数据包域名列表

序号设备名称型号设备参数1科来网络回溯分析设备(检察院专版)RAS400总体要求:1、总体功能采用分布式部署在关键的网络节点,长期实时分析并捕获流量,同时对捕获到的网络通讯数据包进行长期存储,从而提供对任何时间点的通讯数据进行回溯分析的能力.

2、界面要求支持全中文界面和资料文档,提供全中文的分析界面,提供全中文的文档资料.

支持中英文双语协议解码功能.
3、产品架构标准机架式独立硬件设备,配置存储容量2TB;采集端口:配置2个千兆电口;管理端口:配置2个千兆电口;4、保证与省检察院的信息安全风险预警平台互连互通.
2系统部署1、采用分布式部署,能够部署在远程网络中进行长期实时分析,通过专用的控制台软件读取和导出;2、控制台软件可以通过网络进行远程分析.
3、支持流量镜像、分路器等方式部署.
4、采用镜像方式进行部署时,可以通过设定本地网络,来区分IP地址,并分别统计上行和下行流量.

5、实现链路聚合功能,将多网卡的流量聚合捕获分析.
6、支持多任务分析,针对某网络接口支持多个捕获和分析任务同时进行分析.

3集中管理系统1、基于Web的集中管理,集中管理所有分布式网络流量监测分析系统,收集监测结果数据.

2、集中用户管理,实现添加,配置用户权限,实现用户的权限管理.
3、集中的监测数据呈现,图形化警报数据呈现,警报日志呈现.
4应用定义1、灵活的自定义应用,针对自定义的应用进行流量监测分析.
2、根据TCP/UDP端口或端口范围、端口组自定义应用.
3、根据IP地址、地址组、地址范围自定义应用.
4、根据IP地址+端口自定义应用.
5、根据网段、网段组自定义应用.
5数据捕获保存1、实时捕获并保存网络中的通讯数据包.
2、网络中的通讯数据包能够长期保存,设备的存储容量达到2Tbytes.
3、数据包以专用格式存储,只能采用专用的控制台软件读取和导出,不能用其他工具读取并导出.

4、数据包保存的性能达到300Mbps线速保存能力,数据包处理性能高达100,000pps.

5、可实时长期保存网络中的所有的网络总体流量统计数据包括比特率(上下行)、数据包率(上下行)、网络中TCPSYN数量、TCPSYNACK数量、TCPSYNRST数量,总体流量统计数据能保存至少1个月.
6、实时分析并长期保存网络中的所有数据流统计数据,包括详细的IP会话流、TCP会话流、UDP会话流数据,数据精度到秒级,数据流统计数据能保存至少1个月.

7、捕获数据包时能够根据条件过滤捕获,包括根据IP地址、地址段、通讯协议、TCP/UDP端口等条件过滤捕获.

6数据检索分析1、方便的检索捕获的任意时间范围的网络通讯数据.
2、检索捕获的流量的趋势,包括总体流量的趋势,可区分网络的上行流量和下行流量;数据包趋势,可区分网络的上行数据包和下行数据包;TCP参数趋势,包括TCP同步数据包个数、TCP同步确认数据包个数、TCP同步重置数据包个数;利用率趋势,可区分网络的上行利用率和下行利用率.

3、能够检索指定时间范围的所有应用的通讯流量信息,包括接收发送流量,接收发送数据包等,用户可以根据自己的需求进行应用定义,定义条件包括IP地址、TCP/UDP端口、IP地址组和地址段、端口组或范围,以及多种条件的组合.

4、检索指定时间范围的所有IP主机的通讯流量信息,包括接收发送流量,接收发送数据包,比特率,数据包率,tcp连接请求数量,tcp同步响应数量,tcp同步重置数量,数据包的发收比等流量参数,并能够根据参数的大小进行排序.

5、检索指定时间范围的所有IP主机间的通讯流量信息,包括接收发送流量,接收发送数据包等.

6、检索指定时间范围的所有TCP会话和UDP会话的通讯流量信息,包括接收发送流量,接收发送数据包等.

7、针对应用进行进一步的数据挖掘,分析某个应用中IP主机流量、IP会话、TCP会话和UDP会话详细列表.

8、针对IP主机进行进一步数据挖掘分析,分析某个IP主机的应用、IP会话、TCP会话和UDP会话.

7流量监测报警功能1、对网络中的总体流量异常进行监控和报警.
根据链路的上下行bps、pps、上下行pps、利用率、上下行利用率、每秒tcpsyn个数、每秒tcpsynack个数设定阀值产生警报.
警报的触发时间间隔为1秒,5秒,15秒,60秒.
2、对网络中关键主机的流量参数进行监测和报警.
3、警报流量参数:针对关键主机或全局主机的每秒字节数、收发每秒字节数、数据包数、收发每秒数据包数、平均包长、收发平均包长、数据包发收比、每秒发送tcpsyn包数、每秒接收tcpsyn包数、每秒发送tcpsynack包数、每秒接收tcpsynack数据包数等参数设定阀值,产生警报.
警报条件:可以设定>=条件、=条件、域名列表、域名地址列表进行监测,发现可疑的域名解析,产生警报.

7、对电子邮件内容进行监测,定义敏感字参数,监测邮件内容中是否包含敏感信息.

8、对HTTP内容进行监测,定义敏感字参数,监测HTTP内容中的敏感信息.
9、对TCP/UDP数据流进行监测,通过定义特征值,监测异常的TCP/UDP通讯并产生警报,特征值可包括十六进制和ASCII的特征定义.
定义多种特征的与或关系来监测异常数据流.

10、通过邮件和Syslog将报警信息发给指定接收者.
8数据分析1、对检索到的网络通讯数据包进行深入分析.
2、提供物理端点和IP端点以及IP会话分析视图.
3、提供针对IP端点的入出流量,bps、pps、总流量、总数据包数分析.
4、提供针对IP端点的IP会话数量、TCP连接数量的统计分析,并按大小顺序进行排序.

5、提供针对IP端点的tcp同步包发送/接收数量、同步确认包发送/接收数量、TCP重置包发送/接收数量的统计,并可以按大小顺序进行排序.

6、提供针对IP端点的数据包发送/接收比的统计分析,提供针对IP端点的字节数发送/接收比的统计分析.

7、提供自动的IP端点分组功能,能将不同网段的IP端点按网段自动分组.

9TCP/UDP会话分析1、提供所有的tcp/udp会话列表,提供针对每个会话的数据包、字节数等统计参数.

2、提供针对TCP/UDP会话的流重组功能,将会话中的数据流重组显示.
3、能够对TCP会话中的详细应用数据传输过程进行深入分析,能够区分每一个应用交易处理请求和响应,对传输过程中的重传、重复的确认进行统计,对应用交易处理间隔响应进行分析.

4、提供针对TCP会话的时序图分析功能,能够图形化的显示TCP会话中的数据交互传输过程,能够图形化显示数据传输中的时间间隔.

10安全分析1、提供ARP攻击分析视图,通过流量特征主动过滤疑似感染ARP病毒的主机列表,并在单独的分析视图中展现.

2、提供蠕虫病毒主机分析视图,自动判断存在感染蠕虫病毒的主机的网络行为特征并在单独的分析视图中展现.

3、支持自动判断存在DOS攻击或被攻击现象的主机的网络行为特征并在单独的分析视图中展现.

4、支持自动判断存在TCP端口扫描的主机的网络行为特征并在单独的分析视图中展现.

5、支持自动判断存在可疑的HTTP、POP3、SMTP会话的主机的网络行为特征并在单独的分析视图中展现.

11应用日志1、提供对HTTP访问请求的日志记录功能,能记录所有的HTTP访问URL,并记录至日志文件中.

2、提供对DNS解析请求和响应的日志记录功能,能记录所有的DNS请求和响应日志,记录至日志文件.

3、提供对SMTP/POP3邮件发送接收的日志记录功能,能记录所有的邮件接收发送日志,并能还原保存相应的.