时间保持在非常低的毫秒级(具体取决于网络速度及其他环境因素)。
Real-Time Anti-Phishing 服务可通过 RESTful API 使用。API 调用可采用同步或异步方式:
此外,OpenText Threat Intelligence SDK 也可部署,用于自动缓存云端查询结果。
我们建议在以下场景中通过客户端应用(如浏览器或终端)调用 Real-Time Anti-Phishing 服务:
Real-Time Anti-Phishing 服务会在请求时对 URL 进行实时判定,因此无需更新本地数据即可使用。
由于该服务依赖对目标网站的实时爬取与分析,通常会有数秒的延迟,以便收集 URL 所需的信息。在特定条件下,系统可根据参数设置,对缓存数据进行判定,从而减少延迟。
关于 Streaming
Malware Detection
Streaming Malware Detection 以预编译 SDK 的方式提供,兼容大多数 Linux® 发行版以及受支持版本的 Microsoft® Windows®。
Streaming Malware Detection 通常部署在网络边缘设备上,作为第一层防御的一部分。它能够在文件传输过程中直接给出 Good、Bad 或 Unknown 的判断,文件无需完全下载即可被分析。如需使用额外变量,请参考相关文档。
我们建议每天至少为 SDK 下载一次最新的机器学习模型,以确保能够防护最新威胁。
在许多情况下,SDK 在文件尚未完全下载前即可完成分析并做出判断。分析通常耗时为毫秒级,具体取决于文件大小与完成判定所需的数据量。
File Reputation 服务可通过 RESTful API 或 OpenText Threat Intelligence SDK 调用。
File Reputation 通常用于实时检测“已知良性”或“已知恶意”文件。由于没有本地数据库,所有查询均通过云端完成;不过 OpenText Threat Intelligence SDK 可用于自动缓存云查询结果,以提升性能。
该服务完全依赖云端查询,因此嵌入式安全合作伙伴无需进行任何本地更新。
在正常网络条件下,API 响应通常为毫秒级。该 API 每次调用最多支持 100 个文件哈希的批量查询。
粤ICP备14082021号
免费POC,
零成本试错
