中孚恶意程序辅助检测系统V2.0+网络版技术白皮书.doc
- 文档编号:7436514
- 上传时间:2023-05-11
- 格式:DOC
- 页数:9
- 大小:1,013KB
中孚恶意程序辅助检测系统V2.0+网络版技术白皮书.doc
《中孚恶意程序辅助检测系统V2.0+网络版技术白皮书.doc》由会员分享,可在线阅读,更多相关《中孚恶意程序辅助检测系统V2.0+网络版技术白皮书.doc(9页珍藏版)》请在冰点文库上搜索。
中孚恶意程序辅助检测系统V2.0网络版
技术白皮书
山东中孚信息产业股份有限公司
版权所有 翻版必究
目录
山东中孚信息产业股份有限公司技术白皮书
目录 2
1.产品的研制背景 1
2.产品的意义 1
3.中孚恶意程序辅助检测系统网络版总体设计 1
3.1.设计目标和设计思想 1
3.2.产品主要功能 2
3.2.1.黑名名单管理 2
3.2.2.智能分析 3
3.2.3.域名分析 3
3.2.4.HTTP分析 3
3.2.5.HTTP下载和FTP上传下载行为的检测 3
3.2.6.邮件分析 3
3.2.7.网络行为分析 4
3.2.8.网络木马分析 4
3.2.9.离线文件的采集和分析 4
3.3.产品结构设计 5
4.产品特点 6
5.产品运行环境 7
5.1硬件要求 7
5.2软件要求 7
1.产品的研制背景
在政府机关,重要的企事业单位,尤其是保密及安全部门中,大量的计算机中存储了重要的,敏感的,甚至是涉及国家秘密的数据。
在一个网络普及的时代,各企业和政府单位网络安全意识相对淡薄,所以计算机系统受病毒感染和破坏的情况严重,电脑黑客活动已形成重要威胁,信息基础设施面临网络安全的挑战,网络安全问题已成信息时代人类共同面临的挑战,国内的网络安全问题也日益突出,信息系统在预测和检测方面存在许多薄弱环节。
2.产品的意义
本产品是在原有中孚恶意程序辅助检测系统单机版的基础上,开发的网络版辅助检测系统。
本系统通过监控网络数据包,用来检测局域网中木马活动的痕迹,跟踪木马的活动情况,对于木马的一些上传涉密数据的操作,本系统将会采集分析相关信息并报警,管理员可以通过这些信息准确地定位可疑主机。
例如,常见的远程控制、盗取用户账号信息的木马行为,都可以通过此检查工具检测到,并能够定位感染主机,因而对木马的清除起到很好的辅助功能,有效的防止因为木马感染而导致的内部信息外泄的安全隐患。
3.中孚恶意程序辅助检测系统网络版总体设计
3.1.设计目标和设计思想
基于单机的主动防御软件,有时过于依赖个人因素,例如
l病毒库是否升级到最新
l策略设置是否合适
l防御软件是否被恶意程序破坏或被用户停止
l是否能保证局域网内每一台计算机安装单机版的主动防御软件
在上述情况下基于单机的主动防御软件也会失去效力。
而本产品部署在局域网的网络出口对整个网络的数据包进行监控,是基于网络数据分析,而非部署在每一台用户机器上,所以仅需要有网络管理员来进行系统配置和监控信息的审计,就可以有效检测到整个单位的网络安全威胁,从而避免了因为基于单机的主动防御软件失效导致的内部信息被木马盗取的风险。
3.2.产品主要功能
l黑白名单管理
l智能分析
l域名分析
lHTTP分析
lHTTP下载和FTP上传下载行为的检测
l邮件分析
l网络行为分析
l网络木马分析
l 统计分析报告
l离线文件的采集和分析
3.2.1.黑名名单管理
黑白名单管理,对您允许访问的白名单和禁止访问的黑名单进行管理和维护。
黑白名单的类型支持域名、关键字、文件类型,您可以按照种类非常方便的添加、编辑、删除黑白名单,查看已经设置的各种类型的黑白名单。
3.2.2.智能分析
一键化的智能分析,将局域网内所有具有嫌疑的主机以报表形式列出,并统计其违规次数,根据每条主机嫌疑记录可进一步查询主机详细的操作记录。
3.2.3.域名分析
对您访问Web站点的请求进行监控和分析,系统会忽略您在白名单中设置的站点,这样有利于提高系统的效率,为您呈现更加有效的数据。
系统会重点监控您设置的黑名单中列出的站点,并且会对这样的记录以特别的方式显示,以提高您的关切程度。
对于即不在白名单又不在黑名单列出的站点我们也会进行比较详细地记录,等待管理员审查确认,这样可以避免因黑名单设置的不全面而导致的监控失效问题。
3.2.4.HTTP分析
根据黑名单中设置的HTTP访问关键字,来进行筛选,若用户访问带有黑名单中列出的关键字的URL时会进行记录。
这样就能够监控用户是否访问了不该访问的不安全站点。
3.2.5.文件下载分析
对通过HTTP和FTP方式下载黑名单中列出的文件类型或文件名的用户,会对其使用的主机信息进行详细记录,待管理员审核,这样能够有效的检测到因为下载已经被注入木马的文件而导致被木马侵入,减小网络被木马侵入的风险。
3.2.6.FTP上传下载分析
记录所有FTP上传下载行为,一些木马会用这种途径进行木马的传播和信息的盗取。
为检查人员检查提供的依据。
3.2.6.邮件分析
对局域网内用户发送邮件的行为进行记录。
这样可以有效防止,内部信息通过邮件的方式被泄露出去。
3.2.7.网络行为分析
对于木马通常表现出来的行为,例如重复的超时连接、访问挂马的网页,进行报警信息的记录。
这样就可以保证及时的发现哪些主机存在被感染木马的风险或者感染木马后的一些典型的特征,以便检查人员及时采取措施。
3.2.8.网络木马分析
当木马侵入到用户主机并开始由黑客或其他人来控制时,系统会检测到,并记录报警信息。
这样就可以防止不法分子通过种植木马控制主机,有效保护单位内部的敏感信息不会被盗取。
3.2.9.离线文件的采集和分析
本系统可以存储当前网络数据到文件,并可分析离线的文件,以便检查管理人员进行事后的分析。
3.3.产品结构设计
本产品分为两个部分:
采集分析程序、管理界面程序。
整个产品的部署结构图如下:
图3-1产品部署图
如上图,以恶意程序辅助检测系统安装在一台便携笔记本上,笔记本和局域网的网络出口(比如交换机)相连接。
将本系统布置在局域网的出口,能够使系统对局域网内的所有网络数据包进行分析,从而到达到对整个局域网监控的目的。
系统的管理界面程序的结构图示意图如下:
界面
逻辑处理
数据库访问
监控数据库
图3-2管理界面结构示意图
采集分析程序的结构示意图如下:
监控数据库
数据库访问
离线数据包文件
木马特征码扫描
黑白名单过滤
分发处理
获取网络数据包
图3-3采集程序结构示意图
4.产品特点
Ø采集整个局域网数据包,保障整个局域网络的安全。
Ø通过数据包检测网络木马,弥补了单机安全软件的漏洞。
Ø综合网络管理员的经验,灵活配置黑白名单。
Ø完善的综合分析统计功能,支持分析结果的导出。
Ø界面美观个性,易于使用。
Ø整个系统只需布置在一台便携笔记本电脑上,安装方便。
5.产品运行环境
5.1硬件要求
基本配置:
CPU:
双核2.0GHz以上
内存:
1G
硬盘:
200G剩余空间
显示:
16:
101280×800
网络环境:
交换机端口镜像
登录使用的中孚验证KEY
推荐配置:
CPU:
Core2Duo2.6GHz以上
内存:
2G
硬盘:
SATA500G剩余空间
显示:
16:
101280×800
网络环境:
交换机端口镜像
登录使用的中孚验证KEY
5.2软件要求
要求在MicrosoftWindows系列操作系统上运行,推荐使用WindowsXP和WindowsServer2003。
地址:
济南市高新区舜华路2000号舜泰广场9号楼8层邮编:
2501017
总机:
0531-66590000传真:
0531-66590456
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 恶意程序 辅助 检测 系统 V2 网络版 技术 白皮书