杏悦2娱乐首頁

威脅感知

告警分析

支持告警的深度行為分析，行為包括DNS解析行為、TCP/UDP交互行為、WEB訪問行為、傳輸文件行為

受害資產分析

支持以受害資產維度進行分析，分析內容包括失陷狀態、受到的攻擊類型、威脅級別、處于的攻擊階段、所屬的資產分組

攻擊者分析

▲以攻擊者的維度進行分析，對攻擊者進行畫像，畫像內容包括地理位置信息、國家信息、所屬組織、使用的攻擊手段、攻擊的所有資產（提供截圖，並加蓋原廠公章）

威脅分析

▲支持從威脅情報、應用安全、系統安全和設備安全的業務場景維度對告警進行攻擊帶外分析。（提供截圖，並加蓋原廠公章）

▲威脅情報維度分析包括：情報詳情、影響資產列表、資產的行為（行為包含：DNS解析、TCP流量、UDP流量、WEB訪問、文件傳輸）

▲應用安全的細分維度包括：WEB安全、數據庫安全、中間件安全

系統安全的細分維度包括：暴力破解、弱口令、未授權訪問、挖礦行為、設備安全；

雲端聯動

▲支持與雲端威脅情報中心聯動，可對攻擊IP、C&C域名和惡意樣本MD5進行一鍵搜索，查看基本信息、相關樣本、關聯URL、可視化分析、域名解析、注冊信息、關聯域名、數字證書等

威脅情報

支持基于威脅情報的威脅檢測，檢測類型包含APT事件、僵屍網絡、勒索軟件、流氓推廣、竊密木馬、網絡蠕蟲、遠控木馬、黑市工具、其他惡意軟件，並可自定義威脅情報

白名單

▲支持對告警進行加白，加白參數包括受害IP、攻擊IP、威脅情報、規則、XFF、URL、威脅名稱（提供截圖，並加蓋原廠公章）

行為分析

DNS訪問分析

▲支持可疑DNS解析：能夠檢測發現DGA域名與DNS隧道域名，支持根據時間範圍、請求次數、DNS域名總長度自定義DNS隧道檢測規則（提供截圖，並加蓋原廠公章）

▲支持疑似DNS服務器發現：能夠根據響應DNS請求與發起DNS請求進行行為分類（提供截圖，並加蓋原廠公章）

▲支持鏈路劫持分析：能夠展示被劫持對象、CDN服務器、被劫持資源、文件MD5、訪問時間等詳細信息（提供截圖，並加蓋原廠公章）

▲支持DNS重綁定分析：能夠展示受害IP、攻擊IP、域名、DNS解析記錄、訪問時間等詳細信息（提供截圖，並加蓋原廠公章）

非常規訪問分析

▲支持可疑代理分析：能夠發現socks、http、reDuh、Regeory Tunnel、Tunna等代理類型（提供截圖，並加蓋原廠公章）

▲支持遠程工具分析：能夠發現pc_anywhere、ultra_vnc、chrome_remote_desktop、 oray、teamviewer等遠程工具類型

支持反彈shell分析：能夠展示受害IP、攻擊IP、端口、受害地域/資產組、攻擊地域/資產組、最近訪問時間等詳細信息

郵件行為分析

支持郵件敏感詞與敏感後綴發現，自定義敏感詞與敏感後綴，並能進行郵箱白名單配置

登錄行為分析

支持暴力破解行為檢測，檢測內容包含：源ip、目的ip、使用協議、爆破次數、爆破成功與否等

▲支持異常登錄行為檢測，檢測內容包括：源ip、賬號、登錄資產IP、使用協議、登錄結果等信息，且能進行異常時間配置（提供截圖，並加蓋原廠公章）

▲支持ssh、telnet、ftp、smb等常見協議特權賬號登錄行為分析，且能自定義特權賬號（提供截圖，並加蓋原廠公章）

支持對http、pop3、smtp、Telnet、ftp、imap等協議弱口令分析，且能夠自定義弱口令字典

▲支持明文密碼泄露行為檢測，檢測內容包含：登錄賬號IP、賬號、密碼、使用協議（提供截圖，並加蓋原廠公章）

WEB服務器行為分析

▲支持非常用請求方法分析，展示源ip、目的ip、域名、訪問鏈接、請求方法、狀態碼、最近訪問時間等信息

支持可疑爬蟲或掃描分析，能自定義web訪問頻率，且能設置源IP白名單。

支持後門上傳利用分析，能展示受害ip、攻擊ip、上傳頁面、後門鏈接、利用次數、最近發生時間等詳細信息

數據庫行為分析

▲支持對mysql、mssql、oracle、sybase等常見數據庫高危操作行為分析，其能自定義規則（提供截圖，並加蓋原廠公章）

訪問行為分析

▲支持外部訪問分析，能展示源ip、資產ip、端口、協議、時間等詳細信息，且能自定義源ip白名單（提供截圖，並加蓋原廠公章）

▲支持資產橫向訪問分析，能展示源資產ip、目的資產ip、端口、協議、banner、時間等詳細信息，且能自定義源ip白名單（提供截圖，並加蓋原廠公章）

支持內部資產主機外聯分析，能展示資產ip、外聯ip、外聯地域、端口、協議、時間等詳細信息，且能自定義源ip白名單

▲支持風險端口訪問分析，能自定義風險端口，且能自定義白名單（提供截圖，並加蓋原廠公章）

全包取證分析（與同一品牌全包設備聯動）

告警全包分析

▲可基于告警數據進行全包數據取證分析並兼容wireshark過濾語法對全包數據進行查詢（提供截圖，並加蓋原廠公章）

自定義全包分析

▲與全包設備聯動後，支持根據日期、源ip、目的ip、端口等對全流量數據進行查詢，並支持原始pcap包下載到本地進行分析（提供截圖，並加蓋原廠公章）

天眼狩獵

威脅狩獵分析

▲支持對任意線索的自定義拓線及溯源取證分析，支持以可視化分析畫布形式展示拓線過程並支持結果快照導出；支持對于給定線索的溯源結果展示，包括但不限于攻擊溯源、失陷主機分析、暴力破解分析、弱口令分析等（提供截圖，並加蓋原廠公章）

響應處置

處置編排

▲支持工作流程自定義編排

▲支持聯動服務管理，支持python語言與javascript語言在web頁面編輯聯動服務

▲支持任務腳本自定義編輯，支持python語言與javascript語言在web頁面進行編輯（提供截圖，並加蓋原廠公章）

策略管理

▲支持策略定義，可根據工作流進行處置動作定義，且能根據告警類型、攻擊結果、威脅類別進行聯動策略定義（提供截圖，並加蓋原廠公章）

處置記錄

▲支持編排處置日志記錄，記錄處置時間、受害ip、攻擊ip、告警類型、威脅名稱、域名、處置策略、告警來源等信息（提供截圖，並加蓋原廠公章）

威脅溯源

網絡日志檢索

▲支持檢索異常報文、域名解析、文件傳輸、FTP控制通道、LDAP行為、登錄動作、郵件行為、MQ流量、網絡阻斷、數據庫操作、SSL加密協商、TCP流量、Telnet行為、UDP流量、WEB訪問等網絡流量日志，並可基于時間、IP、端口、協議、上下行負載等多重字段組合進行日志檢索（提供截圖，並加蓋原廠公章）

告警日志檢索

▲支持告警日志檢索，可基于時間、告警類型、文件MD5、文件名、文件傳輸方向、攻擊方式、攻擊結果、來源/目的所屬國、IP地址、上下行負載等多字段混合搜索

終端日志檢索

▲支持檢索終端IM文件傳輸、郵件附件傳輸、DNS訪問、 進程、U盤文件傳輸等動作的日志，可以及時發現終端上存在的異常現象，並可結合網絡日志及告警日志深挖威脅的攻擊全過程（提供截圖，並加蓋原廠公章）

SPL檢索

▲支持通過SPL搜索語句進行詳細檢索並能夠采用多字段組合來進行日志檢索生成視圖（提供截圖，並加蓋原廠公章）

可視化展示

外部威脅態勢

▲支持大屏展示網絡攻擊態勢，包括整體網絡風險指數、告警總數、攻擊次數、攻擊IP數、攻擊源國家/地區TOP5、攻擊態勢，並支持自動翻轉的攻擊全景地圖展示（提供截圖，並加蓋原廠公章）

威脅事件態勢

▲支持大屏展示整體威脅事件態勢，包括威脅類型分布、威脅類型TOP5、受害主機TOP5、威脅事件趨勢、最新告警事件、威脅星雲圖（提供截圖，並加蓋原廠公章）

資產風險態勢

▲支持大屏展示整體資產風險態勢，包含資產樹結構、資產分類、開放服務統計、網段管理、資產風險趨勢、資產風險狀態（提供截圖，並加蓋原廠公章）

訪問態勢

▲支持大屏展示資產包括外部訪問、橫向訪問、內網外聯態勢（提供截圖，並加蓋原廠公章）

安全服務

專家分析服務

▲支持與雲端安全運營中心聯動。設備能連接互聯網時，安全專家在雲端分析並撰寫威脅分析報告下發到設備上共用戶查閱；設備離線時，可將關鍵數據離線導出上傳到雲端安全運營中心，安全專家進行分析撰寫威脅分析報告

安全工具

支持安全服務工具插件化管理

資產管理

自動發現

支持自動從流量中識別資產信息包含：IP、端口、服務、操作系統、MAC

資產分組

支持對資產進行分組管理及對應內網網段的錄入，系統自動根據用戶錄入的網段發現資產信息，同時支持根據分組過濾資產列表

資產標簽

支持對資產打標簽，同時支持根據標簽過濾資產列表

資產列表

支持展示自動發現、終端管理系統獲取和人工錄入的資產信息，信息包括：資產IP、資產名稱、分類、責任人、責任人部門、資產分組、權重、服務、資產標簽、設備型號、操作系統、物理地址、網關標識、廠家

資產互訪

支持展示資產及資產分組之間互訪信息，信息包括：互訪協議、目的端口、互訪次數

脆弱性

支持展示資產漏洞信息，信息包括：資產IP、資產名稱、資產組、漏洞名稱、最近發現時間、威脅級別、漏洞來源、漏洞披露時間、CVE編號、CNNVD編號。並支持導入漏洞知識庫文件。

配置核查

支持展示資產配置核查信息，配置類型包括：敏感端口暴露、明文密碼泄露、弱口令

與眾測平臺對接

▲支持配置展示雲端眾測平臺漏洞信息

報表管理

快速報表

可自定義選擇報表生成的數據範圍、報表格式、報表模版

周期報表

支持自定義生成周期、報表格式、報表模版

報表模版

默認提供多種報表模版（支持用戶自定義模版），模版包括告警、受害資產、日志、威脅分析等等。

系統管理

集群部署

▲支持分析平臺橫向擴展至多臺設備集群（提供截圖，並加蓋原廠公章）

客戶化管理

支持自定義產品名稱、產品logo

運營管理

▲提供告警展示場景，支持展示場景的切換。每個告警展示場景中支持自定義頁面數據展示的範圍，方便管理人員的日常運維工作（提供截圖，並加蓋原廠公章）

聯動管理

支持系統日志、告警日志、原始告警、行為分析信息發送給syslog服務器，支持系統日志、告警日志、行為分析信息發送給郵件服務器，支持將系統日志、告警日志、原始告警、資產配置、行為分析配置信息傳輸給KAFKA

流量傳感器聯動（同一品牌）

支持與流量傳感器進行聯動，發現威脅事件後支持對攻擊IP、惡意域名和受害資產的流量進行封禁

安全性管理

支持多次登錄失敗鎖定賬號和超時登陸配置

▲支持AES256、SM4數據傳輸加密，確保數據傳輸的安全性（提供截圖，並加蓋原廠公章）

支持自定義WEB訪問端口

郵件告警

支持郵件告警功能，可以定時向指定郵箱發送APT事件、攻擊利用、惡意軟件、拒絕服務等類型的告警信息

級聯管理

▲支持二級級聯部署，下級分析平臺向上級分析平臺發送告警和相關信息，在上級分析平臺上進行匯總展示（提供截圖，並加蓋原廠公章）

日志備份

支持對日志進行導出備份以及導入恢複

用戶管理

可根據用戶角色對用戶進行區分，賦予不同角色用戶不同的操作權限（系統管理員、操作員、審計員）

訪問白名單

支持配置平臺訪問白名單

第三方登錄管理

支持配置第三方域賬號登錄

規則管理

支持自定義威脅情報、白名單、弱口令字典、暴力破解規則、漏洞知識庫配置，支持用戶新建/導入已有的規則信息

設備監控

支持查看本級設備及連接設備的狀態信息

★廠商資質

廠商為“信息安全等級保護關鍵技術國家工程實驗室”共建單位

國測信息安全服務資質-安全開發類一級證書

國測信息安全服務資質-雲計算安全類一級證書

通信網絡安全服務能力評定證書安全培訓一級證書

CNCERT 網絡安全信息通報單位

★服務

簽訂合同時設備使用授權書。

★產品測試

為防止投標人虛假應答技術指標，從而造成用戶在實際使用設備過程中無法實現所需的功能，中標公示期間需要提供同型號的樣機進行上述功能和要求的逐一測試驗證，全部通過後執行合同流程，在指定的時間不能提供測試樣機進行測試或測試中發現虛假應標的行為，則中標結果無效，並保留對預中標單位追究相關責任的權利。

1. 

架構支持

支持對實體服務器、虛擬機、VPS和雲服務器等及多種混合環境實施集中管理和監控，同時支持OpenStack等雲操作平臺，Xen、Hyper-V、Vmware、KVM等虛擬化架構。

2. 

操作系統兼容性

支持windows/linux主流操作系統，包括但不限于以下的操作系統：

Windows Server 2003 SP2（x86/x64）、Windows Server 2008（x86/x64）、Windows Server 2012、Windows Server 2016、Windows Server 2019；
RedHat 4.3~RedHat 5.11（x86/x64）、RedHat 6.0~RedHat 6.7（x86/x64）、RedHat 7.0~RedHat 7.2 RedHat8.0 ；
CentOS 4.3~CentOS 5.11（x86/x64）、CentOS 6.0~CentOS 6.10（x86/x64）、CentOS 7.0~CentOS 7.6、Centos8.0；
Ubuntu10.0以上；
Suse 10~Suse 10 sp3、Suse 11~Suse 11 sp3、Suse 12；中標麒麟 ；

紅旗Redflag3~4；

3. 

web中間件支持

支持主流web中間件，包括但不限于以下的web中間件：

IIS 6/IIS 7/IIS 7.5/IIS 8；

Apache 2.0/Apache 2.2/Apache 2.4（x86、x64）； Nginx 1.0.*、Nginx 1.2.*、Nginx 1.4.*、Nginx 1.6.*~1.17.*；

Kangle；

Tomcat、Weblogic、WebSphere、TongWeb、Jboss、Glassfish、Jetty等。

4. 

語言支持

支持全類型網絡流量檢測，包括但不限于以下語言：

Asp,.net,php,java。

5. 

產品安全機制

agent具有反逆向、反調試功能，agent具有自保護功能，管控中心server具有系統防護、網絡攻擊防護功能，agent和server通信采用安全的加密機制。

6. 

支持驅動級防護技術，即使agent被意外關閉，防護依然有效。

7. 

性能占用

程序程序對WEB系統造成的延遲低于2%。程序占用的CPU、內存資源低于10%，系統具有自動降級機制，可設置自殺閾值。

8. 

服務器加固

▲通過服務器內核加固技術，加強操作系統自身對抗惡意代碼和黑客攻擊的能力，抵禦非法提權、非法創建可執行文件等黑客行為，有效降低無補丁可打、無法打補丁帶來的的安全風險。

(1) Windows操作系統權限控制：

將非管理員組賬戶添加到管理員組；在系統目錄下對可執行類型文件進行讀寫操作；添加啟動項；加載沒有數字簽名的驅動；

(2) Linux操作系統權限控制：

修改賬戶信息；修改系統配置文件；添加系統自啟動項；在系統目錄下創建及修改可執行文件；修改系統日志；

（提供相應截圖證明並加蓋原廠公章）

9. 

防暴力破解

▲具有防暴力破解技術，能有效防禦針對RDP、SSH服務的暴力破解。（提供相應截圖證明並加蓋原廠公章）

10. 

安全巡檢

▲針對服務器和網站的目錄及文件進行全面巡檢掃描，對服務器和網站存在的安全隱患進行檢查並修複。“網站安全”主要針對網頁木馬、網站掛馬和暗鏈進行檢查和清除。（提供相應截圖證明並加蓋原廠公章）

11. 

▲可對“安全巡檢”進行自定義設置，設置內容為web巡檢設置、文件忽略列表設置、文件隔離列表設置。其中web巡檢設置包括：情景模式設置、選擇巡檢服務器上哪些網站、自定義巡檢路徑、清理網站掃描緩存等；文件忽略列表設置中，增加到忽略列表的文件，巡檢或瀏覽頁面時將自動跳過；文件隔離列表設置：已被安全隔離的文件，可以在此處進行還原。（提供相應截圖證明並加蓋原廠公章）

12. 

登錄防護

▲“登錄防護”功能，針對Windows及Linux操作系統的遠程登錄進行限制及防護，用戶可對“用戶名”、“IP地址範圍”、“時間範圍”進行具體設置，並通過選擇“允許登錄”、“禁止登錄”等相應的處理方式進行防護。

（提供相應截圖證明並加蓋原廠公章）

13. 

 應用及網站防護

支持通過在web應用(IIS、apache、nginx、tomcat等)中插入waf探針的方式，高效過濾網絡流量，防止黑客利用web應用漏洞或網站漏洞攻擊服務器。

14. 

▲具備“網站漏洞防護”功能包括：SQL注入防護、XSS防護、漏洞利用攻擊防護、web服務器溢出攻擊防護、web服務器文件名解析漏洞防護、HTTP請求頭防護、禁止瀏覽畸形文件、禁止下載特定類型文件、網站瀏覽實時防護等。（提供相應截圖證明並加蓋原廠公章）

15. 

▲具備“網站漏洞防護”功能包括：SQL注入防護、XSS防護、漏洞利用攻擊防護可根據不同檢測對象（URL、Cookie、Post）進行具體防護規則的配置（開啟與關閉）；禁止下載特定類型文件，可自定義設置禁止下載的特定文件類型；網站瀏覽實時防護可自定義設置網頁木馬的文件類型，將對設置列表中的網頁類型進行基于行為的木馬實時檢測；HTTP請求頭防護可自定義設置防護規則，自定義選擇HTTP頭標識進行防護。（提供相應截圖證明並加蓋原廠公章）

16. 

▲支持未知上傳漏洞防護，對網站中存在的文件上傳漏洞頁面進行防護，上傳危險頁面或程序自動攔截。（提供相應截圖證明並加蓋原廠公章）

17. 

▲支持網頁防篡改功能保護網站目錄下的文件不被黑客惡意篡改。當選擇被防護的網站目錄後，其目錄下的所有文件及子目錄所有文件將禁止被篡改。可對網站目錄下的文件進行防篡改設置，包括禁止被創建、刪除、修改等，也可對其中的防篡改目錄及文件進行“放行”操作，允許某些目錄及文件被創建、刪除、修改等。（提供相應截圖證明並加蓋原廠公章）

18. 

運行時程序防護

支持通過在腳本解釋器中插入RASP（Runtime Application Self Protection）探針的方式，對應用系統的流量、上下文、行為進行持續監控，在腳本解析、命令執行等關鍵點上，識別和攔截異常行為，有效防禦0day利用及新型惡意代碼（一句話木馬、變形webshell等）。

19. 

可有效防禦SQL注入、命令執行、文件上傳、任意文件讀寫、反序列化、Struts2 0day利用等基于傳統簽名方式無法防護的未知安全威脅，支持asp .net php java四種語言。

20. 

支持虛擬安全域

支持虛擬化安全域技術（ASVE），將應用進程隔離在虛擬化安全域內，限制應用進程權限，防止黑客利用應用程序漏洞提權、創建可執行文件等非法操作。

21. 

支持WEB進程權限防護：限制WEB服務器進程權限，例如禁止執行cmd.exe等，數據庫進程防護：MySQL 、SQL server 進程防護。

22. 

流可視化
Flow visibility

▲支持監控業務環境中服務器間訪問關系（數據流）並將其可視化。

23. 

▲支持業務資產可視化；業務資產間訪問關系可視化；流量信息可視化；訪問端口可視化以及訪問數量可視化。

24. 

微隔離
Microsegmentation

▲支持基于服務器分布式防火牆技術，可以跨虛擬架構、跨網段定義服務器訪問控制策略，防止攻擊者入侵內部業務網絡後的東西向移動。（提供相應截圖證明並加蓋原廠公章）

25. 

▲可基于網卡驅動，不依賴iptable等系統防火牆，可以基于角色、標簽定義主機、主機應用間的細粒度訪問控制策略。

26. 

網絡訪問控制

▲支持微隔離技術，限制主機非法外連訪問控制，可基于IP、IP段、網址定義進網及出網訪問規則。（提供相應截圖證明並加蓋原廠公章）

27. 

文件防篡改

▲支持驅動級網頁防篡改功能，可以保護整個目錄、網頁或文件不被惡意修改或者變更，支持監控與防護兩種模式。（提供相應截圖證明並加蓋原廠公章）

28. 

▲當選擇被防護的網站目錄後，其目錄下的所有文件及子目錄所有文件將禁止被篡改。可對網站目錄下的文件進行防篡改設置，包括禁止被創建、刪除、修改等，也可對其中的防篡改目錄及文件進行“放行”操作，允許某些目錄及文件被創建、刪除、修改等。（提供相應截圖證明並加蓋原廠公章）

29. 

防端口掃描

可防止利用漏掃等端口掃描工具獲取服務器敏感信息

一鍵禁止端口掃描工具非法探測，可自定義檢測規則

30. 

未知webshell檢測

支持在內核及應用層探針中設置監控點，將本地無法判斷的異常webshell，上傳至雲中心沙盒，通過腳本虛擬機的無簽名檢測技術，有效發現加密、變形webshell。

31. 

可檢測自加密的腳本，可檢測未活動的WebShell，支持php asp .net java 編寫的webshell。

32. 

攻擊溯源

▲支持防護日志功能提供對防護過程中所產生的各類日志的查詢，包括：網站防護日志、系統防護日志、登錄日志、巡檢日志及監控日志。日志包含具體時間、日志類別及描述等信息，用戶可將日志導出，以便保存、查閱。（提供相應截圖證明並加蓋原廠公章）

33. 

▲實現智能化監控及預警，補充傳統安全系統，解決高級持續性安全威脅問題。實現服務器統一安全運維管控，降低業務安全風險面，提升操作系統安全性。

（提供相應截圖證明並加蓋原廠公章）

34. 

可基于內核探針、應用探針多維度收集黑客入侵軌跡，圖形化IOC提供攻擊者IP、攻擊目標、操作手段、落地文件等信息。

35. 

安全監控

可提供服務器核心資源CPU、內存、磁盤，可設置報警閾值，實時掌控服務器狀態。

36. 

威脅情報

支持聚合多維度威脅情報，並于本地的流量檢測引擎、漏掃引擎結合，包括但不限于： IP信譽庫、MD5、漏洞等。