未知攻击检测
点击:94丨发布时间:2025-05-30 15:51:31丨关键词:CMA/CNAS/ISO资质,中析研究所,未知攻击检测
参考周期:常规试验7-15工作日,加急试验5个工作日。
因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外)。
CMA/CNAS等证书详情,因时间等不可抗拒因素会发生变更,请咨询在线工程师。
检测项目
1.流量异常阈值监测:实时监控网络流量波动幅度超过基准值30%的异常行为
2.协议合规性验证:识别HTTP/HTTPS/TCP/UDP协议中不符合RFC规范的字段构造
3.载荷熵值分析:计算数据包载荷信息熵值(阈值≥7.5bit/byte)判断加密特征
4.会话持续性指数:统计TCP会话持续时间标准差(>120秒触发告警)
5.DNS隐蔽通道检测:监测DNS查询频率(>500次/分钟)及域名随机性指数
6.内存注入行为识别:追踪进程内存空间修改频率(>20次/秒)及API调用序列
7.指令序列离散度:分析系统调用指令的香农多样性指数(<1.8触发预警)
8.文件熵变轨迹追踪:记录可执行文件熵值变化梯度(Δ≥0.45/分钟)
9.注册表突变监测:监控关键注册表项修改频率(>5次/小时)
10.进程树异常关联:检测进程启动路径与数字签名证书的匹配偏离度(<85%)
检测范围
1.网络流量数据包(PCAP格式)
2.服务器日志文件(Syslog/JSON格式)
3.Windows/Linux系统内存镜像
4.应用程序进程调用栈
5.数据库事务日志
6.虚拟机监控程序(Hypervisor)行为记录
7.BIOS/UEFI固件指令流
8.工业控制系统OPC-UA通信报文
9.物联网设备MQTT协议数据
10.云原生环境容器运行时日志
检测方法
1.ASTME3076-18恶意软件动态行为分析方法
2.ISO/IEC27037:2012数字证据识别与收集规范
3.GB/T36635-2018网络安全威胁信息格式规范
4.RFC4765入侵检测消息交换格式
5.GB/T25069-2010信息安全技术术语
6.ISO/IEC15408-3:2008信息技术安全评估准则
7.NISTSP800-86取证技术指南
8.GB/T32914-2016Web应用安全检测基准
9.PCIDSSv4.0支付卡行业数据安全标准
10.IEC62443-3-3:2013工业通信网络安全要求
检测设备
1.NTA-9000高精度流量分析仪:支持100Gbps线速抓包与协议深度解析
2.MEM-7600内存取证工作站:具备DDR4/DDR5物理层读取能力
3.HDD-3300全磁盘镜像设备:提供4TB/小时高速克隆速率
4.FWS-8800协议模糊测试平台:支持200+工业协议Fuzz测试
5.VMI-4500虚拟机内省探针:实现KVM/VMware/Xen虚拟层监控
6.RFI-2200射频信号分析仪:捕获2.4GHz/5GHz频段无线通信数据
7.PLC-6800工控协议分析仪:支持Modbus/DNP3/PROFINET实时解码
8.LOG-9200日志关联分析系统:实现每秒百万级事件关联检索
北京中科光析科学技术研究所【简称:中析研究所】
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
前沿项目