【IT168信息化】随着网络应用的普及，以及人们对计算机和网络的依赖程度越来越高，很多重要的信息开始大量存放在电脑中并且通过网络进行传递，网上购物、网上娱乐、网银交易等应用也成为了人们生活和工作的一部分。然而制约网络应用与发展的最大障碍就是泛滥在网络上的恶意代码，也就是网络木马病毒，这些病毒造成用户系统崩溃、网络瘫痪、重要的商业信息、个人隐私信息泄漏等，造成了用户巨大的经济损失。严重影响了网络的应用与发展。

　　恶意代码是一种违背目标系统安全策略的程序代码，造成目标系统信息泄漏、资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，未经授权访问或破坏计算机系统完整性。恶意代码包括计算机病毒、网络蠕虫、木马等等。非授权性和破坏性是恶意代码的两个主要特点。

　　在信息技术蓬勃发展的大背景下，恶意代码出现了值得关注的新特点、新技术、新趋势。目前，恶意代码行业已基本形成黑客培训、代码制造、出售、传播、攻击、销赃、洗钱的链式地下黑色经济产业。在恶意代码产业化的形势下，恶意代码开始朝着更具隐蔽性、抗杀性、针对性的方向发展。恶意代码的危害性日益扩大。恶意代码的传播和植入能力由被动向主动转变，由本地主机向网络发展，恶意代码具有更强的隐蔽性，不仅实现进程隐藏和内容隐藏，而且也能做到通信方式隐藏。在攻击目标方面，恶意代码由单机环境向网络环境转向，从有线网络环境向无线网络环境演变。更令人担忧的是，恶意代码逐渐拥有抗监测能力，如通过变形技术来逃避安全防御机制。

　　而恶意代码防护技术是恶意代码传播和危害的被动性产物，形象地说就像处在一种‘不停地向外舀水’的状态，但不管怎么舀水，都无济于事，因为攻击者永远领先，用户始终处于被动检测和被动防御方式。在互联网快速发展的今天，恶意代码的传播在网络环境中具有高度的主动性，并且由于恶意代码传染源在网络中的分布性，传统的基于主机的病毒防御技术和基于网络边界的防火墙技术都不能完全适应不断大规模爆发的恶意代码的检测和防御的需要。而通过分析恶意代码在网络传播中的方式和分析网络上恶意代码传播的数据，对网络中的主机的网络行为进行分析来进行未知恶意代码检测，是恶意代码检测技术研究的新方向。

　　国都兴业信息审计系统技术(北京)有限公司联合国家(解放军)信息技术安全研究中心，利用具有自主知识产权的网络数据流的快速捕获技术、网络会话流还原技术、高性能网络会话流快速扫描技术、快速模式匹配算法、恶意代码行为活动特征识别分析技术，研究开发了慧眼恶意代码综合监控系统。

　　国都兴业慧眼恶意代码综合监控系统是一套针对恶意代码网络行为及恶意代码网络传输内容的安全监测系统，支持活动木马的监控与报警、恶意代码传播的监控与报警、网络异常行为的实时监控等功能，可以全面地对网络中的各种信息进行安全监控和记录。

　　慧眼恶意代码综合监控系统不同于目前传统的防护产品的工作方式，不需要在用户网络上安装任何软件，也不需要改变用户的网络结构与配置，只要将该系统设备采用旁路监听的方式(基于TAP或端口镜像方式)接入用户网络，就能实现对恶意代码的实时监测。

　　慧眼恶意代码综合监控系统不同于传统的恶意代码监测和防护的技术手段。除了基于特征库的恶意代码监测，它主要基于恶意代码活动时的网络行为特征来识别、监测恶意代码的通信行为。恶意代码无论在不同的网络环境，还是不同类型的主机操作系统，甚至进行加壳或变异，其网络通讯的行为特征相对固定。

　　慧眼恶意代码综合监控系统的主要特点包括：

　　基于多检测引擎的综合检测技术

　　采用多种恶意代码特征检测引擎，包括动态检测引擎、静态检测引擎和异常通信行为检测引擎，对已知和未知恶意代码进行综合的检测和分析。

　　基于恶意代码网络特征进行检测的新型检测手段

　　利用网络监测技术实现恶意代码监测，不需要在用户端安装任何代理软件，不受恶意代码加壳、加花、变种、翻墙技术的影响，不依赖恶意代码运行的系统环境。采用此技术，不但能识别已知恶意代码，而且还能识别加壳、加花、变种的未知恶意代码。

　　能够实时监测恶意代码的各种网络活动，包括对目标系统实施的各种操作行为，如：下载目标设备的各种文档，修改系统配置、截获屏幕、上传恶意程序、浏览磁盘目录、删除文件等，能够完整记录恶意代码对目标实施操作的所有网络通信的内容。

　　不占用用户电脑资源，部署容易。

　　重点区域监控

　　对互联网中高危区域发起的攻击、渗透和异常访问事件进行全面的监控、预警和记录。

　　数据取证

　　恶意代码综合监控系统可以记录恶意代码通信行为的全过程，为事后评估和调查取证提供了充足有效的依据。

　　对恶意代码安全事件进行详细记录，可以进行方便的溯源，定位出现问题的设备。

　　旁路监听的接入方式

　　支持基于TAP和端口镜像的网络接入方式，这些接入方式都属于旁路侦听方式，不改变用户网络结构，不影响网络的性能;

　　多级和多点的部署方式

　　支持多级和多点管理模式。支持多级、分布式管理模式，便于适应不同规模、多种类型的网络环境;

　　可靠的自身安全性

　　恶意代码综合监控系统通过系统自身三权分立管理，用户高强度密码认证，https加密传输协议，关闭不必要的网络服务等方式，确保系统自身安全性。

　　恶意代码监控是应对重要信息内容泄密威胁的有效防护手段，可以帮助企业净化网络环境、规范上网行为、满足合规性要求、预防被动泄密、减少主动泄密，为用户的网络信息安全提供坚实的保障。慧眼恶意代码综合监控系统在政府、军队、电力、银行、证券、互联网等行业均有全面的解决方案和成功案例。