威胁感知

告警分析

支持告警的深度行为分析，行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为

受害资产分析

支持以受害资产维度进行分析，分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组

攻击者分析

▲以攻击者的维度进行分析，对攻击者进行画像，画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产（提供截图，并加盖原厂公章）

威胁分析

▲支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行攻击带外分析。（提供截图，并加盖原厂公章）

▲威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）

▲应用安全的细分维度包括：WEB安全、数据库安全、中间件安全

系统安全的细分维度包括：暴力破解、弱口令、未授权访问、挖矿行为、设备安全；

云端联动

▲支持与云端威胁情报中心联动，可对攻击IP、C&C域名和恶意样本MD5进行一键搜索，查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等

威胁情报

支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报

白名单

▲支持对告警进行加白，加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称（提供截图，并加盖原厂公章）

行为分析

DNS访问分析

▲支持可疑DNS解析：能够检测发现DGA域名与DNS隧道域名，支持根据时间范围、请求次数、DNS域名总长度自定义DNS隧道检测规则（提供截图，并加盖原厂公章）

▲支持疑似DNS服务器发现：能够根据响应DNS请求与发起DNS请求进行行为分类（提供截图，并加盖原厂公章）

▲支持链路劫持分析：能够展示被劫持对象、CDN服务器、被劫持资源、文件MD5、访问时间等详细信息（提供截图，并加盖原厂公章）

▲支持DNS重绑定分析：能够展示受害IP、攻击IP、域名、DNS解析记录、访问时间等详细信息（提供截图，并加盖原厂公章）

非常规访问分析

▲支持可疑代理分析：能够发现socks、http、reDuh、Regeory Tunnel、Tunna等代理类型（提供截图，并加盖原厂公章）

▲支持远程工具分析：能够发现pc_anywhere、ultra_vnc、chrome_remote_desktop、 oray、teamviewer等远程工具类型

支持反弹shell分析：能够展示受害IP、攻击IP、端口、受害地域/资产组、攻击地域/资产组、最近访问时间等详细信息

邮件行为分析

支持邮件敏感词与敏感后缀发现，自定义敏感词与敏感后缀，并能进行邮箱白名单配置

登录行为分析

支持暴力破解行为检测，检测内容包含：源ip、目的ip、使用协议、爆破次数、爆破成功与否等

▲支持异常登录行为检测，检测内容包括：源ip、账号、登录资产IP、使用协议、登录结果等信息，且能进行异常时间配置（提供截图，并加盖原厂公章）

▲支持ssh、telnet、ftp、smb等常见协议特权账号登录行为分析，且能自定义特权账号（提供截图，并加盖原厂公章）

支持对http、pop3、smtp、Telnet、ftp、imap等协议弱口令分析，且能够自定义弱口令字典

▲支持明文密码泄露行为检测，检测内容包含：登录账号IP、账号、密码、使用协议（提供截图，并加盖原厂公章）

WEB服务器行为分析

▲支持非常用请求方法分析，展示源ip、目的ip、域名、访问链接、请求方法、状态码、最近访问时间等信息

支持可疑爬虫或扫描分析，能自定义web访问频率，且能设置源IP白名单。

支持后门上传利用分析，能展示受害ip、攻击ip、上传页面、后门链接、利用次数、最近发生时间等详细信息

数据库行为分析

▲支持对mysql、mssql、oracle、sybase等常见数据库高危操作行为分析，其能自定义规则（提供截图，并加盖原厂公章）

访问行为分析

▲支持外部访问分析，能展示源ip、资产ip、端口、协议、时间等详细信息，且能自定义源ip白名单（提供截图，并加盖原厂公章）

▲支持资产横向访问分析，能展示源资产ip、目的资产ip、端口、协议、banner、时间等详细信息，且能自定义源ip白名单（提供截图，并加盖原厂公章）

支持内部资产主机外联分析，能展示资产ip、外联ip、外联地域、端口、协议、时间等详细信息，且能自定义源ip白名单

▲支持风险端口访问分析，能自定义风险端口，且能自定义白名单（提供截图，并加盖原厂公章）

全包取证分析（与同一品牌全包设备联动）

告警全包分析

▲可基于告警数据进行全包数据取证分析并兼容wireshark过滤语法对全包数据进行查询（提供截图，并加盖原厂公章）

自定义全包分析

▲与全包设备联动后，支持根据日期、源ip、目的ip、端口等对全流量数据进行查询，并支持原始pcap包下载到本地进行分析（提供截图，并加盖原厂公章）

天眼狩猎

威胁狩猎分析

▲支持对任意线索的自定义拓线及溯源取证分析，支持以可视化分析画布形式展示拓线过程并支持结果快照导出；支持对于给定线索的溯源结果展示，包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等（提供截图，并加盖原厂公章）

响应处置

处置编排

▲支持工作流程自定义编排

▲支持联动服务管理，支持python语言与javascript语言在web页面编辑联动服务

▲支持任务脚本自定义编辑，支持python语言与javascript语言在web页面进行编辑（提供截图，并加盖原厂公章）

策略管理

▲支持策略定义，可根据工作流进行处置动作定义，且能根据告警类型、攻击结果、威胁类别进行联动策略定义（提供截图，并加盖原厂公章）

处置记录

▲支持编排处置日志记录，记录处置时间、受害ip、攻击ip、告警类型、威胁名称、域名、处置策略、告警来源等信息（提供截图，并加盖原厂公章）

威胁溯源

网络日志检索

▲支持检索异常报文、域名解析、文件传输、FTP控制通道、LDAP行为、登录动作、邮件行为、MQ流量、网络阻断、数据库操作、SSL加密协商、TCP流量、Telnet行为、UDP流量、WEB访问等网络流量日志，并可基于时间、IP、端口、协议、上下行负载等多重字段组合进行日志检索（提供截图，并加盖原厂公章）

告警日志检索

▲支持告警日志检索，可基于时间、告警类型、文件MD5、文件名、文件传输方向、攻击方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索

终端日志检索

▲支持检索终端IM文件传输、邮件附件传输、DNS访问、 进程、U盘文件传输等动作的日志，可以及时发现终端上存在的异常现象，并可结合网络日志及告警日志深挖威胁的攻击全过程（提供截图，并加盖原厂公章）

SPL检索

▲支持通过SPL搜索语句进行详细检索并能够采用多字段组合来进行日志检索生成视图（提供截图，并加盖原厂公章）

可视化展示

外部威胁态势

▲支持大屏展示网络攻击态势，包括整体网络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势，并支持自动翻转的攻击全景地图展示（提供截图，并加盖原厂公章）

威胁事件态势

▲支持大屏展示整体威胁事件态势，包括威胁类型分布、威胁类型TOP5、受害主机TOP5、威胁事件趋势、最新告警事件、威胁星云图（提供截图，并加盖原厂公章）

资产风险态势

▲支持大屏展示整体资产风险态势，包含资产树结构、资产分类、开放服务统计、网段管理、资产风险趋势、资产风险状态（提供截图，并加盖原厂公章）

访问态势

▲支持大屏展示资产包括外部访问、横向访问、内网外联态势（提供截图，并加盖原厂公章）

安全服务

专家分析服务

▲支持与云端安全运营中心联动。设备能连接互联网时，安全专家在云端分析并撰写威胁分析报告下发到设备上共用户查阅；设备离线时，可将关键数据离线导出上传到云端安全运营中心，安全专家进行分析撰写威胁分析报告

安全工具

支持安全服务工具插件化管理

资产管理

自动发现

支持自动从流量中识别资产信息包含：IP、端口、服务、操作系统、MAC

资产分组

支持对资产进行分组管理及对应内网网段的录入，系统自动根据用户录入的网段发现资产信息，同时支持根据分组过滤资产列表

资产标签

支持对资产打标签，同时支持根据标签过滤资产列表

资产列表

支持展示自动发现、终端管理系统获取和人工录入的资产信息，信息包括：资产IP、资产名称、分类、责任人、责任人部门、资产分组、权重、服务、资产标签、设备型号、操作系统、物理地址、网关标识、厂家

资产互访

支持展示资产及资产分组之间互访信息，信息包括：互访协议、目的端口、互访次数

脆弱性

支持展示资产漏洞信息，信息包括：资产IP、资产名称、资产组、漏洞名称、最近发现时间、威胁级别、漏洞来源、漏洞披露时间、CVE编号、CNNVD编号。并支持导入漏洞知识库文件。

配置核查

支持展示资产配置核查信息，配置类型包括：敏感端口暴露、明文密码泄露、弱口令

与众测平台对接

▲支持配置展示云端众测平台漏洞信息

报表管理

快速报表

可自定义选择报表生成的数据范围、报表格式、报表模版

周期报表

支持自定义生成周期、报表格式、报表模版

报表模版

默认提供多种报表模版（支持用户自定义模版），模版包括告警、受害资产、日志、威胁分析等等。

系统管理

集群部署

▲支持分析平台横向扩展至多台设备集群（提供截图，并加盖原厂公章）

客户化管理

支持自定义产品名称、产品logo

运营管理

▲提供告警展示场景，支持展示场景的切换。每个告警展示场景中支持自定义页面数据展示的范围，方便管理人员的日常运维工作（提供截图，并加盖原厂公章）

联动管理

支持系统日志、告警日志、原始告警、行为分析信息发送给syslog服务器，支持系统日志、告警日志、行为分析信息发送给邮件服务器，支持将系统日志、告警日志、原始告警、资产配置、行为分析配置信息传输给KAFKA

流量传感器联动（同一品牌）

支持与流量传感器进行联动，发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行封禁

安全性管理

支持多次登录失败锁定账号和超时登陆配置

▲支持AES256、SM4数据传输加密，确保数据传输的安全性（提供截图，并加盖原厂公章）

支持自定义WEB访问端口

邮件告警

支持邮件告警功能，可以定时向指定邮箱发送APT事件、攻击利用、恶意软件、拒绝服务等类型的告警信息

级联管理

▲支持二级级联部署，下级分析平台向上级分析平台发送告警和相关信息，在上级分析平台上进行汇总展示（提供截图，并加盖原厂公章）

日志备份

支持对日志进行导出备份以及导入恢复

用户管理

可根据用户角色对用户进行区分，赋予不同角色用户不同的操作权限（系统管理员、操作员、审计员）

访问白名单

支持配置平台访问白名单

第三方登录管理

支持配置第三方域账号登录

规则管理

支持自定义威胁情报、白名单、弱口令字典、暴力破解规则、漏洞知识库配置，支持用户新建/导入已有的规则信息

设备监控

支持查看本级设备及连接设备的状态信息

★厂商资质

厂商为“信息安全等级保护关键技术国家工程实验室”共建单位

国测信息安全服务资质-安全开发类一级证书

国测信息安全服务资质-云计算安全类一级证书

通信网络安全服务能力评定证书安全培训一级证书

CNCERT 网络安全信息通报单位

★服务

签订合同时设备使用授权书。

★产品测试

为防止投标人虚假应答技术指标，从而造成用户在实际使用设备过程中无法实现所需的功能，中标公示期间需要提供同型号的样机进行上述功能和要求的逐一测试验证，全部通过后执行合同流程，在指定的时间不能提供测试样机进行测试或测试中发现虚假应标的行为，则中标结果无效，并保留对预中标单位追究相关责任的权利。

1. 

架构支持

支持对实体服务器、虚拟机、VPS和云服务器等及多种混合环境实施集中管理和监控，同时支持OpenStack等云操作平台，Xen、Hyper-V、Vmware、KVM等虚拟化架构。

2. 

操作系统兼容性

支持windows/linux主流操作系统，包括但不限于以下的操作系统：

Windows Server 2003 SP2（x86/x64）、Windows Server 2008（x86/x64）、Windows Server 2012、Windows Server 2016、Windows Server 2019；
RedHat 4.3~RedHat 5.11（x86/x64）、RedHat 6.0~RedHat 6.7（x86/x64）、RedHat 7.0~RedHat 7.2 RedHat8.0 ；
CentOS 4.3~CentOS 5.11（x86/x64）、CentOS 6.0~CentOS 6.10（x86/x64）、CentOS 7.0~CentOS 7.6、Centos8.0；
Ubuntu10.0以上；
Suse 10~Suse 10 sp3、Suse 11~Suse 11 sp3、Suse 12；中标麒麟 ；

红旗Redflag3~4；

3. 

web中间件支持

支持主流web中间件，包括但不限于以下的web中间件：

IIS 6/IIS 7/IIS 7.5/IIS 8；

Apache 2.0/Apache 2.2/Apache 2.4（x86、x64）； Nginx 1.0.*、Nginx 1.2.*、Nginx 1.4.*、Nginx 1.6.*~1.17.*；

Kangle；

Tomcat、Weblogic、WebSphere、TongWeb、Jboss、Glassfish、Jetty等。

4. 

语言支持

支持全类型网络流量检测，包括但不限于以下语言：

Asp,.net,php,java。

5. 

产品安全机制

agent具有反逆向、反调试功能，agent具有自保护功能，管控中心server具有系统防护、网络攻击防护功能，agent和server通信采用安全的加密机制。

6. 

支持驱动级防护技术，即使agent被意外关闭，防护依然有效。

7. 

性能占用

程序程序对WEB系统造成的延迟低于2%。程序占用的CPU、内存资源低于10%，系统具有自动降级机制，可设置自杀阈值。

8. 

服务器加固

▲通过服务器内核加固技术，加强操作系统自身对抗恶意代码和黑客攻击的能力，抵御非法提权、非法创建可执行文件等黑客行为，有效降低无补丁可打、无法打补丁带来的的安全风险。

(1) Windows操作系统权限控制：

将非管理员组账户添加到管理员组；在系统目录下对可执行类型文件进行读写操作；添加启动项；加载没有数字签名的驱动；

(2) Linux操作系统权限控制：

修改账户信息；修改系统配置文件；添加系统自启动项；在系统目录下创建及修改可执行文件；修改系统日志；

（提供相应截图证明并加盖原厂公章）

9. 

防暴力破解

▲具有防暴力破解技术，能有效防御针对RDP、SSH服务的暴力破解。（提供相应截图证明并加盖原厂公章）

10. 

安全巡检

▲针对服务器和网站的目录及文件进行全面巡检扫描，对服务器和网站存在的安全隐患进行检查并修复。“网站安全”主要针对网页木马、网站挂马和暗链进行检查和清除。（提供相应截图证明并加盖原厂公章）

11. 

▲可对“安全巡检”进行自定义设置，设置内容为web巡检设置、文件忽略列表设置、文件隔离列表设置。其中web巡检设置包括：情景模式设置、选择巡检服务器上哪些网站、自定义巡检路径、清理网站扫描缓存等；文件忽略列表设置中，增加到忽略列表的文件，巡检或浏览页面时将自动跳过；文件隔离列表设置：已被安全隔离的文件，可以在此处进行还原。（提供相应截图证明并加盖原厂公章）

12. 

登录防护

▲“登录防护”功能，针对Windows及Linux操作系统的远程登录进行限制及防护，用户可对“用户名”、“IP地址范围”、“时间范围”进行具体设置，并通过选择“允许登录”、“禁止登录”等相应的处理方式进行防护。

（提供相应截图证明并加盖原厂公章）

13. 

 应用及网站防护

支持通过在web应用(IIS、apache、nginx、tomcat等)中插入waf探针的方式，高效过滤网络流量，防止黑客利用web应用漏洞或网站漏洞攻击服务器。

14. 

▲具备“网站漏洞防护”功能包括：SQL注入防护、XSS防护、漏洞利用攻击防护、web服务器溢出攻击防护、web服务器文件名解析漏洞防护、HTTP请求头防护、禁止浏览畸形文件、禁止下载特定类型文件、网站浏览实时防护等。（提供相应截图证明并加盖原厂公章）

15. 

▲具备“网站漏洞防护”功能包括：SQL注入防护、XSS防护、漏洞利用攻击防护可根据不同检测对象（URL、Cookie、Post）进行具体防护规则的配置（开启与关闭）；禁止下载特定类型文件，可自定义设置禁止下载的特定文件类型；网站浏览实时防护可自定义设置网页木马的文件类型，将对设置列表中的网页类型进行基于行为的木马实时检测；HTTP请求头防护可自定义设置防护规则，自定义选择HTTP头标识进行防护。（提供相应截图证明并加盖原厂公章）

16. 

▲支持未知上传漏洞防护，对网站中存在的文件上传漏洞页面进行防护，上传危险页面或程序自动拦截。（提供相应截图证明并加盖原厂公章）

17. 

▲支持网页防篡改功能保护网站目录下的文件不被黑客恶意篡改。当选择被防护的网站目录后，其目录下的所有文件及子目录所有文件将禁止被篡改。可对网站目录下的文件进行防篡改设置，包括禁止被创建、删除、修改等，也可对其中的防篡改目录及文件进行“放行”操作，允许某些目录及文件被创建、删除、修改等。（提供相应截图证明并加盖原厂公章）

18. 

运行时程序防护

支持通过在脚本解释器中插入RASP（Runtime Application Self Protection）探针的方式，对应用系统的流量、上下文、行为进行持续监控，在脚本解析、命令执行等关键点上，识别和拦截异常行为，有效防御0day利用及新型恶意代码（一句话木马、变形webshell等）。

19. 

可有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2 0day利用等基于传统签名方式无法防护的未知安全威胁，支持asp .net php java四种语言。

20. 

支持虚拟安全域

支持虚拟化安全域技术（ASVE），将应用进程隔离在虚拟化安全域内，限制应用进程权限，防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作。

21. 

支持WEB进程权限防护：限制WEB服务器进程权限，例如禁止执行cmd.exe等，数据库进程防护：MySQL 、SQL server 进程防护。

22. 

流可视化
Flow visibility

▲支持监控业务环境中服务器间访问关系（数据流）并将其可视化。

23. 

▲支持业务资产可视化；业务资产间访问关系可视化；流量信息可视化；访问端口可视化以及访问数量可视化。

24. 

微隔离
Microsegmentation

▲支持基于服务器分布式防火墙技术，可以跨虚拟架构、跨网段定义服务器访问控制策略，防止攻击者入侵内部业务网络后的东西向移动。（提供相应截图证明并加盖原厂公章）

25. 

▲可基于网卡驱动，不依赖iptable等系统防火墙，可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。

26. 

网络访问控制

▲支持微隔离技术，限制主机非法外连访问控制，可基于IP、IP段、网址定义进网及出网访问规则。（提供相应截图证明并加盖原厂公章）

27. 

文件防篡改

▲支持驱动级网页防篡改功能，可以保护整个目录、网页或文件不被恶意修改或者变更，支持监控与防护两种模式。（提供相应截图证明并加盖原厂公章）

28. 

▲当选择被防护的网站目录后，其目录下的所有文件及子目录所有文件将禁止被篡改。可对网站目录下的文件进行防篡改设置，包括禁止被创建、删除、修改等，也可对其中的防篡改目录及文件进行“放行”操作，允许某些目录及文件被创建、删除、修改等。（提供相应截图证明并加盖原厂公章）

29. 

防端口扫描

可防止利用漏扫等端口扫描工具获取服务器敏感信息

一键禁止端口扫描工具非法探测，可自定义检测规则

30. 

未知webshell检测

支持在内核及应用层探针中设置监控点，将本地无法判断的异常webshell，上传至云中心沙盒，通过脚本虚拟机的无签名检测技术，有效发现加密、变形webshell。

31. 

可检测自加密的脚本，可检测未活动的WebShell，支持php asp .net java 编写的webshell。

32. 

攻击溯源

▲支持防护日志功能提供对防护过程中所产生的各类日志的查询，包括：网站防护日志、系统防护日志、登录日志、巡检日志及监控日志。日志包含具体时间、日志类别及描述等信息，用户可将日志导出，以便保存、查阅。（提供相应截图证明并加盖原厂公章）

33. 

▲实现智能化监控及预警，补充传统安全系统，解决高级持续性安全威胁问题。实现服务器统一安全运维管控，降低业务安全风险面，提升操作系统安全性。

（提供相应截图证明并加盖原厂公章）

34. 

可基于内核探针、应用探针多维度收集黑客入侵轨迹，图形化IOC提供攻击者IP、攻击目标、操作手段、落地文件等信息。

35. 

安全监控

可提供服务器核心资源CPU、内存、磁盘，可设置报警阈值，实时掌控服务器状态。

36. 

威胁情报

支持聚合多维度威胁情报，并于本地的流量检测引擎、漏扫引擎结合，包括但不限于： IP信誉库、MD5、漏洞等。