产品描述

     Dbook恶意域名检测系统以旁路方式接入信息网络，可实现对DNS镜像流量的深度解析，识别信息网络中所有曾发出过DNS请求的在线终端，并可从终端的DNS请求行为中，识别恶意DNS请求，自动判断该终端感染的恶意代码类别。使用该系统可辅助运维人员快速锁定最初的恶意代码感染源，并绘制出恶意程序的传播路径，以支撑网络安全运维人员快速开展应急处置。

    Dbook恶意域名检测系统采用最小化方式安装。仅安装服务所必须的插件，供服务使用；内部无用端口及服务全部封闭，对外仅开启必要端口访问，保证设备自身安全性。

一、研发背景

二、产品价值

    由于恶意域名目前已成为木马攻击、间谍行为、勒索病毒等的重要网络安全重要检测手段之一。

    检测恶意域名可以有效的发现网络中是否存在木马、间谍软件等行为，帮助用户应对因木马攻击、间谍软件、勒索病毒引起的信息危机。

三、功能架构

    镜像流量的深度解析，识别信息网络中所有曾发出过DNS请求的在线终端，并可从终端的DNS请求行为中，识别恶意DNS请求，自动判断该终端感染的恶意代码类别。使用该系统可辅助运维人员快速锁定最初的恶意代码感染源，并绘制出恶意程序的传播路径，以支撑网络安全运维人员快速开展应急处置。

四、部署模式

    单机模式：

    在独立的安全分区网内直接旁路部署监控服务器进行数据监控报警

    分布式级联：

    采用分布式级联架构，采集器（探针）以旁路模式部署在安全三区，进行数据采集，由调度数据网上传数据到地调、省调机房的中心服务器，在省调或地调进行数据汇总并检测报警。中心服务器提供了对下一级分支管理平台的集中管理和策略控制。