★标准机架式设备,吞吐量1Gbps,标配至少4个千兆电口,2个千兆光口;
★探针与安全态势感知平台同一品牌,支持接入安全态势感知平台;
旁路部署,支持探针同时接入多个镜像口,每个口相互独立不影响;
具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, ?具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和?域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制;
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力;
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
支持对节点检测节点内部主机外发的异常流量进行检测?支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
支持同步DNS审计日志,主要用于平台dns flow分析引擎进行安全分析;同步HTTP审计日志,主要用于平台http flow分析引擎进行安全分析;同步SMB审计日志,主要用于平台SMB flow分析引擎进行安全分析;同步SMTP审计日志主要用于平台smtp flow分析引擎进行安全分析;
支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;
产品应具备独立的Web应用检测规则库,Web应用检测规则总数在(略)条以上;
支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警;
支持通过设备对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式;
★支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;(需提供截图证明并加盖原厂商公章)
★要求所投态势感知产品可接入到市级现有安全态势感知平台,探针为平台收集流量,平台可对接入探针进行策略下发;要求平台厂家出具相关证明材料;
|