近年来,境内外敌对势力和情报机构在采取收买、策反、渗透等传统手法的同时,更加注重借助高科技手段进行窃密,目标直指我党政军领导机关、国防军工科研生产单位和重要计算机信息系统,直指我要害部门、部位的涉密人员,直指我党和国家核心秘密。境内外敌对势力和情报机构窃取文件、帐号、信息的手段也在不断变化与进步,其攻击水平不断的提高,加上日趋成熟的攻击工具,以及越来越复杂的攻击手法,使得网络防范面临极大的困难。新型的未知恶意木马、病毒对安装了防病毒、防火墙软件的计算机具有免疫力,依然可通过U盘、网络下载、网站浏览、软件安装等多种途径潜入计算机,对计算机时行肆虐的破坏和信息窃取,威胁极大!如何快速判断计算机是否健康,帮助计算机摆脱病毒、木马的破坏和侵蚀,是信息化维护和安全保密主管部门检查的一个工作重点。
“中孚恶意程序辅助监测系统”是一套包括网络监测和单机体检的综合检查分析系统,专门为职能检查机构及主管部门提供专业、高效、便携的木马检测评估手段,能够快速探测被检主机是否中了已知或未知木马。系统能够记录网络底层报文、监测网络信息流,发现可疑目标主机后,通过单机体检系统进行单机检查取证。我们在深入研究了境内外敌对势力和情报机构窃密方式、特点和规律的基础上,增加了DNS数据包分析、域名实时监控、可疑文件扫描、木马特征码检测等行为分析功能,大大提高了计算机特种“木马”检测分析的有效性,形成实际检查能力。
(1) DNS黑名单:系统内集成了可疑的DNS黑名单数据,可以对被检查网络进行准确的DNS访问数据分析。
(2) 木马特征码报警:系统通过独特的木马特征码提取技术,对特种木马进行准确有效的检测报警。
(3) 支持离线检测:本系统可以通过断网的方式进行离线检查,准确有效的定位可疑目标主机,大大节省检查人员的检查时间和工作量。
(4) 支持网络串联检测:系统无需客户对网内交换机进行繁琐的镜像端口配置,即可进行检测,操作使用方便。
(5) 敏锐的动态检测:分析木马在运行环境中的行为,综合检测启动方式、隐藏方式、通信、网络流量、系统钩子、文件系统等多项特征,利用基线智能评估算法,评测未知木马的危险等级。
(6) 动态跟踪木马行为:对检测出的已知及未知木马进行动态跟踪,利用“智能分析”模块动态跟踪分析其入侵和窃密行为。采用基线安全点分析算法,通过评估模块评估未知木马的风险等级。
(7) 简洁易用:软件载体体积小,携带方便;绿色软件,支持即插即用,不留检查痕迹,对被检计算机没有任何影响。
(8) 兼容性好:系统全面支持Windows 2000、Windows XP、 Windows 2003、和 Windows Vista操作系统。
灵活的部署方式:中孚检测系统支持临检方式与分布式进行部署,简单灵活。
