菜单
分类: 标签:

科来APT攻击检测系统

最近180天交易数:0

线下议价

用户点赞:

科来APT攻击检测系统是科来软件推出的基于数据流分析技术的网络通讯行为检测分析系统。系统通过对网络通讯的实时捕捉、分析及统计,能够深入检测分析网络中的木马通讯行为、可疑通讯会话、可疑邮件、可疑HTTP下载等各种网络通讯行为。系统具有快速、高效的木马通讯检测及阻断功能,能够帮助用户快速查找,分析和定位网络中的异常通讯行为,恶意行为,攻击行为以及感染木马的主机并及时阻断木马通讯连接,保护网络的运行安全,全面解除由APT攻击带来的重要数据窃密,网络钓鱼,恶意行为等网络威胁。

系统功能

1、黑域名/黑IP检测

网络攻击都会建立IP连接或域名解析,因此,对黑名单的检测能够帮助用户快速发现网络中是否存在黑名单通讯行为。江民大数据APT检测防御系统具有黑域名/黑IP自动检测及阻断功能,支持自定义添加、导入已知的黑域名和黑IP并对其实施阻断,防止恶意行为的进一步通讯。黑域名/黑IP检测还包括以下功能:

域名公开度分析、添加/导入域名、跟踪黑域名最终连接地址、域名分析统计、域名对比分析、黑名单拦截及会话分析、黑域名/黑IP阻断(可选)、阻断拦截记录日志和查询。

2、可疑HTTP通讯检测

针对网络中传输的文件行为检测,是系统的核心功能之一。系统通过对网络中传输的HTTP流及其上传/下载文件的各种类型的传输文件进行还原和提取,并将提取文件发送至VP服务器进行文件的动作行为分析。VP服务器完全释放,记录和还原文件的所有操作动作并评估其是否存在恶意行为,分析的文件动作包括内存注入,注册表动作,修改系统文件,网络动作,进程动作等所有行为,一旦发现异常行为,则记录并确定文件的危险等级,为各种已知及未知攻击的检测提供判定依据。

3、可疑邮件信息监控

电子邮件作为APT攻击最常用的攻击方式之一,在网络安全检测中一直都备受关注。系统通过对被监控单位网络进行7*24小时数据捕获和分析,通过强大的数据流重组和还原能力,能全面识别SMTP,POP3和IMAP协议的邮件通讯并对内容和附件进行还原,同时系统还支持sina、sohu、163、263等主流Web平台的邮件内容分析和还原,能够帮助用户全面识别可疑的电子邮件通讯。可疑邮件信息监控包括以下功能:

sina、sohu、163、263等Web邮件还原、基于POP3、SMTP、IMAP协议的邮件还原、邮件标题、内容及附件提取、邮件附件解压、附件加密检测、可疑邮件告警、木马附件告警、邮件危险等级分类

4、动态行为分析及报告

当今的网络攻击及窃密行为越来越复杂和狡猾,攻击者通常利用0day漏洞或通过HTTP、邮件、文档等嵌入恶意代码的方式进行渗透和入侵,如何检测复杂的网络攻击及窃密行为,是APT攻击检测工作面临的难点。

针对上述问题,我们研发了创新的文件动态行为分析,动态分析基于虚拟的硬件模拟技术,能够模拟丰富的应用执行环境来激发样本的所有动作行为,包括样本行为记录,文件释放检测、Shellcode检测、密码保护检测、系统修改检测、网络连接检测、重启分析检测等并提供智能检测结果,能够检测各种已知及未知木马样本及攻击行为。

5、帐号异常检测

帐号异常检测用于对邮件帐户的登录异常行为进行检测和报警,在进行邮件还原和帐号获取的基础上,能够对被监测单位自有邮件服务器的邮箱帐号进行异常登录行为的检测和危害性判断。帐号异常登录检测包括三种行为: 帐号疑似被盗,帐号破解和服务器暴库,通过对异常登录的检测和告警,包括邮件帐号、登录IP、所在地区、登录次数、尝试登录IP等信息展现,用户能够及时了解本地邮件的异常帐号并及时处理,从而避免更严重的安全事件发生。

6、支持邮件服务器自定义配置;

支持境外IP登录邮件服务器次数的TOP 10地区展现;

支持帐号异常行为报警,包括服务器暴库警报、帐号疑似被盗警报以及帐号破解行为警报;

对异常帐号进行数据挖掘与查询,记录异常通讯行为。

7、可疑会话检测

不管是什么类型的网络通讯,如窃密木马、渗透攻击、恶意代码等,都会携带某种固定的特征或特定的关键字,因此,系统提供网络特征自定义功能,通过自定义的网络特征,能够快速检测特定的可疑会话。用户首先需要在分析中心自定义可疑会话特征值并派发到各个前端服务器,当前端服务器检测到带有特征值的数据流时,则将此会话信息上报分析中心。上报记录包括会话外网IP地址、访问次数、内网主机数、上报的前端服务器个数、访问时间等多种参数,以帮助用户进一步分析并定性此数据流是否存在异常。

8、Web攻击检测

Web攻击能够对用户内部网络的服务器进行Web攻击行为检测。前端服务器将检测到的Web攻击数据上传分析中心,由分析中心进行数据汇总与显示。用户通过分析中心的展示页面可按时间、前端服务器查看被攻击的内网IP地址、攻击来源、攻击类型等数据。

Web攻击目前支持4种类型:“强行浏览攻击”、“跨站点脚本攻击”、“SQL注入攻击”和“密码攻击行为”,后续将支持更多的攻击类型检测。

9、域名查询

系统支持对网络中的所有域名解析及域名访问进行记录与统计,通过对域名的查询分析,能够快速发现异常的域名访问。前端服务器将检测到的域名记录自动上报分析中心,分析中心详细显示可疑域名的访问记录,包括访问域名,访问次数,访问的内网IP数以及访问IP的国家统计。

分析中心以数据库形式详细记录和保存前端服务器上传的网络访问记录,用户能够通过详细的解析记录列表进一步分析这些域名是否合法,如果确定为非法域名,可快速将其添加到黑名单。

同时,可疑域名页面提供了丰富的查询条件,用户可自定义设定不同的查询条件进行查询,如按域名名称,解析的IP,DNS服务器IP,域名生存时间等各种查询条件进行域名查询,快速过滤显示特定的可疑域名访问记录。


增加评论