最新病毒库日期:

江民网络异常行为检测系统

江民网络异常行为检测系统是一款实现了软件和硬件的完美结合,集成大容量存储的高性能数据包采集和智能分析平台,实现了对网络通讯数据包级的高性能实时智能分析,系统通过对网络通讯的实时捕捉、分析及统计,能够深入检测分析网络中的木马通讯行为、可疑通讯会话、可疑邮件、可疑HTTP下载等各种网络通讯行为。

咨询热线
 010-82511818

功能概述

随着高级持续渗透攻击方式越来越多 ,而且越来越专业和有效。这些攻击通常会利用社会工程学诱骗内部职工去点击带有木马程序的邮件附件,或网站上下载一些带木马的文件网络安全事件分析重点要分析流量的构成与可疑的通信,且APT攻击通常不能在第一时间发现,所以需要对监控单位的网络流量进行长时间的采集和存储。
江民网络异常行为检测系统对各种网络性能和应用性能的关键参数实时分析,同时还能够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。

江民网络异常行为检测系统保存了网络中的所有流量,再通过协议解码技术,高性能数据存储技术,溯源分析技术实现了以下功能:
•  实时和历史流量分析
高效的数据采集以及实时和历史分析,便于在任何时间获取到有效时间的流量数据;
•  整网流量可视化
迅速的发现网络攻击:利用数据包分析技术来发现攻击源
•  预防性管理
高效的网络和安全告警,以便增强预防性能力,防止网络攻击问题的出现;
•  报表报告
网络和应用运行情况的报表报告,便于网络管理维护以及主管领导对网络运行有整体上的宏观把握
•  深度协议分析
对常见的应用协议进行深度的分析,如POP3、 FTP 、HTTP等。
•  应用识别
对常见的应用攻击能够进行识别和匹配,能够进行黑域名的识别和对比,并能够对DOS、扫描、ARP等攻击进行识别。
•  文件还原
能够对高危的木马进行分析,可以智能的还原传输的文件,如图片文件,office文件等。
二、系统组成
1、系统架构
江民网络异常行为检测系统由两部组成,负责进行数据采集和预处理处理的Probe(探针),对探针进行管理收集探针预处理数据,并进行功能实现的、数据存储的中央管理软件。体系架构如下所示

2、中央管理软件
中央管理软件是多种功能集于一身,用于监控网络和应用的性能。领先的高精度可为应用数据流量提供空前的可视性。
中央控制软件可以展示前端发现的一些攻击事件,如使用黑域名方式发现的攻击事件,发现网络中的扫描和DOS攻击等。
控制软件可以对前端系统进行系统配置与管理,开启监控模块,自定义警报等,是系统的策略中心。
3、前端探针(存储服务器)
探针部署在关键的网络链路中,收集网络的使用信息和运行状况。采用探针,可实现对网络中的安全事件进行分析、分析网络流量和发现木马攻击。