僵木蠕

木马与僵尸网络监测处置系统

1、产品概述

恒安嘉新木马与僵尸网络监测处置系统(简称僵木蠕系统)是对城域网出口、省网网间出口、国际口、IDC机房出口及其他网络关口进行实时流量的采集、监测,并可基于流量对木马、僵尸网络、蠕虫病毒等恶意流量进行实时处置,也与其他已建的处置系统进行联动处置。

系统可实现对网络中木马、僵尸网络、蠕虫等恶意程序代码的动作级精确检测,支持旁路阻断、页面重定向、用户提醒等多种处置方式,一方面满足国家对于基础电信运营企业的网络安全监管能力要求,另一方面通过精细化识别能力,可全面提升运营企业网络安全防护的能力,并可通过对防护能力和数据的封装开放给企业、政府及国家其他相关监管单位,在净化网络的同时,为终端企业提供“全方位、立体化”的网络安全防护和保障。

2、产品架构

3、产品功能

基于监管的能力要求,恒安嘉新僵木蠕系统主要包括如下几大功能:

  1. 恶意事件监测模块:恶意事件监测模块通过在网络关口部署专用设备,从流量中实时监测木马程序、僵尸网络、蠕虫病毒传播类事件、控制类事件进行记录,同时支持按照事件类别、事件名称、发生的时间周期等进行统计查询。
  2. 恶意事件处置模块:前端流量采集设备同时可集成恶意事件处置功能,能够通过预设的策略或下发处置策略,对命中的事件进行阻断。
  3. 样本捕获模块:对于网络中传播的已知恶意样本通过流量还原技术进行实时捕获,对于未知的恶意样本或疑似样本可基于规则的配置进行捕获,同时对于下载类的样本还可通过爬虫补充爬取的方式进行捕获。
  4. 样本研判模块:对预处理筛选后的疑似样本,采用相关技术手段(如反编译、反汇编等静态分析技术,网络行为分析、短彩信行为分析、本地行为分析等动态分析技术),输出可能的恶意行为,并根据研判标准进行恶意应用判定,最终提取特征,最终输出研判报告。
  5. 整体态势展示模块:对前端设备上报上来的恶意事件进行态势展示,展示维度分为区域态势、时间趋势、样本捕获事件数量等。
  6. 统计分析模块:对前端设备上报上来的恶意受控事件和恶意传播事件进行多维度统计分析,统计分析维度包括运营商、区域、时间段、事件数以及恶意事件控制端TOP20、恶意事件类别,样本数据情况等。支持通过月报形式形成区域的监控报告,供查看和下载。
  7. 特征库管理:主要进行监测及处置特征的录入以及审核等功能,通过管理员审核的监测或处置规则可直接打包后下发到前端监测设备上,从而可以实现对特定事件的跟踪监控。
  8. 系统管理:系统用户管理、角色管理、日志管理等支撑性功能。

4、产品特点/优势

恒安嘉新僵木蠕系统具备如下特点:

序号 产品特点 具体表现
1 国家级安全特征库能力 恒安嘉新与国家安全中心深度合作承担着中国反网络病毒联盟(ANVA)和中国国家漏洞库(CNVD)两个国家级平台的建设运营支撑工作,受理和维护全国网络病毒库,拥有国内最新、最权威及最公正的病毒特征样本。
2 国家级应急支撑服务能力 恒安嘉新是国家计算机网络应急技术处理协调中心国家级网络安全应急服务支撑单位(国家级)。在全国31个省市、自治区和直辖市设立了安全售后、应急响应服务中心和服务热线,由资深安全技术工程师为用户提供各类售后,应急支持服务。
3 多监测引擎并行监测 产品采用灵活的引擎调用集成设计,除支持自主研发僵木蠕检测引擎、特有的还原引擎外,还可灵活兼容和调度第三方监测引擎的执行,大幅提升互联网木马僵尸网络蠕虫等恶意事件的监测识别能力。
4 行业领先的码流匹配技术 一次数据、多种规则、一次匹配,多次解析,高效可靠。
5 零拷贝结合并行协议栈技术 某节点的报文收发过程中不会出现任何内存中的拷贝。发送实时数据包由应用程序的用户缓冲区直接经过网络接口到达外部网络,接收时网络接口直接将数据包送入用户缓冲区。采用多线程技术将捕获的以太网数据报文还原成应用层数据进行高效分析处理的技术。

5、典型部署架构