产品简介0407 - 便携式互联网木马检测系统

《产品简介0407 - 便携式互联网木马检测系统》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、便携式互联网木马检测系统简介一、概述便携式互联网木马检测系统是一套针对网络木马行为检测的安全系统，由一台专用的IPC硬件设备与多个软件模块组成。系统主要满足对被检查单位互联网木马进行现场和临时检测的需求，其工作方式不同于目前常用的木马检查工具，不需要在用户网络上安装任何软件，也不需要改变用户的网络结构与配置。将该系统设备架设在用户网络的出入口，就能实现对木马通讯的实时检测。系统包括检测服务器和客户端两部分，其服务器的硬件形态如图1所示：图1检测服务器的硬件形态二、主要功能与性能²木马行为检测功能基于网络数据流实时检测木马行为，具备多种检测手段，如：基于木

2、马行为通讯特征的检测、基于黑、灰、白名单的检测、基于DNS协议分析的检测、基于网络异常通讯行为的检测、基于应用行为的监控等。²流量监测功能对网络流入和流出的流量进行实时监测，用户可以及时了解网络的状态，便于及时发现异常情况。²数据实时记录及导出功能对检测任务产生的原始数据进行实时记录，且在任务结束后自动过滤出可疑数据，用于后续分析。同时提供可疑数据导出功能。²行为特征库维护功能提供木马行为特征库维护功能模块，该模块可以对现有的行为特征库中的内容进行删除与修改，同时也可以增加新的特征内容，生成新的特征库。²管理功能本系统作为一个独立的设备或系统进行工作。它

3、提供了对系统使用的控制，提供基于用户、口令认证与权限划分的方式，对系统的使用必须是登记合法的用户，且具有相应的权限实施对系统的操作。系统提供了管理员用户、操作用户和审计用户三种类型权限的用户。三、主要技术特点²小巧轻便的服务器本系统的检测服务器具有高集成度，面积大小相当于A4打印纸，重量不超过1.5KG。²精确的木马检查识别能力系统针对木马各阶段的工作行为特征采取特定的检测手段，通过采用特征匹配、行为识别、统计挖掘、关联分析等技术，结合已掌握的木马回联地址、域名等资源，综合应用行为的监控，实时检测木马攻击及窃密行为和违规泄密行为。²准确的IP地址定位能力

4、系统能根据标准化报警信息，可以及时发现正在进行中的失泄密事件，还可以实现IP地址精确定位，及时定位发动网络攻击窃密和发生失泄密的计算机。²简单灵活的检测策略配置系统采用直观易懂的图形界面，对用户关注的检测策略可灵活设定，如木马检测模式可以针对不同的网络模型设定不同的策略，检测时间可以设定不同时限等等。²多角度的警报展现能力系统提供了多角度多层次的警报展示功能，能够实时地显示警报概要信息，包括窃密时间、窃密者IP、窃密目标IP、窃密类型等。检测完毕后系统能够展示警报的详细信息，包括窃密识别可靠性、窃密危害程度、窃密者、窃密目标的地理位置、窃密行为序列等。四

5、、典型应用便携式互联网木马检测系统主要用于检测内网用户是否存在木马的通讯连接，典型的接入方式是将系统架设在网络出入口，介于路由器（网关）和交换机之间，这种部署方式具有以下好处：1）能够定位内网主机。大部分企业都采用NAT方式连接到互联网，对外公用一个通讯地址，通过路由器或网关进行地址转换，实现内网主机对外网的访问。把检测系统部署在路由器或网关之后，即可捕获内网主机的通讯地址。2）便于检测设备接入。便携式互联网木马检测系统提供的以太网络采集接口，能与路由器与交换机之间采用的以太网络接口很好地匹配。图2便携式互联网木马检测系统典型应用