毒眼集成安全系统产品介绍

毒眼集成安全系统产品介绍 一 、产品背景 现有的计算机安全产品(防火墙、杀毒软件、IDS等)几乎都是基于某种代码特征进行匹配，从而实现其识别和过滤的功能;另外现有的安全产品基本上是分门别类、“单打一”的，多数杀毒软件主要针对文件进行匹配，而防火墙、IDS则主要针对网络数据包进行过滤和分析。没有一种产品是完全站在系统全局的立场上进行防御的，特别是没有一种安全产品是完全基于智能分析而不是根据事先收集的已知特征进行防御和过滤的;这种防治模式存在两个严重缺陷:其一是安全防御必然滞后于外部攻击，也就是一定要先有用户受害，再进行“对症下药”的防御方式;其二是，名目繁多的安全产品“各干各的”，由于没有统一的集成防御和分析思路，从多个侧面进行防御，看似天衣无缝，实则漏洞百出，用户的安全没有得到有力的保障。假定用户同时安装有杀毒软件、防火墙(即使每种都同时安装了多个产品)，用户进行了升级，安全性依然非常脆弱，比如，用户的机密文件完全有可能被偷偷的拷贝走，用户的电脑上完全有可能被暗中安装了木马等监视软件，除非是已知的木马，否则杀毒软件或防火墙根本不知道，也不会提供任何蛛丝马迹供用户分析;这样用户的安全有什么保障呢,同时杀毒软件、防火墙等都需要用户频繁升级，稍微耽误升级就可能导致失效。另外杀毒软件、防火墙因为必须不断进行特征匹配会带来的系统运行效率的显著下降。有一种真正给用户带来安全的安全 产品呢,是不言而喻的:那就是“毒眼集成安全系统” 二、 产品理念 集成安全系统是基于系统运行轨迹的分析，预警，恢复和追踪的系统。它的基本思想是对系统的运行轨迹进行精确的描述和记录(日志系统)，在此基础上对日志系统进行智能分析，自动分析出系统中暗藏的木马等安全威胁;根据用户的预警方式报警，并通过独创的事件恢复技术使系统恢复到安全危害事件发生前的状态。保证系统运行下的安全。 具体地说,就是通过对用户计算机系统运行轨迹的描述和综合分析,来识别、防御可能遭受的害虫、木马、蠕虫或黑客攻击;并沿着攻击的发生轨迹进行追踪;同时在受到攻击时自动产生的“沿途备份”，以便进行精确的事件恢复,使用户的系统始终自动处于一种稳定的运行状态。 集成安全系统是由若干个控制中心和多个客户端有机组织起来的自动防御、分析和恢复体系。同时每个客户端也可以作为单机版独立运行。其设计思想是:在用户的每个机器上安装客户端软件，负责对本机进行日志、分析、预警和恢复，同时将相关信息上报到控制中心，控制中心将进行综合分析，并将分析结论进一步上报到更高级控制中心，如此形成一个多级联动的自动防御体系，可以有效地保障用户整个网络的安全。 它包括四个子系统: (1).日志系统:全面精确地描述系统的运行轨迹; (2).分析系统:智能分析日志数据，自动分析出系统中出现过的安全威胁; (3).预警系统:根据分析系统的结论，以适当的方式(短信，E-mail等)进行预警;(注:短信和E-mail报警只提供给高级用户，且需要另外收费) (4).恢复系统:根据运行日志和自动进行的关键备份，进行恢复，以删除有害代码，恢复被修改的文件。从而使系统回退到安全状态; 三、产品功能模块 (1)后门监控 全方位监控整个系统的运行轨迹，对后门动作明察秋毫。 (2)智能分析 根据系统的运行轨迹，对系统的运行状态作集成分析，智能识别出来自害虫、木马和黑客的攻击，包括来自内部的攻击和危害; (3)智能恢复 根据害虫(木马、黑客等破坏)的运行轨迹，自动恢复害虫破坏的文件、注册表等，使系统恢复到原来的状态。 (4)快刀 突破害虫的保护，干净地杀掉害虫程序和文件 (5)除奸 自动分析出隐藏在系统中的“内奸”，包括“奇异驱动分析”、“奇异模块分析”和“可疑程序分析”，并列举出他们的关联进程，以便进行“监禁”或删除。 (6)文件保险柜 对用户定义的文件进行安全保护，使它不会被木马窃取或篡改。 (7)整机戒严 整机戒严会将当前系统中的嫌疑文件全部关进“害虫监狱”中，一次性制服电脑中的几乎所有病毒。 (8)害虫监狱 将有害的文件监禁起来，使之失去运行的可能，有效地阻止害虫文件的运行;同时不破坏文件本身，以备他用。 (9)综合分析 自动对全网的机器进行统一的集成分析，可靠的分析出各种害虫，包括“无害”害虫。 (10)害虫传播分析 自动分析害虫在全网中传播轨迹，并生成害虫的传播图。 (11)智能文件分析 对害虫文件的来历进行分析追踪和解释，使害虫的一举一动暴露无遗。 (12)辅助分析 提供用户进行手动分析的辅助工具，并按照用户要求的条件进行查询等操作。 (13)跨平台支持 支持WINDOWS(NT以上平台)、LINUX等多种操作系统异构网络。 四、与同类产品的比较 由于设计思想的不同，集成安全系统跟现有的安全产品有显著的差异。这里做一个简单的比较，以便更加清晰地说明集成安全系统的工作原理。 产品 集成安全系统 杀毒软件 防火墙 IDS 项目 主要防御对象 整个系统 文件 网络数据 网络数据 识别危害的手智能日志分析 特征值 网络包特征 网络特征 段 处理危害的方事件恢复 手术式杀毒 阻止传输 阻止传输 式 预设防御方式 文件保险柜， 无 无 无 紧急备份 对恶意代码的害虫监狱 删除 阻止 阻止 处理 快刀删除 隔离 手工安全分析 全面支持 无 无 无 智能辅助分析 系统消耗 CPU占用均值中 中 中 <1%;内存占 用:非分页内 存<0.5M 升级依赖性 很低 很高 高 高 全网及多网段集成，综合分统计功能，同无 无 集成性能 析，详尽统计 步查杀毒 新危害代码识自动识别 较低 较低 较低 别 五、 产品的环境要求和性能指标 1、运行环境: . Windows2000/NT/XP/2003/VISTA . Linux 2.4 及其以上版本 2、硬件环境 : . CPU:PIII 500 MHz 以上 .内存:64 MB以上，最大 支持内存4GB .显卡:VGA，24位真彩色 .其它:光驱、鼠标 3、语言支持 : .毒眼集成安全系统支持简体中文、繁体中文、和英文等语言，其中英文可以在所有语言 Windows 平台上使用。 4、Windows客户端性能: .系统资源占用率: CPU占用均值<1% . memory占用:非分页内存<0.5M.