项目背景：

提升电力监控系统网络安全保障水平建设，重点实现边界防护、内控安全、监事与响应三大网络安全防线，实现十四五规划安全建设。 

江民恶意代码监测系统充分考虑企业用户对网络安全需要，对企业网络流量和主机节点进行实时监测防护，可快速准确地检测、预警、清除企业生产、办公环境中存在的僵木蠕等恶意代码和APT等恶意网络攻击行为，并提供安全数据汇总、关联分析、态势展示、威胁预警。

恶意代码监测系统，由防恶意代码客户端、防恶意代码客户端管理中心、网络流量恶意代码监测装置、恶意代码分析中心组成。恶意代码监测系统针对主机恶意代码，流量恶意代码进行监测与分析，并将对应的网络安全事件提供给网络安全管理平台，同时接受网络安全管理平台的管控。恶意代码分析中心结构由硬件资源、数据源、数据引擎、用户交互界面4部分构成。数据源接口负责采集主机防病毒数据和流量分析数据，数据引擎负责数据切片解析分类、索引存储、快速响应搜索数据处理。用户交互负责各类关键安全数据的展示、查询、关联、预测。 

部署方案：

江民恶意代码监测系统为大型政企复杂的网络环境提供了完整的恶意代码监测、防护闭环安全解决方案。除防病毒管理中心和客户端外，分析中心、流量装置产品形态均为硬件。 

产品特点：

国产自主可控，由防恶意代码系统、网络流量恶意代码监测系统、恶意代码分析中心，三大模块构成。为大型政企复杂的网络环境提供了完整的恶意代码监测。多引擎查杀，全量级本地引擎、稳定全兼容、亿级病毒库支撑，同时兼容性强，检测结果输出能力优秀。

威胁态势预警功能，能够及时为客户提供监测态势，及时做出判断。态势预警分为，威胁量、预警感知、简单运维、可视化。对海量数据切片处理、重构、分块索引存储，对存储数据关联、分析、态势展示，能够从攻击、安全、访问等多维度、多视角进行整体态势感知，支持快速查询、关联，为保障企业网络安全提供有效的基础支撑。 

江民恶意代码监测系统，全面掌控，多维立体防御，持续优化策略，融合、统一、高效且精细。具体来说，根据恶意代码客户端软件、流量监测采集装置、恶意代码管理中心以及恶意代码分析中心的模块化技术要求，江民科技分别提供终端安全管理系统；大数据恶意威胁预警系统以及江民病毒威胁溯源分析平台，并利用深厚的端点技术积累形成《江民恶意代码监测系统》一套定制型方案进行输出。整套系统在2020年7月取得国网实验中心检测报告，经过十多家头部企业的激烈竞争，得到国家电网认可。

功能特点：

恶意代码高级检测：

流量识别还原文件，多技术鉴别恶意文件。

网络行为、规则引擎，多协议鉴别恶意网络行为

沙箱检测模块：

流量探针模块：

杀毒特点：

增强智能主动防御体系，对未知病毒实施多行为联动主动防御，根据病毒具有的多行为联动特征，对未知病毒进行报警以及拦截处理，更准确、更全面地防御未知病毒。采用多种技术监测分析，技术方案如下：

Rootkit技术：

发现这种隐藏特殊的恶意代码软件（它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息）

Hook技术：

发现并阻止钩子函数，可以动态注入恶意代码。

强大的启发式扫描 、虚拟机脱壳技术：客户端具有占用系统资源小，查杀未知病毒能力强，运行效率高的特点。测试表明，在未开启主动防御以及特征码监控的前提下，网络版客户端能够启发扫描80％以上的未知病毒。网络版客户端增强虚拟机脱壳技术，能够对使用了各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描。

系统漏洞自动管理：提供补丁下载、分发、安装、卸载、忽略、查询一整套的操作。

“沙盒”（Sandbox）技术：

在本机系统上模拟虚拟空间，接管与系统接口（API）相关的所有行为，如发现系病毒行为，则将系统回滚到之前的正常状态，“抹平”病毒留下的所有动作和痕迹。

内核级自防御体系：

大部分主流病毒技术都进入了驱动级，病毒已经不再一味逃避杀毒软件追杀，而是开始与杀毒软件争抢系统驱动的控制权，使杀毒软件功能失效。网络版客户端拥有强大的自防御体系，阻止了病毒目前所有已知的破坏手段，从系统底层保护自身安全，为保障系统安全打下了坚实的基础和前提。

ARP欺骗攻击防护：

网络版客户端新增ARP欺骗攻击防护功能，能够有效防范ARP病毒进行ARP地址欺骗，有效防范局域网内ARP病毒的大肆传播。并能够防范ARP病毒伪装成网关，通过在网页嵌入恶意代码的方式传播病毒。

互联网安检通道：

网络版客户端的主动防御在拦截到可疑行为时，将接入服务器进行安全验证，基于“云—客户端计划”的可疑文件搜集和病毒自动分析系统，生成庞大的黑、白名单库，对可疑行为进行双方比证，如为正常文件则放行，如确认为病毒文件则拦截并提醒用户进行处理。

系统检测 安全分级：

江民杀毒软件系统检测在系统诊断的基础上，从系统启动项、注册表关联、系统漏洞、共享状况等多方面对系统安全进行检测，并根据检测结果给出高、中、低三种安全级别，同时给出系统存在的不安全因素，方便用户及时掌握和修复电脑系统存在的安全漏洞。  

系统漏洞自动管理：

研究表明，操作系统漏洞和第三方软件漏洞已经成为木马传播的两大最主要途径。网络版客户端能够检测并自动修复系统漏洞，阻止病毒通过漏洞传播。

“云安全”防毒系统：

基于“云计算”原理的防毒系统每日分析处理数十万种可疑文件，更新上万种新病毒，即时将客户端反馈上报的新病毒升级到服务器，极大地提高了病毒处理数量和处理速度，更有效地保障了用户的电脑数据和网络应用安全。

入侵检测：

对网络内部的扫描探测、入侵攻击、横向渗透等行为进行检测。支持SQL注入攻击检测、Bash漏洞攻击检测、心脏出血漏洞攻击检测、协议动态识别、无效SSL证书检测、无效OCSP（一种在线证书状态协议）回应检测、网络应用攻击检测、软件版本脆弱性检测、Shellcode检测、钓鱼邮件检测、钓鱼网站检测、C&C通讯检测、网络木马检测等。

DGA域名检测：

DGA（Domain Generate Algorithm，域名生成算法）域名常用于僵尸/木马的C&C通讯检测。

人工智能模型检测：

系统内置定期更新维护的人工智能模型支持多种网络攻击、网络威胁检测。包含像DGA域名检测、基因图谱技术检测等。

网络攻击特征库：

类似病毒特征库的一种网络攻击特征库，可以检测出网络异常事件、失陷主机、入侵行为等攻击事件。

中间人劫持攻击检测：

在cs端之间中间人模拟服务端来提供验证和下载的攻击。常用的搜狗输入法、360杀毒、qq客户端等都曾存在中间人攻击事件。

基因图谱模糊比对技术：

对流量中的文件进行静态检测，通过结合图像文理分析技术与恶意代码变种检测技术，将可疑文件的二进制代码映射为无法压缩的灰阶图片，与已有的恶意代码基因库图片进行相似度匹配，根据相似度判断是否为威胁变种。

全类型常见文件检测：

并可支持EXE、DLL、OCX、SYS、COM、apk等常见可执行文件；RAR、ZIP、GZ、7Z等常见压缩文件；word、excel、pdf、rtf、ppt等常见文档文件。