恶意程序监测处置系统功能
     特征库信息维护
     同步本地恶意程序特征库、下载URL库、主控URL库、待封堵URL库、疑似样本MD5库等,保障与总部集中管理系统信息保持一致
    数据采集和协议还原
      对Gn口采集来的数据进行报文重组、协议还原分析,支持对http、WAP、MMS、SMTP/POP3、FTP、彩信和手机邮件等各类协议的数据还原能力。
       留存样本文件和网络日志信息。包括MSISDN、IMSI、IMEI、内网IP、APN、网络类型、SGSN_ID、SGSN_IP、GGSN_IP、SGSN端口、GGSN端口、源目的IP、源目的端口、协议类型、发送接收时间、payload数据长度、URL、原始文件名、User-Agent、Content-type、发送方式、Content-Length、样本文件MD5标识值、样本文件及其大小等信息。
     监测功能
       在线实时抓取疑似安装数据包,并进行样本留存
       发现恶意程序疑似传播事件,留存日志信息
       发现移动终端疑似受控事件,包括主控、受控指令,留存日志信息
       在线实时文件过滤,包括文件格式、扩展名、源地址等
       疑似恶意程序的特征比对,提取疑似文件样本信息,去重后定时上报总部集中管理系统
     恶意程序监测处置系统功能
     处置功能
         恶意程序黑名单功能。比对黑名单中的恶意程序下载URL库、主控URL库、待封堵URL库、MD5值等信息,发现恶意程序的传播和受控事件。
        采用TCPRST技术,对于黑名单比对成功的恶意程序进行主动防御和拦载,包括对事件的阻断和重定向。TCPRST原理是由监测处置系统构造并向Gi口发送一对数据包,对于原有的传播和受控通信链接进行拆链和重定向,达到阻断拦截恶意程序的传播及受控事件的目的。
        处置功能支持阻断不告警和阻断告警策略;支持自动添加和删除黑名单;支持人工配置封堵/解封黑名单;成功率100%;可确保用户对黑名单以外的正常访问不受影响。
     数据信息上传
      疑似恶意程序信息,以及捕获的恶意程序样本文件,在省内整理、去重后上传总部平台
      监测及处置的日志信息汇总后,上传总部平台
    查询功能
        支持省分主动访问总部平台各类特征库,查询相关日志信息,发起各类信息同步和更新。