第1个回答 2013-10-12
序号 功能模块 技术要求
1 分析引擎支持的操作平台类型 Windows2000/NT、Linux、Unix、BSD。
2 入侵痕迹分析的数据范围 包括系统日志、网络服务日志、email邮件、文件版本、磁盘扇区、进程、注册表、网络连接、网络通信、访问历史记录、用户帐号、共享资源、垃圾箱和已安装程序等。
3 特征模板的范围 包括1800多种攻击手法的特征,并支持用户自定义模式。
4 实时监控的范围 包括HTTP、FTP、SMTP、POP3、IMAP、TELNET等通用服务。
5 网络监听范围 基于TCP/IP协议的网络通信。
6 隐蔽性 支持进程注入、端口反弹和流量控制等技术,保证追踪的隐蔽性。
7 扩展能力 支持自定义插件和二次载入技术。
8 自动侦查分析功能 主机基本入侵痕迹分析:提取分析被入侵主机的系统日志、注册表、进程、网络连接、访问记录、用户账号、共享资源等数据中黑客入侵留下的痕迹。
应用服务
日志分析:分析WWW、FTP、SMTP、POP3、NNTP、PROXY等网络服务的日志信息,
提取攻击痕迹和入侵痕迹数据。
进程深层分析:为防止黑客用同名、进程注入等方式进行隐藏、欺骗,本系统对进程相关联的信息进行深层分析,包括进程占用的内存、CPU资源、端口、调用的动态链接库和其它模块文件等。
电子邮件分析:分析电子邮件的邮件头、内容、附件,特别是eml格式的邮件,找出该邮件是否有大量转发、欺骗来源、植入木马或攻击等入侵行为。
通信实时监控分析:实时分析网络通迅数据,从中发现异常的请求和内容。
9 实时监控报警功能 日志实时监控:监控网络对如WWW、FTP、POP3、SMTP等服务的访问请求和日志系统的变化,如新的日志记录或日志系统被篡改和破坏。
日志在线备份:对指定网络服务的日志系统进行实时备份,以防因入侵者破坏日志文件而丢失日志信息。
网络通信实时监控:监控网络对如WWW、FTP、POP3、SMTP等服务的网络通信数据包,或其他基于TCP/UDP协议的网络通信数据包。
网络陷阱:模拟WWW、FTP、TELNET等网络服务,记录对模拟服务的访问信息。
10 远程追踪功能 获取目标主机动态信息:可远程获取目标主机的动态信息包括进程、网络连接、用户操作等。
监听目标主机网络通信:远程监听目标主机的指定协议和指定端口的网络通信数据包,并对其进行包重组和协议还原。
主机类型分析:通过分析捕获的目标主机信息,获取目标主机的类型(肉机/控制机)。
入侵痕迹提取、分析:在捕获的目标主机信息中寻找入侵行为留下的痕迹并对其进行分析,从而获取入侵者的真实地址和入侵手法。
远程控制:在远程目标主机上隐蔽地执行命令和程序,并对目标主机进行有效控制。
"本回答被网友采纳