English

移动互联网恶意程序监控系统
产品特点

 • 高效软件功能

  支持广谱的黑白名单,通过分析域名之间的关系,针对指向相同应用的黑白名单进行关联,形成广谱黑白名单库;

  支持应用的标签分类,通过对应用的签名、发布厂商、应用描述等特征进行聚类学习、形成分类标签、关联相似应用。

  静态检测:通过对APK代码的权限、行为等计算危险性权重,汇总得分判定;

  动态检测:通过模拟沙箱加载APK程序并启动运行,对程序的启动、通信、调用等过程进行跟踪与异常分析,根据动作的危险性及数据的敏感性进行综合判定。

  多引擎检测:集成多种常见的恶意软件检测引擎,执行并行检测,通过仲裁判定。

 • 高性能硬件

  分析处置设备分为:分析&处置设备-机框和专用分析&处置设备-节点。

  具有紧凑的结构因素,可将4个独立的双路服务器节点内置于一个紧凑的2U机框中,从而实现智能横向扩展;热插拔服务器节点、电源和磁盘驱动器显著增强了可用性和降低了维护成本;共享冗余和白金级高效电源的使用以及集中安装的风扇单元使能耗最小化;在单个2U箱体中最大可安装四个分析&处置设备节点使得该系统的密度比标准机架式服务器翻了一番。底层采用dpdk收包技术,支持高速数据采集与规则检测引擎;可选配1-4块业务处理卡,最高处理能力达80G。


产品功能

分析模块由探头实现,负责捕包、协议解析、数据汇聚、病毒扫描,结果整理等功能,具体分为捕包层、协议解析层、预处理层、反病毒引擎层、数据层等。

处置模块主要根据管理平台的指令,通过匹配拦截特征和流量解析结果,完成处置页面推送和恶意流量阻断工作。分为流量解析模块、拦截/重定向模块和页面推送接口模块。

image.png


产品架构

系统分为前端分析设备和后端研判分析平台

图片3.png

分析模块实现由探头通过捕包平台对网络中的数据包进行多网卡捕获,采用多种方式对协议进行准确的识别,并根据协议类型判断是否对数据进行处理。反病毒引擎模块通过对比扫描来自协议解析模块汇聚提供的数据,根据数据类型的不同,调用不同的分支引擎,并配用不同的特征库,对相关数据进行对比扫描,从而发现已知病毒的传输事件和发作事件。对于发现的各类事件,反病毒引擎会向上输送详细的关联数据。

分析模块工作流程如下图所示:

图片4.png


处置模块对原网络透明,不改变拓扑结构、IP地址、路由协议、访问控制策略等;即不改变原有数据流的路由走向,不增加或减少原有数据流的路由跳数;不向现网发送大量的数据以达到控制流量的目的,发送的干扰数据最大不超过链路带宽的0.1%。其工作方式示意图如下:


图片5.png

客户案例

东方通旗下品牌