僵尸木马网络攻击预警
Botnet attack warning

木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序。计算机一旦被植入木马、而且还会被攻击者远程操控实施对周围其他计算机的攻击，其重要文件和信息不仅会被窃取，用户的一切操作行为也都会被密切监视。木马不仅是一般黑客的常用手段，更是网上情报刺探活动中的主要手段之一。

僵尸网络是指由黑客通过控制服务器间接并集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序、通过网络病毒等多种方式传播出去。由于受控计算机数目很大、成为当前互联网安全的最大威胁，攻击者可利用僵尸网络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动。

僵尸木马网络攻击行为预警通过网络流量旁路方式对国内外主流木马和僵尸网络实施全面监控，保护信息网络安全，对感染木马和僵尸网络主机进行预警，有效遏制木马和僵尸网络带来的危害，对僵尸网络控制机进行定位跟踪，发布木马和僵尸网络分布态势。

僵尸木马网络攻击行为预警通过网络流量旁路方式对国内外主流木马和僵尸网络实施全面监控，保护信息网络安全，对感染木马和僵尸网络主机进行预警，有效遏制木马和僵尸网络带来的危害，对僵尸网络控制机进行定位跟踪，发布木马和僵尸网络分布态势。

功能特性
Functional characteristics

• 专业的协议解析引擎提供了对网络层、传输层和应用层应用的保护。

• 网络通信特征检测技术提供了对已知僵尸、木马和网站后门恶意网络威胁的精确检测。

• 网络通信行为分析技术提供了对未知僵尸、未知木马等疑似网络攻击行为的辅助检测。

• 通过对时间等多种攻击要素的关联分析，提高了对安全事件分析的工作效率。

• 全面的数据分析服务能够满足从实时预警、统计分析到检测详情的各类应用需求。

功能介绍
Function introduction

本产品的主要功能包括：

僵尸网络检测。采用特征匹配、模式匹配和规则算法、对对象网络中所有流量实施解析，包括网络僵尸特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息，检测出网络僵尸信息。

木马攻击检测。采用多重特征匹配、模式匹配和规则算法。对对象网络中所有流量实施解析，检测出网络木马信息，包括网络木马特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息。

网站后门检测。采用规则算法，对对象网络中所有流量实施解析，检测出网站后门信息，包括网络网站账号/口令、相应的主机MAC地址、IP地址、外联IP地址等信息。

疑似木马行为检测。采用多种自主规则算法。包括疑似木马行为特征、相应的主机MAC地址、IP地址、外联IP地址、端口等信息，对对象网络中所有流量实施解析，检测出疑似木马行为。

多层次结果展示。设备提供基于网络僵尸、网络木马、网站后门、网络木马行为的，或攻击主机/受害主机MAC、IP的多层次检测结果，并提供文档、表格等多种检测结果报表输出模式，或按实时、单日、一周、历史的检测时间展示。

安全与防护。采用优化的LINUX平台，大大降低了信息检测信息泄露风险，提高了设备的安全、稳定性能；采用自主加密算法对检测参数和检测结果实施加密，保证数据安全性、完整性；采用分层、分级的访问控制。设备规避了对网络应用数据的保存与分析，防止用户应用数据的泄露。