网安恶意程序检测系统(网络版).docVIP

欢迎使用 系统帮助文档 一、系统简介 4 二、系统登录 4 三、主界面 6 四、管理 6 4-1用户管理 7 4-1-1添加用户 7 4-1-2修改用户 8 4-1-3删除用户 8 4-2分析配置 8 4-2-1 DNS报警配置 9 4-2-2 TCP连接报警设置 10 4-2-3 TCP流量统计设置 11 4-2-4下载EXE报警设置 13 4-3抓包配置 13 4-3-1 捕包设置 14 4-3-2 分析模式 15 4-3-3 中心设置 15 4-3-4 服务选项 16 4-4文件下载配置 16 4-5数据删除配置 17 4-6关闭所有子窗口 17 4-7退出 17 五、工程 18 5-1新建工程 18 5-2打开工程 18 5-3导出工程 19 5-4导入工程 19 5-5设置为当前工程 20 六、管理 21 6-1黑名单监控信息 21 6-1-1新增监控信息 21 6-1-2修改监控信息 22 6-1-3删除选中监控信息 22 6-1-4导入数据 23 6-1-5导出数据 23 6-2白名单监控信息 23 6-3升级黑白名单 23 七、报告 24 7-1综合分析报告 24 7-2快速分析报告 24 7-2-1人工编辑 25 7-2-2详细报告 26 7-2-3报警详情 26 7-2-4关系图 27 八、查看 29 8-1监控信息报警 29 8-1-1关系图 30 8-1-2详细信息 30 8-1-3导出选中数据 30 8-1-4打开源始数据包 31 8-1-5复制 32 8-1-6查询 32 8-2 HTTP伪装报警 32 8-2-1关系图 33 8-2-2详细信息 33 8-2-3导出选中数据 34 8-2-4打开源始数据包 34 8-2-5复制 35 8-2-6查询 35 8-3 HTTP下载报警 35 8-3-1关系图 37 8-3-2详细信息 37 8-3-3导出选中数据 38 8-3-4打开源始数据包 38 8-3-5文件下载 39 8-3-6标记木马与非木马 39 8-3-7查询 39 8-3-8复制 39 8-4 FTP嫌疑报警 40 8-4-1关系图 41 8-4-2详细信息 41 8-4-3导出选中数据 42 8-4-4打开源始数据包 42 8-4-5文件下载 43 8-4-6复制 43 8-4-7查询 43 8-5 DNS报警信息 44 8-5-1详细信息 45 8-5-2导出选中数据 45 8-5-3打开源始数据包 45 8-5-4导入数据 46 8-5-5查询 46 8-5-6查看请求信息 46 8-5-7解析IP关系图 47 8-5-8导出选中数据（解析IP） 48 8-5-9复制 48 8-6控制软件报警 48 8-6-1关系图 49 8-6-2详细信息 49 8-6-3导出选中数据 50 8-6-4打开源始数据包 50 8-6-5复制 51 8-6-6查询 51 8-7报警流量统计 52 8-7-1关系图 53 8-7-2查看源IP总流量信息 53 8-7-3复制 53 8-7-4查询 53 九、日志 54 9-1工程日志 54 9-2用户日志 54 十、 帮助 55 10-1 帮助 55 10-2 关于 55 十一、启动分析程序 56 十二、锁定中心控制台 56 双击桌面的图标首次登录时需要输入服务器地址。点击按钮，出现扩展的登录界面。系统将会把地址保存起来以备下次使用。在登录界面中添加了服务器的中文地址，帮助用户记忆扩展的登录界面如所示： 在这里可以输入IP地址的中文地址。 “添加是将输入的I地址和对应的中文地址添加到下拉列表中。修改对已存在的IP地址、中文地址修改后的确认。删除则是将目前显示的IP地址、中文地址清除。IP地址输入完成以后点击登录按钮登录系统。在主菜单上选择“系统”－“用户管理”，会弹出窗口：通过菜单完成操作会弹出窗口÷ 接收流量) 4-2-3 TCP流量统计设置 报警范围：适用于TCP流量统计设置 只处理黑名单域名：只处理存在存在于黑名单里的域名或者IP。 处理非白名单（包括黑名单）：不但处理存在存在于黑名单里的域名或者IP，还有处理除白名单以外的域名。 备注：选择非白名单如果在流量很大的情况下可能会影响入库速度。 4-2-4下载EXE报警设置 主要针对FTP和HTTP下载，当下载的文件（如果能取到文件大小的话）小于设定的大小且IP或者域名存在黑名单中即产生报警（到分析报告中去）。 4-3抓包配置 点击“系统”-“抓包配置”。 抓包配置主要是针对程序的数据来源进行设置，包括捕包设置、分析模式、中心设置、服务选项。 分析程序的数据来源：离线数据（即存为Pcap格式的文件）、从网卡实时捕包。 离线数据处理具有最高优先级，如果配置了数据包的路