首页 » 安全产品 » 网络恶意代码检测系统
  • 网络恶意代码检测系统


    产品概述


    国联天成MDS(Malware Detection System)是实时监测网络环境中的恶意代码(病毒、蠕虫、木马等)疫情的安全设备。
    MDS以旁路方式接入网络,对网络效率没有任何影响,其通过专有的网络恶意代码检测引擎SDK对流量进行分析匹配,实现高精度的恶意代码检测、定位感染源头并检测恶意代码的扫描、攻击、传输、植入、控制、升级等各种行为。
    MDS通过包和流两级检测技术,实现了恶意代码检测与网络协议的无关性,任何明文协议传输的恶意代码都会被MDS系统检测到。
    MDS为传统主机协同防病毒机制增加了一条全网警戒线,可以改善大规模网络恶意代码防范的及时性和准确性,因此成为当今网络安全管理的重要组成部分和现有防病毒和防木马体系的必要补充。该产品率先解决了难以实现高速网络环境下全面准确检测恶意代码的全球性难题,MDS将反恶意代码技术带入全局防控时代。


    核心技术


    1、支撑体系

    国联天成的高效恶意代码监控建立在一个完善的支撑体制之上,完全具备了在第一时间获取恶意代码、第一时间分析恶意代码、第一时间形成解决方案的能力。

    2、安全研究处理中心(GLTC CERT)

    国联天成负责反恶意代码关键技术研发、恶意代码分析和安全响应的综合技术部门,由安全研究、应急处理和安全维护方面的专家组成。

    GLTC CERT 负责恶意代码特征库的升级维护,对恶意代码进行监测、分析、跟踪和预警,以及基于公开和未公开漏洞的蠕虫、木马等利用可能性分析。
    GLTC CERT在病毒、蠕虫、僵尸网络跟踪、间谍软件分析等恶意代码处理方面,建立了广泛国际协同机制。

    通过多种渠道的配合,国联天成既保证了对流行样本采集的高效性,同时又保证了样本的覆盖率,能够在第一时间内捕获恶意代码样本,形成了一个庞大的监控预警体系。

    3、恶意代码分析流水线(SAKER)

    国联天成每日处理数万次不重复的恶意代码上报事件,通过黑白名单、神经网络和人工分拣三重体制对所有捕获到的文件进行分拣统计。国联天成还率先把工业流水线思想运用到恶意代码分析过程当中,建立了强大的计算机恶意代码集成分析环境Saker,该环境集成了反汇编跟踪、动态交互分析等工作,并可以指导工程师根据疫情程度进行不同粒度的处理。

    产品特点


    1、精确的网络恶意程序检测能力

    以强大的反病毒技术实力和长时间的病毒库积累为依托,实时检测网络蠕虫、感染式病毒、网页脚本病毒、木马、后门工具、间谍软件等的传输以及多种网络扫描攻击,并准确提供恶意代码类别、恶意代码名称、恶意代码变种版本、恶意代码风险级别和恶意代码能力等相关信息。

    MDS不仅可以对HTTP、FTP、SMTP、POP3等常见应用协议进行检测,同时还能实现对TFTP、NETBIOS以及所有明文通讯协议的检测。
    2、精确定位感染源头
    MDS在第一时间发现网络恶意代码的传播和其他恶意行为,并实现准确定位,预警恶意代码事件并提供恶意代码事件的源头,锁定源IP和MAC地址。
    对网络运行影响最大的是内网节点感染恶意代码后的疯狂扫描攻击造成基层网络设备或网络出口设备的瘫痪(雪崩效应),MDS采用了控内胜于防外的思想,对从内网发起的病毒事件优先处理,有效的防范了雪崩效应的发生。
    MDS提供了每日感染恶意代码清单和高威胁主机的列表,便于做出统一的处置方案或者公布预警信息。
    3、全面监控恶意代码行为
    MDS采用基于内容检测为主,辅以行为分析的方式,既实现了恶意代码的精确检测,也可以对网络恶意代码的扫描、攻击、植入、控制、升级等行为做出全面检测。
    通过行为检测在恶意代码感染主机之前就可以发现其可疑行为,进行预警。同时也实现了对未知恶意代码的有效预警。

    典型应用


    MDS