产品描述
Dbook恶意域名检测系统以旁路方式接入信息网络,可实现对DNS镜像流量的深度解析,识别信息网络中所有曾发出过DNS请求的在线终端,并可从终端的DNS请求行为中,识别恶意DNS请求,自动判断该终端感染的恶意代码类别。使用该系统可辅助运维人员快速锁定最初的恶意代码感染源,并绘制出恶意程序的传播路径,以支撑网络安全运维人员快速开展应急处置。
Dbook恶意域名检测系统采用最小化方式安装。仅安装服务所必须的插件,供服务使用;内部无用端口及服务全部封闭,对外仅开启必要端口访问,保证设备自身安全性。
一、研发背景
二、产品价值
由于恶意域名目前已成为木马攻击、间谍行为、勒索病毒等的重要网络安全重要检测手段之一。
检测恶意域名可以有效的发现网络中是否存在木马、间谍软件等行为,帮助用户应对因木马攻击、间谍软件、勒索病毒引起的信息危机。
三、功能架构
镜像流量的深度解析,识别信息网络中所有曾发出过DNS请求的在线终端,并可从终端的DNS请求行为中,识别恶意DNS请求,自动判断该终端感染的恶意代码类别。使用该系统可辅助运维人员快速锁定最初的恶意代码感染源,并绘制出恶意程序的传播路径,以支撑网络安全运维人员快速开展应急处置。
四、部署模式
单机模式:
在独立的安全分区网内直接旁路部署监控服务器进行数据监控报警
分布式级联:
采用分布式级联架构,采集器(探针)以旁路模式部署在安全三区,进行数据采集,由调度数据网上传数据到地调、省调机房的中心服务器,在省调或地调进行数据汇总并检测报警。中心服务器提供了对下一级分支管理平台的集中管理和策略控制。