股票代碼:300379

移動互聯網惡意程序監控系統
產品特點

  • 高效軟件功能

    支持廣譜的黑白名單,通過分析域名之間的關系,針對指向相同應用的黑白名單進行關聯,形成廣譜黑白名單庫;

    支持應用的標簽分類,通過對應用的簽名、發布廠商、應用描述等特征進行聚類學習、形成分類標簽、關聯相似應用。

    靜態檢測:通過對APK代碼的權限、行為等計算危險性權重,匯總得分判定;

    動態檢測:通過模擬沙箱加載APK程序并啟動運行,對程序的啟動、通信、調用等過程進行跟蹤與異常分析,根據動作的危險性及數據的敏感性進行綜合判定。

    多引擎檢測:集成多種常見的惡意軟件檢測引擎,執行并行檢測,通過仲裁判定。

  • 高性能硬件

    分析處置設備分為:分析&處置設備-機框和專用分析&處置設備-節點。

    具有緊湊的結構因素,可將4個獨立的雙路服務器節點內置于一個緊湊的2U機框中,從而實現智能橫向擴展;熱插拔服務器節點、電源和磁盤驅動器顯著增強了可用性和降低了維護成本;共享冗余和白金級高效電源的使用以及集中安裝的風扇單元使能耗最小化;在單個2U箱體中最大可安裝四個分析&處置設備節點使得該系統的密度比標準機架式服務器翻了一番。底層采用dpdk收包技術,支持高速數據采集與規則檢測引擎;可選配1-4塊業務處理卡,最高處理能力達80G。


產品功能

CNCERT發布的2018年我國互聯網安全態勢綜述中:

1)移動互聯網惡意程序數量283萬余個,同比增長11.7%,盡管近三年來增長速度有所放緩,但仍保持高速增長趨勢。

2)通過對惡意程序的惡意行為統計發現,排名前三的分別為流氓行為類、資費消耗類和信息竊取類。

2)虛假和仿冒移動應用增多且成為網絡詐騙新渠道。危害表現:用戶個人信息泄露、私自下載惡意軟件、造成惡意扣費等。

中國電信建立移動互聯網惡意程序監控防治系統,需要在省公司部署移動互聯網惡意程序的分析和處置功能,在集團建立集中管理模塊,實現與CNCERT之間的交互接口。通過集團下發策略由分析模塊實現惡意程序的識別,由處置模塊實現惡意程序的攔截和封堵功能。

分析模塊由探頭實現,負責捕包、協議解析、數據匯聚、病毒掃描,結果整理等功能,具體分為捕包層、協議解析層、預處理層、反病毒引擎層、數據層等。

處置模塊主要根據管理平臺的指令,通過匹配攔截特征和流量解析結果,完成處置頁面推送和惡意流量阻斷工作。分為流量解析模塊、攔截/重定向模塊和頁面推送接口模塊。

image.png


產品架構

系統分為前端分析設備和后端研判分析平臺

圖片3.png

分析模塊實現由探頭通過捕包平臺對網絡中的數據包進行多網卡捕獲,采用多種方式對協議進行準確的識別,并根據協議類型判斷是否對數據進行處理。反病毒引擎模塊通過對比掃描來自協議解析模塊匯聚提供的數據,根據數據類型的不同,調用不同的分支引擎,并配用不同的特征庫,對相關數據進行對比掃描,從而發現已知病毒的傳輸事件和發作事件。對于發現的各類事件,反病毒引擎會向上輸送詳細的關聯數據。

分析模塊工作流程如下圖所示:

圖片4.png


處置模塊對原網絡透明,不改變拓撲結構、IP地址、路由協議、訪問控制策略等;即不改變原有數據流的路由走向,不增加或減少原有數據流的路由跳數;不向現網發送大量的數據以達到控制流量的目的,發送的干擾數據最大不超過鏈路帶寬的0.1%。其工作方式示意圖如下:


圖片5.png

客戶案例

東方通旗下品牌



?

11选五5江苏一定牛