入侵事件检测

检测项目

1.网络流量异常检测：监测TCP/UDP协议带宽阈值（≥200Mbps）、SYNFlood攻击频率（＞500次/秒）、DNS查询响应比（＞3:1）
2.登录行为异常分析：单IP跨区域登录次数（24h内＞5次）、失败认证尝试（连续≥3次）、非常规时段访问（UTC00:00-05:00）
3.恶意软件特征识别：PE文件熵值（＞7.2）、API调用序列异常度（匹配率＜85%）、内存驻留进程数（≥3个）
4.系统漏洞扫描验证：CVE漏洞库匹配率（覆盖率≥98%）、补丁安装时效性（滞后≤72h）、高危端口开放状态（21/22/3389）
5.数据篡改痕迹鉴定：文件哈希值变更率（＞0.5%）、日志时间戳连续性误差（＞30s）、数据库事务回滚率（异常值≥15%）

检测范围

1.网络基础设施：路由器ACL策略表、防火墙会话表、VPN隧道加密协议
2.服务器操作系统：Windows事件日志（ID4625/4648）、Linuxauth.log审计记录
3.数据库管理系统：SQL注入特征语句、事务锁异常等待时间（＞500ms）
4.工业控制系统：Modbus/TCP功能码异常调用频率（＞10次/min）
5.物联网终端设备：MQTT协议QoS等级突变（0→2）、CoAP资源访问频次（＞100次/分钟）

检测方法

1.ISO/IEC27035-2:2021信息技术-安全事件管理第2部分：事件响应操作指南
2.GB/T22239-2019信息安全技术网络安全等级保护基本要求
3.ASTME2924-14网络物理系统入侵检测标准测试方法
4.GB/T36635-2018信息安全技术网络安全监测基本要求
5.ISO/IEC15408-3:2008信息技术安全测试准则第3部分：安全保障组件

检测设备

1.FortinetFortiAnalyzerFAZ-4000E：支持100Gbps流量解析与威胁情报关联分析
2.KeysightNTA4132A网络测试仪：提供协议深度解码与微突发流量捕获功能
3.FlukeOptiViewXG：实现全协议层可视化分析与基线建模
4.Snort3.0开源IDS：配置社区规则集29150条+自定义正则表达式引擎
5.Wireshark4.0.8：支持TLS1.3解密与VoIP流量重组
6.TenableNessusProfessional：内置插件库超过178,000个漏洞检测项
7.ElasticStack8.9：构建分布式日志分析集群与机器学习异常检测模型
8.MetasploitPro：提供渗透测试模块库（含647个可利用载荷）
9.RSANetWitnessSuite11.6：支持元数据关联分析与威胁猎捕工作流
10.CiscoStealthwatch7.0：应用NetFlowv9流量分析与熵值计算模型

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

注意:因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

CMA/CNAS等证书详情，因时间等不可抗拒因素会发生变更，请咨询在线工程师.