恶意程序检测系统(网络版)说明书

1、概述

  1、信息安全现状

近年来随着互联网的普及，所面临的安全问题日趋严峻。根据实际工作经验，木马已经代替病毒，成为网络安全威胁之首。特别是，境内外恶意的组织和机构为盗取我国各种情报而专门开发木马，进行网络攻击和入侵，控制电脑散布和传播各种有害信息。对重点部门、涉密单位进行有计划有组织的网络渗透，一旦这些单位或者个人被控制，其带来的危害难以估量。

  2、总体目标

针对当前严峻的安全形式，需要采购基于网络数据包进行木马行为检测工具。对于所监控的网络具有智能分析功能，如果发现嫌疑主机要有立即报警的功能，并且能够显示嫌疑主机的地理位置、记录该主机的HTTP下载，FTP上传下载行为，DNS和流量统计等行为、保存相应的数据包、取证文件的下载。

✓可以检测新型木马和流行木马。

✓可以依据木马行为检测未知木马。

✓具有简单易读的分析报告，报告可导出成文档格式。

2、功能要求

  1、智能分析

依据黑名单或者综合分析得出的嫌疑地址，采用基于木马行为智能关联分析算法，得出关于整个监控网络的综合分析报告，过滤掉正常网络行为，具体功能：

（1）、报告嫌疑主机：地理位置，相关的报警行为。

（2）、DNS相关统计功能，特别是对DNS解析情况进行统计。

（3）、流量统计信息，发送和接收流量最大的几个IP地址展示。

（4）、TCP连接异常行为。

（5）、HTTP相关行为，关键数据的还原。

（6）、FTP相关行为，上传、下载行为，异常登录。

  2、系统分析配置

行为检测参数有经验的用户可以自行配置分析参数，DNS解析范围配置：黑名单、非白名单、非白名单且不以WWW打头的域名。用户自己添加的域名可定义报警解析次数。

TCP连接配置。TCP连接数据报警范围：黑名单、非白名单。TCP连接次数报警、TCP流量异常报警，连接时间范围报警。

TCP流量统计。统计范围：黑名单、非白名单。

针对黑名单的下载异常行为报警。

备注：黑名单报警范围适用百兆和千兆流量，非白名单报警范围适用于小流量网路和分析离线数据包。重启后对新的配置生效。

  3、网络环境

（1）、设备部署位置为单位的Internet网络出口，要求同时支持铜缆和光纤接口。

（2）、自适应千兆、百兆和小型局域网环境，不影响原有网络设备工作。

（3）、支持临时检测的网络环境。

  4、DNS（黑白名单）

（1）、黑名单功能：依据需要可自行添加修改删除黑名单、导入导出、自动升级。黑名单类型包括域名、IP和IP段。

（2）、触发黑名单数据相关的木马行为立即报警，自定义的域名显示区分。

（3）、按解析后的域名IP地址位置查询。

（4）、域名请求信息查询。

（5）、解析自定义黑名单域名报警。

（6）、系统提供预置的黑名单库不少于3000个。

  5、监控信息报警

通过分析数据包，统计反复连接行为、连接长期保持和流量统计先关数据。反复连接行为报警统计从发起连接开始在一段时间内连接异常情况并触发报警。建立后TCP会话在一段时间内连接一直保持的异常行为报警，并上报这一段时间内的流量信息。另外也要统计相关IP地址的流量，分析出流量异常的嫌疑主机。将流量统计和连接异常情况与DNS综合分析，快速定位。主要监控类型：

（1）、流量异常行为。

（2）、TCP连接异常行为。

  6、HTTP

通过监控走TCP 80端口数据包并分析出异常行为。重点监控走80的非HTTP协议试图穿越防火墙的行为结合DNS内部关联分析出嫌疑主机并报警，监控类型：

（1）、木马伪装HTTP。

（2）、走80非常规协议，试图穿越防火墙。

排除正常软件走80端口的行为（比如像：QQ）。

检测是否中木马下载器。监控HTTP下载行为重组还原部分嫌疑数据扫描下载内容分析出可疑行为，记录相关下载的链接，特别关注从黑名单服务器上的下载请求。

  7、FTP

FTP监控：结合DNS关联机制，还原部分关键数据，快速定位FTP的异常行为。监控类型：

（1）、FTP盗取文件。

（2）、是否中木马下载。

（3）、试图使用暴力破解FTP的登录密码。

  8、网络指纹

特定的木马都存在特有的网络指纹，运用专门的分析引擎，快速检测监控的网络主机是否中木马，并报告中什么木马？可以检测木马和常用的远程控制软件，包括：

（1）、近段时间的流行木马。

（2）、有一定知名度的木马。

（3）、常用的远程控制软件。

针对木马变种频繁的特点定时升级网络指纹库。

  9、关系图

网络连接关系图，快速显示嫌疑IP所有的外联情况，以及外联IP的地理位置。针对每一对连接查询相关的行为数据。

  10、数据包保存

提供特定的数据包保存功能，格式为标准的TcpDump，支持的类型：

（1）、特定嫌疑IP（段）。

（2）、特定嫌疑域名。

（3）、按一定捕获条件保存数据。

3、系统交互性

整个系统界面简洁、友好、人性化操作。分析报告生成准确、快速、清晰、易读。

（1）、快速分析报告展示嫌疑主机的产生报警相关行为、DNS，FTP，HTTP等行为、该主机连接情况关系图、各IP地址的地理位置显示、标记嫌疑等级。

（2）、报告或者相关数据可导出为Excel或者Word格式的文档。

（3）、针对嫌疑数据要有自动功能，可将嫌疑文件下载作为证据保留。

（4）、查询条件包含任意时间段（具有快捷搜索：今天，三天，本周，本月等），自由选择分区。

（5）、按连接的目的区域查询查询，针对域名提供模糊查询。

（6）、针对长期运行的服务器，提供自动删除功能，删除数据的范围和类型都可自由选择。

（7）、整个系统部署灵活，适合多网络环境，可在一台机器上部署也可分布式部署。

4、软件硬件设备清单