近年來,境內(nèi)外敵對勢力和情報機(jī)構(gòu)在采取收買、策反、滲透等傳統(tǒng)手法的同時,更加注重借助高科技手段進(jìn)行竊密,竊取文件、帳號、信息的手段也在不斷變化與進(jìn)步。特種木馬、間諜軟件等惡意程序由于其專用性、未知性,在現(xiàn)有的防病毒體系下極難發(fā)現(xiàn)與處理,通過離線擺渡等方式大肆竊取涉密信息和敏感信息??焖倥袛嘤嬎銠C(jī)系統(tǒng)健康狀況,及時發(fā)現(xiàn)隱匿其中的惡意程序,成為保密檢查的一項重點(diǎn)工作內(nèi)容。
中孚惡意程序輔助監(jiān)測系統(tǒng)是一套包括網(wǎng)絡(luò)監(jiān)測和單機(jī)體檢的綜合檢查分析系統(tǒng),為職能檢查機(jī)構(gòu)及主管部門提供專業(yè)、高效、便攜的木馬檢測評估手段,能夠快速探測、發(fā)現(xiàn)計算機(jī)中的惡意程序。系統(tǒng)通過記錄網(wǎng)絡(luò)底層報文、監(jiān)測網(wǎng)絡(luò)信息流,發(fā)現(xiàn)可疑目標(biāo)主機(jī)后,通過單機(jī)體檢系統(tǒng)進(jìn)行單機(jī)檢查取證。借助DNS數(shù)據(jù)包分析、域名實(shí)時監(jiān)控、可疑文件掃描、木馬特征碼檢測等行為分析功能,大大提高了計算機(jī)特種“木馬”檢測分析的有效性,形成實(shí)際檢查能力。
系統(tǒng)功能
中孚惡意程序輔助檢測系統(tǒng)支持多種協(xié)議,如TCP、IP、UDP、HTTP、POP3、SMTP、FTP、DNS等數(shù)據(jù)包的分析與判斷功能。系統(tǒng)利用多種技術(shù)對可疑程序進(jìn)行智能行為分析,且將目前常見的木馬特征碼,加入到了系統(tǒng)內(nèi)核中,能夠及早的發(fā)現(xiàn)木馬以及其行為。具體功能如下圖所示:
系統(tǒng)特點(diǎn)
● 行為分析技術(shù)
系統(tǒng)利用多種技術(shù)對可疑程序各種行為進(jìn)行智能分析,且將目前常見的木馬特征碼,嵌入到系統(tǒng)內(nèi)核中,及早的發(fā)現(xiàn)木馬,減少對系統(tǒng)和數(shù)據(jù)信息的危害,有效的保障了信息安全。
● 支持多種數(shù)據(jù)協(xié)議
產(chǎn)品功能強(qiáng)大,系統(tǒng)支持多種數(shù)據(jù)協(xié)議(例如:HTTP、TCP、IP、UDP、FTP等等),功能覆蓋廣,保障了檢測的全面性。
● 全面分析木馬活動
網(wǎng)絡(luò)監(jiān)測與單機(jī)體檢相結(jié)合,全面分析木馬活動,提高了檢查的有效性。
● 對可疑行為進(jìn)行多線程掃描
“可疑文件掃描”功能對系統(tǒng)因木馬活動留下的可疑壓縮包文件進(jìn)行多線程快速掃描,并提供預(yù)覽以方便檢查人員取證。
● 簡單易用
系統(tǒng)界面美觀,操作簡單。