 |
|
瑞星网络安全监测系统,简称NDS,是瑞星公司自主研发的,专为单一层次网络环境所设计的安全预警产品。产品集病毒扫描、入侵检测和网络监视功能于一身,能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,使用模式匹配和统计分析的方法,检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并记录相关事件于数据库中,作为管理员事后分析的依据。其主要功能为:
NDS系列产品的面市,意味着拥有丰富行业安全项目经验的瑞星网络安全预警产品将不仅局限于政府机构等大型用户群体,将真正的走进企业安全市场。让更多的用户,体验到瑞星的专注与执着。
全面检查各种病毒
瑞星公司完全自主开发的病毒引擎是可靠查获病毒的有力保障。每一版病毒引擎的推出,都意味着更多的平台支持,更多的功能,更完美的实现。
NDS系统是完全针对网络数据流的防病毒系统。传统杀毒引擎不能处理网络数据,无法对网络中的数据进行病毒的查获。这需要对病毒引擎在对处理网络数据方面做改进,使其能够分析网络中数据流中包含的病毒。
能够查获未知病毒引擎
未知病毒上报是NDS在网络中捕获的新型病毒,由于系统的病毒库中没有病毒的特征码所以暂时没有确定名称,这样保证了系统不会放过任何危险的病毒。
完善的升级机制和迅速更新的特征库
瑞星防病毒监测网遍布全世界,能够在最短时间内得到病毒样本,反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库,然后提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具有未知病毒的查获能力和病毒行为的预判断能力,也不能保证在病毒以一种非常规的或者以一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库,让NDS工作在最佳状态,在病毒大规模爆发前就使其被扼杀在摇篮之中,起到NDS系统真正的预警功能。
NDS系统可以按照预先设定的时间间隔定期访问瑞星网站,一旦发现新的更新数据,将立即下载到本地,保证每个模块处于最良好的状态。不会对影响网络安全的事件视而不见。如果在一些核心的应用中,NDS系统所处的网络是和互联网物理隔绝的,管理中心无法自动升级,管理员可以选择手动升级的方式来升级整个系统。
检测口无IP地址
理论上,任何网络安全设备在能够连通外部网络情况下,都不能保证100%的安全。但是对于NDS来说,监测口在能够获取网络数据的前提下,拥有一个不完全的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯,同时,管理口完全可以处在和外部网络物理隔绝的核心网络,达到管理和监测分离的部署方式。
零拷贝技术
在现在的操作系统中,因为安全等因素将用户空间和内核空间完全分离。在用户进程和内核进程交换数据时,就需要将数据从两个空间来回拷贝。为了提高交换数据的效率,很多操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能,不过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量数据交换时,数据拷贝过程将占用程序CPU运行时间的很大比例。这样势必会极大地影响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化,以及对用户空间的程序的修改与优化,瑞星研发了一种特殊的拷贝技术,即:数据在内核和用户空间内共享的数据“零拷贝”技术。
通过特殊的技术在用户空间和内核空间共享数据,同时又利用一种良好的安全策略来保证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有的安全性的情况下,减少拷贝数据的时间,使整个系统将时间片全部集中在数据处理上。不但有效的利用CPU时间,而且也减少了系统资源的占用。
迅速定位安全事件相关IP地址的物理位置
用户自定义监控单位,在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置和所有人。系统集成了公网IPv4的地址库,可以根据日志中的IP信息定位病毒源所处的物理位置。
详细的安全事件信息
NDS系统的日志系统负责记录管理员的操作日志,以便查询,防止由于误操作引起整个NDS系统不能正常工作。同时也记录了非法用户访问日志,防止由于非法用户猜测密码而进入系统。
巨大的存储空间为长时期存储网络事件提供了有力保障。同时,详细的安全事件记录能够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管理员迅速了解一段时间以来的网络事件,也能让领导明白近期网络中所发生的安全事件。带有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。
NDS系统所支持的报表非常完善、支持自定义各种图形化的报表。可以设定重点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。
完善的报表系统
NDS系统具有完善的统计报表功能,可以规律的按日、周、月、季、年来进行报表的统计,更可灵活的自定义报表的统计周期,便于用户根据实际工作需要进行设置。各种报表均对应配有图示,为用户更为直观的进行展示。
灵活的部署机制
NDS系统支持多种部署机制,支持旁路监测、串行监测、再次镜像数据等技术。
旁路监测:不影响原有网络拓扑,旁路接入到网络环境中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。
串行监测:串行接入到网络中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。
再次镜像数据:可以将监测口监测到的数据通过其它网络接口转发出去,以备接入其它更多的监测设备,在不用采购更复杂镜像设备的同时提高网络监控深度和广度。
注:旁路监测和串行监测功能类似,只是接入方式不同,用户可以根据需要自行选择接入方式,同时支持多路监测和混合监测。
多种协议病毒检测
NDS系统监测通过HTTP协议、FTP协议、SMTP协议、POP3协议、SAMBA协议、IPMSG协议等传输的数据包是否包含病毒文件,用户可以灵活根据实际情况自定义协议匹配的端口。
全面的流量分析
NDS系统实时监测网络中的流量情况,且对这些流量进行分析、统计。可以按单位和协议等不同角度进行分析,还可以对TCP数据包、UDP数据包、ARP请求、ICMP请求分别进行分析和统计,可以统计出收包数、发包数、收字节等详细信息。
在线连接信息分析
统计建立的连接数、也可对连接的详细信息进行分析、查看,如使用的协议、源IP、目的IP、端口、包数、字节数等。连接信息可以按协议、源IP、目的IP和IP对进行汇总。同时会对查询出的数据进行柱状图展示。通过分析连接信息,很容易定位高并发低流量等可疑主机。
挂马监控
通过匹配恶意网址库查询到所访问的网页中是否有指向恶意网站的链接,及恶意网站的传播情况和受害网站的受害情况。挂马监控显示的是当前最新的10条网页挂马情况。
病毒传播
NDS系统能够根据数据流监测设备监测到的病毒传播的汇总数据,整体显示当日24小时范围内的病毒传播次数走势图,使用户总体把握当日某段时间的病毒传播情况。也可以按单位和地区进行数据统计整体展示给用户。系统更能智能化的根据排名进行病毒传出TOP、病毒接收TOP、传毒主机TOP和受毒主机TOP的展示。展示图多样化的包含饼图、柱状图和折线图等多种图形的展示。通过对病毒传播趋势的分析,使用户能全面的、更好的把控病毒传播情况。
单位病毒安全评价
NDS系统能够监测到网络内部各单位的传毒和受毒情况,包括单位感染次数、传毒次数和受毒次数等详细信息。对单位的安全情况评价共分四个等级:正常、轻度异常、异常和严重异常。等级越严重的标志则颜色越深越醒目,以此提示用户注意当前情况。系统会对当前单位病毒安全情况的变化趋势进行预警。而且会对单位的安全情况进行分析和监控,将最活跃的前十个单位以列表形式展示给用户。
反病毒功能 | 管理功能 |
病毒库即时更新 | 网络诊断 |
虚拟脱壳引擎 | SNMP管理 |
支持检测HTTP\FTP\SMTP\POP3\SMB\IPMSG协议 | 支持多个管理员 |
自定义检测文件大小 | 支持SSH/Web/串口管理 |
检测未知病毒 | 支持命令行配置 |
检测可疑脚本 | 支持Raduis服务器认证 |
检测图片病毒 | 系统配置备份和恢复 |
检测dos可执行病毒 | 日志告警 |
病毒文件样本保留 | |
传输文件格式检测筛选 | |
支持配置协议非标准端口 | |
检测挂马病毒网站和恶意URL | |
检测功能 | 日志功能 |
支持串行接入检测 | 病毒传播日志 |
支持旁路镜像检测 | 协议传输日志 |
支持混合多接口检测 | 系统日志 |
传统复合文件病毒检测 | 管理日志 |
网络蠕虫类病毒检测 | 流量日志 |
异常流量监测 | 日志存储在远程服务器 |
URL挂马监测 | 各种日志下载 |
支持转发镜像数据用于其他监控设备 |
串行桥接模式部署
旁路镜像模式部署
| 产品型号 | 产品外观 | 描述 |
| NDS-1000 |  | 1U机架安装设备 |
地址:北京市中关村大街22号•中科大厦1305室 邮编:100190 总机:(010)82678866 传真:(010)62564934
版权所有 北京瑞星信息技术有限公司 许可证号:京ICP证080383号 京ICP备08104897号
备案编号:京公海网安备110108001247号 京网文[2011]0121-043号
