北京招标网

功能类别

相关要求

流量采集

网络协议

支持常见协议 (略) 络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等

文件协议

支持对流量中出 (略) (略) 发现和还原，并记录文件MD5发送至分析设备

数据库协议

支持常见数据库协议的识别或还原：DB2、Oracle、SQL Server、MySQL、PostgreSQL等协议

会话流量

支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、 (略) 为、登录情况、文件传输、FTP控制通道、SSL加密协商、t (略) 为、 (略) 为描述

自定义协议

▲支持自定义协议和端口， (略) 景下的流量抓取

威胁检测

威胁情报

▲支持基于流量实时IOC匹配功能，设备具备主流的IOC，情报总量 * +万条

Web攻击检测

支持检测针对WEB应用的攻击，如SQL注入、XSS、系统配置等注入型攻击；

(略) 请求伪造CSRF攻击检测；

支持其他类型的WEB攻击，如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测

Webshell攻击检测

▲支持基于工具特征的WEBSHELL检测，能通过系统调用、系统配置、文件的操作来及时发现威胁；如：中国菜刀、小马上传工具、小马生成器等

▲支持基于webshell函数的攻击检测，如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_repla (略) 等

▲支持基于代理程序的攻击检测，如TCP代理程序、HTTP代理程序等

网络攻击检测

支持多种攻击检测，能更全面的从流量中发现威胁，如：协议异常、网络欺骗、黑市攻击、 (略) 等

策略配置

文件还原

支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协 (略) 文件还原

抓包分析

支持通过设 (略) 抓包分析，可定义抓包流量双向或单向、数量、IP地址、端口或协议类型

语义分析

▲ (略) 络请求的语义分析检测， (略) 络请求拆分后从请求头、响应头、请求体、响应体 * 方面详细展示请求内容，并能提升对未知威胁检测能力

旁路阻断

▲支持基于IP地址的旁路阻断，能够在实时镜像的流量中发现恶意IP并实现实时阻断

▲支持基于URL的旁路阻断，并能将U (略) 重定向

自定义弱口令

▲支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。

HTTPS威胁检测

▲支持旁路HTTPS解密、威胁检测。

高级参数

web端提供针对恶意扫描、Flood攻击、IP碎片攻击、ARPSpoof、PingSweep等检测策略配置功能。

管理功能

部署模式

(略) 署，可同时接入多个镜像口，每个镜像口相互独立不影响

系统配置

▲支持AES * 、SM4数据传输加密，确保数据传输的安全性

支持威胁告警信息发送给syslog服务器，支持将威胁告警、威胁等级、网络日志、攻击结果、威胁类型等日志传输给威胁分析平台。

支持与集中 (略) 联动， (略) 情报、规则的升级。

功能类别

相关要求

威胁感知

告警分析

▲支持 (略) 为分析，行为包括 (略) 为、TCP/ (略) 为、 (略) 为、 (略) 为

受害资产分析

▲支持以受害 (略) 分析，分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组

攻击者分析

▲以攻击 (略) 分析， (略) 画像，画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、 (略) 有资产

威胁分析

▲支持从威胁情报、应用安全、系统安全和设备 (略) 景维 (略) * 次分析。

▲威胁情报维度分析包括：情报详情、影响资产列表、 (略) 为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）

▲应用安全的细分维度包括：WEB安全、数据库安全、邮件安全、中间件安全

系统安全的细分维度包括：主机爆破、弱口令、 (略) 为、 (略) 为

云端联动

▲支持与云 (略) 联动，可对攻击IP、C&C域名和恶意样 (略) * 键搜索，查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等

威胁情报

支持基于威胁情报的威胁检测，检测类型包含APT事件、 (略) 络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报

白名单

▲支 (略) 加白，加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称

调查取证

调查分析

▲支持对威胁 (略) 调查分析，结合大数据分析技术以攻 (略) 呈现

场景分析

业务资产主动外连

▲支持对业务资 (略) 为检测，包含：外连IP、外连IP归属、服务商、外连流量大小

DGA域名发现

▲通过机器学习技术发现动态恶意域名，检测准确率≥ * %

HTTP代理发现

▲支持H (略) 为发现，检测内容包含：代理IP、代理端口、代理次数

SOCKS代理发现

▲支持SO (略) 为发现，检测内容包含：代理IP、代理端口、代理次数

异常DNS服务器发现

▲支持异常DNS服务器发现，检测内容包含：异常DNS服务器地址、异常解析地址、上级DNS服务器地址

DNS Tunnel发现

支持DNS Tunnel发现，检测内容包含：请求地址、隧道服务器、请求次数

reGeorg Tunnel发现

▲支持reGeorg Tunnel发现，检测内容包含：tunnel地址、关联图、操作命令、目标IP

异地账号登录

▲支持异 (略) 为检测，检测内容包含：登录IP归属、账号、登录资产IP、使用协议、登录次数、登录成功率

暴力破解

支 (略) 为检测，检测内容包含：登录IP归属、使用协议、爆破次数、爆破成功与否

明文密码泄露

支持明 (略) 为检测，检测内容包含：登录账号IP、账号、密码、使用协议

弱口令监测

支持弱口令检测，检测内容包含：弱口令、弱口令对应账号

敏感关键词邮件

▲支持自定义关键词发现恶意邮件还支持邮件白名单，检测内容包含：发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文

敏感后缀邮件

▲内置异常邮件的后缀库同时支持邮件白名单，检测内容包含：发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文

威胁溯源

网络日志检索

▲支持检索异常报文、域名解析、文件传输、FTP控制通道、 (略) 为、登录动作、 (略) 为、MQ流量、网络阻断、数据库操作、SSL加密协商、TCP流量、T (略) 为、UDP流量、W (略) 络流量日志，并可基于时间、IP、端口、协议、 (略) 负载等多重 (略) 日志检索

告警日志检索

▲支持告警日志检索，可基于时间、告警类型、文件MD5、文件名、文件传输方向、攻击方式、攻击结果、来源/ (略) 属国、IP地址、 (略) 负载等多字段混合搜索

终端日志检索

▲支持检索终端IM文件传输、邮件附件传输、DNS访问、 进程、U盘文件传输等动作的日志，可以及时发现终端上存在的异常现象， (略) 络日志及告警日志深挖威胁的攻击全过程

SPL检索

▲支持通过SPL (略) 详细检索并能够采用多字 (略) 日志检索生成视图

可视化展示

外部威胁态势

▲支 (略) 络攻击态势， (略) 络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势，并支持自动翻转的攻击全景地图展示

威胁事件态势

▲支持大屏展示整体威胁事件态势，包括威胁类型分布、威胁类型TOP5、受害主机TOP5、威胁事件趋势、最新告警事件、威胁星云图

资产风险态势

▲支持大屏展示整体资产风险态势，包含资产树结构、资产分类、开放服务统计、网段管理、资产风险趋势、资产风险状态

安全服务

专家分析服务

▲支持与云 (略) 联动。设备 (略) 时，安全专家在云端分析并撰写威胁分析报告下发到设备上共用户查阅；设备离线时，可将关键数据离线导出上传到云 (略) ， (略) 分析撰写威胁分析报告。

资产管理

自动发现

支持自动从流量中识别资产信息包含：IP、端口、服务、操作系统、MAC

资产分组

▲支 (略) 分组管理，同时支持根据分组过滤资产列表

资产标签

▲支持对资产打标签，同时支持根据标签过滤资产列表

资产列表

▲支持展示自动发现、终端管理系统获取和人工录入的资产信息，信息包括：资产IP、资产名称、分类、责任人、 (略) 门、资产分组、权重、服务、资产标签、设备型号、操作系统、物理地址、网关标识、厂家

网段管理

支持 (略) 网段，系统自动根据 (略) 段发现资产信息

终端联动

支持 (略) 联动获取资产信息，获取的信息包括IP、资产名称、MAC、操作系统

报表管理

快速报表

可自定义选择报表生成的数据范围、报表格式、报表模版

周期报表

支持自定义生成周期、报表格式、报表模版

报表模版

默认提供多种报表模版（支持用户自定义模版），模版包括告警、受害资产、日志、威胁分析等等。

系统管理

(略) 署

▲支持分析平台横向扩展至多台设备集群

终端联动联动

▲支持与终 (略) 联动，发现威胁事件后支持 (略) 追踪溯源发现相应的恶意进 (略) 查杀

防火墙联动

▲支持 (略) 联动，发现威胁事件后支持对攻击IP、恶意域名和受害资 (略) 阻断（将策略下发给防火墙， (略) 阻断）

防火墙集中管理系统联动

▲支持与防火墙集中管理系统，发现威胁事件后支持对攻击IP、恶意域名和受害资 (略) 阻断（将策略下发给防火墙集中管理系统， (略) 阻断）

安全性管理

支持多次登录失败锁定账号和超时登 * 配置

▲支持AES * 、SM4数据传输加密，确保数据传输的安全性

支持自定义WEB访问端口

邮件告警

支持邮件告警功能，可以定时向指定邮箱发送APT事件、攻击利用、恶意软件、拒绝服务等类型的告警信息

级联管理

▲支 (略) 署，下级分析平台向上级分析平台发送告警和相关信息，在上级分 (略) 汇总展示

日志备份

支 (略) 导出备份以及导入恢复

用户管理

可根据用户角 (略) 区分，赋予不同角色用户不同的操作权限（系统管理员、操作员、审计员）

白名单

支持自定义白名单，支持用户新建/导入已有的白名单

运营管理

▲提 (略) 景， (略) 景的切换。每 (略) 景中支持自定义页面数据展示的范围，方便管理人员的日常运维工作