指标项 | 技术参数要求 |
流量 采集 | 支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等 |
支持对流量中出现文件传输行为进行发现和还原,并记录文件MD5发送至分析设备,如可执行文件(EXE、DLL、OCX、SYS、COM、apk等)、压缩格式文件(RAR、ZIP、GZ、7Z等)、文档类型文件(word、excel、pdf、rtf、ppt等) |
|
支持常见数据库协议的识别或还原:DB2、Oracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL等协议; |
|
支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述 |
|
威胁 检测 | 支持基于流量实时IOC匹配功能,设备具备主流的IOC,情报总量30+万条 |
支持检测针对WEB应用的攻击,如SQL注入、XSS、系统配置等注入型攻击; |
|
支持跨站请求伪造CSRF攻击检测; |
|
支持其他类型的WEB攻击,如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测 |
|
支持基于工具特征的WEBSHELL检测,能通过系统调用、系统配置、文件的操作来及时发现威胁;如:中国菜刀、小马上传工具、小马生成器等 |
|
支持基于webshell函数的攻击检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等 |
|
支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等 |
|
策略 配置 | 支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力 |
支持基于IP地址的旁路阻断,能够在实时镜像的流量中发现恶意IP并实现实时阻断 |
|
支持基于域名URL的旁路阻断,并能将URL请求进行重定向 |
|
威胁 分析 | 支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行二次分析。 |
威胁情报维度分析包括:情报详情、影响资产列表、资产的行为(行为包含:DNS解析、TCP流量、UDP流量、WEB访问、文件传输) |
|
应用安全的细分维度包括:WEB安全、数据库安全、邮件安全、中间件安全 系统安全的细分维度包括:主机爆破、弱口令、未授权行为、挖矿行为。 |
|
支持与云端威胁情报中心联动,可对攻击IP、C&C域名和恶意样本MD5进行一键搜索,查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等。 |
|
支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件,并可自定义威胁情报 |
|
支持对告警进行加白,加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称。 |
|
支持对威胁告警事件进行调查分析,结合大数据分析技术以攻击链视角进行呈现。 |
|
可统计并展示任意时间段的流量日志总数、生效威胁情报数、威胁告警等相关信息。 |
|
场景化分析 | 支持对业务资产主动外连行为检测,包含:外连IP、外连IP归属、服务商、外连流量大小。 |
DGA域名发现,通过结合机器学习技术发现动态恶意域名,检测行为特征包含包含请求域名以及检测的准确率。 |
|
HTTP代理发现,检测行为特征包含:代理IP、代理端口、代理次数。 |
|
SOCKS代理发现,检测行为特征包含:代理IP、代理端口、代理次数。 |
|
reGeorg Tunnel发现,检测行为特征包含:tunnel地址、关联图、操作命令、目标IP。 |
|
异地账号登录,检测行为特征包含:登录IP归属、账号、登录资产IP、使用协议、登录次数、登录成功率。 |
|
暴力破解,检测行为特征包含:登录IP归属、使用协议、爆破次数、爆破成功与否。 |
|
明文密码泄露,检测行为特征包含:登录账号IP、账号、密码、使用协议。 |
|
弱口令监测,检测行为特征包含:弱口令、弱口令对应账号。 |
|
支持自定义关键词发现恶意邮件还支持邮件白名单,检测内容包含:发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文。 |
|
调查 分析 | 威胁事件的追踪溯源分析能力,可基于事件告警进行调查分析,对攻击过程进行可视化展现,可展示命中威胁情报的内部主机之间的连接行为,能输出完整的基于时间序列和攻击链的事件报告,事件报告支持word格式导出。 |
日志 检索 | 可对TB级日志做到快速搜索,搜索时间小于30s |
可将日志区分为普通流量日志、告警日志、终端日志,并可按照不同的日志类型就行日志筛选。 |
|
授权 服务 | 需提供12个月产品授权服务,包括:产品功能升级、产品规则库升级、技术咨询、产品威胁情报更新服务、故障判断、故障报修服务。 |
在授权服务有效期内,需提供400技术支持服务,远程技术支持内容包括针对产品的部署问题、配置问题、产品功能问题、产品授权问题、产品升级问题、产品安全性问题、易用性问题、兼容性问题等的远程回复。 |
|
在授权服务有效期内,需提供接收到为更新和增加产品功能,修复产品缺陷而提供的产品功能更新。产品更新支持在线更新或离线更新两种方式进行。 |
|
在授权服务有效期内,需提供服务器入侵检测、网站漏洞利用检测和webshell上传检测模块的规则库升级服务。 |
|
在授权服务有效期内,需提供产品威胁情报更新功能,本地设备可及时获取云端威胁情报库。 |
|
提供的产品授权服务需和现有设备兼容,不存在兼容性问题。 |
|
在授权服务有效期内,需提供在发现有异常问题时对问题设备进行故障判断的服务,确认问题后进行故障登记和报修,供应商跟进故障修复进展直至解决问题。 |
|
其他 | 需提供制造厂商对本项目的售后服务承诺函。 |
