上海瀛太信息 明观NTDS网络威胁检测系统 物联监测

明观

NTDS网络威胁检测系统(Network Threat Detection System)

1、产品概述

明观网络威胁检测系统（简称NTDS）是上海百太信息科技有限公司自主研发的安全检测、监控管理的产品，通过流量分析和威胁检测相结合的方法对僵尸网络、远程控制、网站后门、网页篡改、DDOS攻击、漏洞利用、网络盗号、网络欺诈、数据泄漏等9大类安全威胁实时检测。

2、产品优势及特点

威胁识别率高且种类丰富

7X24小时的实时监控平台

支持大流量检测

采用主动与被动相结合的检测方式

实时不断更新的威胁特征库

3、功能描述

僵尸网络

僵尸网络是控制者通过一对多的命令与控制信道对大量被害主机实施控制的网络。通过流量分析，发现基于IRC、HTTP和P2P等协议的僵尸主机及其相关的网络。

远程控制

远程控制是通过非法客户端程序或手段尝试获得远端计算机的系统控制权限。通过远控的流量特征分析，及时发现计算机上的远控程序种类和远程控制的行为。

网站后门

网站后门通常是长期潜藏在网站目录可被随时运行使 用的服务器网页程序文件。通过特征识别和主动验证， 发现网站上被黑客入侵后遗留的ASP、ASPX、JSP和PHP 等类型的网站后门文件。

网页篡改

网页篡改是指网页内容遭到非法修改。通过网页内容检查，发现非法篡改的页面内容及类别，包括色情、赌博、医药等。

网络盗号

网络盗号是指黑客通过非法手段获得各类系统的账号等信息，并通过地下售卖获得利益。通过应用数据分

漏洞利用

漏洞利用指攻击者发现系统存在的缺陷，并在未授权情况下访问或破坏系统的过程。通过对数据包的深度分析来及主动验证来提升检测准确率。

DDos攻击

DDos攻击指多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击。通过行为分析，发现DDos攻击手段、攻击源和攻击目标。

网站欺诈

网站欺诈是指黑客通过精心构造与合法网站相似度很高的虚假网页，诱惑受骗者点击访问，骗取用户敏感信息。通过对比分析，能够检测发现“钓鱼网站”、“虚假中奖“等具有欺诈性质的网站。

数据泄露

数据泄露通常是指包含敏感信息的数据在通信过程中未经加密，或包含敏感信息的网页未经授权控制就可以随意访问。通过对网络通信数据包的分析，发现各种敏感数据泄露事件，如用户登录账号、员工身份信息和通信信息等。

4、检测原理

多引擎结合，从特征匹配到行为分析，描述事件全过程，提高了检测准确率。

5、部署方式

单机部署：

适用于具有基础架构网络、进出口总流量小于6G的用户环境。NTDS设备通过流量镜像或分光采集流量的方式进行旁路检测，并且旁路部署的方式不会对现有网络架构产生影响。

分布式部署：

采用旁路方式部署多探针节点采集数据，由统一服务器分析，发布安全事件。并且可根据服务器负载大小，采用设备堆叠的方式提升性能，从而满足大型网络的检测需求。

（备注：单点部署流量可达100G及以上）

6、产品型号列表

7、应用部署场景

单位接入点

接入点防护单元主要部署在单位网络出口处，部署位置决定了检测的纵深和数据密度，这样能够更好的分析每个单位所有互联网出入数据的合法性，将检测细粒度发挥至高。对于接入点部署场景，由于无下联检测服务器的需要，一般的部署模式为单管理服务器结合多探针的模式，探针可根据流量的大小使用不同配置的单机探针。

城域骨干网

针对于100G以上流量的城域骨干网，采取多层次多平台的部署模式。设立总管理服务器-中间服务器-端点服务器的多层检测模式，针对各级流量的不同，分别使用单机探针或集群式大流量探针，以达到各级检测、统一监管、权限分离的目的。提供整个城域网的安全态势分析，为整体网络安全监控提供决策参考。