网络全流量威胁分析系统产品介绍,网络全流量威胁分析系统有哪些。
全流量分析探针
一、产品背景
独立分割的安全防护体系已经很难应对如此复杂的安全环境。高级恶意程序已经逐渐成为主流,隐秘通道也已经开始向组织内部逐渐渗透。当前网络环境中部署的各类安全设备主要实现单点检测,检测能力受限,导致安全问题依然频繁发生,诸如勒索病毒、APT攻击,敏感数据泄露等。特别值得注意的是,当这些安全事件发生时,单点安全设施只能给出有限、甚至无法给出相关检测信息,更有甚者有些安全威胁在网络内部发生、潜伏、破坏了数天乃至数月的时间,都难以察觉。总的来说,很多时候组织常常对自身网络安全中的各类威胁看不到、看不清、看不及时,从而给组织日常的安全保障工作带来各方面的危害和影响。
网络中传输的网络流量数据,由网络协议、数据载荷组成,网络协议中包含了数据流传输双方的地址、应用以及传输过程中的指标,数据载荷部分包含用户传输的内容。通过对这两部分内容的分析,可以有效帮助应对解决上述问题,大大提升网络问题处理的效率,更好保障网络的性能、安全。
二、产品介绍
网络全流量威胁分析系统是一款大容量存储的高性能数据包采集和安全检测分析、响应系统,可以分布部署在网络的关键节点,实现了对网络通讯数据包级的高性能实时安全分析和长时间回溯分析。
通过对数据存储,安全检测、安全可视化分析,实现对关键业务中的威胁事件、网络故障和网络行为异常实时发现,以及威胁事件的回溯分析,提升对网络系统和业务系统的安全保障和事件置效率。
网络全流量威胁分析系统是基于NDR(NetworkDetectionandResponse)的产品,提供网络威胁检测、分析、响应。主要包含三个方面的功能:
原始数据采集:部署全流量安全检测响应系统,多点采集网络全流量,采集安全设备、网络设备的安全策略;
安全检测与分析:通过AI安全检测、多维度安全检测、长时间回溯分析,实现对全网安全检测和可视化分析;
安全响应:结合自动化流程和人工流程,响应安全事件,下发安全策略,阻断安全威胁。
网络全流量威胁分析系统是软硬件一体经系统、虚拟化系统,通过交换机、路由器、分光器等镜像网络中的流量旁路部署在网络中。
三、产品架构
网络全流量威胁分析系统包含数据采集、数据处理、分析管理三个层次。基于高性能服务器进行数据采集,通过高性能操作系统施展多核多线程CPU、内存、IO、存储等硬件资源进行并行计算、数据入库、收包存包、DPI/DFI解码还原、数据统计、安全引擎检测、AI计算等多种方式的数据处理,对实时数据和历史数据进行回溯分析、安全分析,为其他第三方系统提供API接口,用户通过WEB界面进行一站式配置管理、数据分析。
四、产品功能
网络全流量采集
采用旁路部署方式,通过以太网端口镜像、分流器方式采集网络流量数据,不改变企业原有网络架构;支持基于VLAN、VXLAN、MPLSVLAN、QINQ、网段等方式配置虚链路接口,实现对云数据中心、SDN网络、分流交换汇聚流量进行灵活采集;可提供链路流量实时数据包抓取及历史数据回溯功能,并可自定义捕获条件与参数。
多维度安全检测
服务的虚拟化、接入方式的多样化、人员对数据多种操作背景下,对于网络安全的防护,需要从过去单一的边界防护,到多种安全检测引擎的提前检测预防、常规全时全范围安全检测、以及安全事件响应网络的自适应安全需求的升级。以全面应对0day、APT、人为违规操作等多种全新的网络安全问题,从业务的视角提供更加智能、更加普及和更高效的安全。
网络全流量安全分析系统支持多维度安全检测,预测和感知各种类型的安全威胁,确保IPC即使被攻陷依然不能顺利对视频监控专网内部进行渗透,保障服务器侧各种接入和调取数据的安全性。支持特基于AI的恶意文件检测、征规则入侵检测、WEB应用安全检测、威胁情报检测、UEBA行为模型检测、DDOS检测、非法外联检测、异常流量检测、暴力破解检测。
安全态势感知和可视化安全分析
在边界防护式的安全分析中,只能通过一条条日志分析网络安全状况,而安全日志往往是海量的,这导致安全人员分析处理工作量大、难以实现多种事实的关联分析,安全运维工作非常困难、难以应对新形式下的重大网络安全风险。网络全流量安全分析系统通过安全态势感知和可视化分析,帮助安全运维工作人员大大提升分析效率,降低重大安全风险。
网络全流量安全分析系统支持对全网、全业务进行安全可视化分析,通过态势感知界面实现感知网络和业务系统的整体安全状况、攻击来源地区、重要资产的安全状况、各类安全事件的整体趋势和数量。
通过ATT&CK视图,从攻击者视角查看网络遭受的威胁攻击战术和技术,关联知识库,从攻击方法、缓解措施、检测方式、疑似攻击组织等多个进行安全分析。ATT&CK视图有利于安全分析人员从攻击视角进行安全加固,结合自有业务资产重要性,进行个性化加固防护。
安全事件溯源取证
无论是平时处置安全事件,还是在攻防演练中处置安全事件,都需要对安全事件进行溯源取证,分析安全事件相关的通信会话、应用、和原始数据报文,以确定影响范围、风险定级、风险来源、责任边界。
网络全流量安全分析系统从安全事件到原始会话回溯分析,到原始数据包解码,全量数据,不再担心找不到数据而无法分析和定责。网络全流量安全分析系统支持从MAC、IP、应用、端口、会话等十多个维度进行数据数据关联钻取挖掘,快速定位到准确的时间和对象的的原始数据,并且可在WEB界面直接进行解码查看原始报文。通过对关键应用的原始数据包进行长时间保存,可以保障全量还原攻击事件和证据取证。
全量日志高性能检索
当网络产生特定的安全事件,上级部门进行查证时,要求能够快速的从几个月海量数据中找到通信记录、访问内容、访问行为、关联的安全事件,传统的日志系统并不能保证记录所有的通信记录,也不具备关联多种类型记录的查询能力,网络全流量安全分析系统采集的是全网流量、多点流量,可以记录全量日志,并且可以在亿条记录海量数据中快速找到所有相关的记录。
网络全流量安全分析系统对日志记录可支持180天长时间保存,通信日志包括全流量DPI识别和和IP会话日志、2000+应用识别及其应用日志、十多种应用行业审计日志、以及所有安全检测引擎的安全事件日志。其中IP会话日志可以记录全量日志,比单纯的传统日志系统所记录的NAT日志、设备日志、系统日志全面并且不会有任何通信记录的遗漏。
在海量TB级数据、亿条级数据记录中,可以实现秒级检索查询。
资产发现和脆弱性分析
视频监控网络的设备分布广数量多、裸露安装于公共环境、服务器类型多,对设备资产安全状况管理、资产画像分析,有利于网络和安全运维工作人员主动地、更快速地处置特定设备的安全问题,大大提升工作效率、提升保障能力。
通过流量检测的方式实现IPC资产清点和发现、重要节点IPC、服务器资产画像,并结合多维度安全检测和威胁情分析等手段,进行脆弱性分析评估、及时告警。通过安全基线分析重要资产的安全状况,通过时间轴分析资产受攻击的上下文,实现攻击过程还原和事件关联分析。
安全威胁联动阻断
安全事件会在任意时间、地点(设备节点)、应用上发生,运维人员需要在非工作时间自动临时阻断安全威胁、重大保障时间自动阻断安全威胁、全网范围任意位置阻断安全威胁、对任意应用和协议阻断安全威胁。传统的简单的TCPRESET、DNS劫持方式并不能实现这些要求
网络全流量安全分析系统支持基本的TCPRESET、DNS劫持等阻断方式,还支持强大的基于安全策略、IP黑名单、API的方式进行安全威胁阻断。帮助安全人员大大降低工作量,实现自动化安全威胁处置。
自动生成安全分析报告
上级管理部门和单位,需要对网络整体安全情况、重要资产安全情况、重要安全事件进行了解时,一线网络安全运维人员需要投入大量的精力进行数据整理、报告编写,而一线人员对日新月异的安全的全面深度知识掌握也是一大挑战。网络全流量安全分析系统提供了自动化安全分析报告生成和导出功能,帮助一线人员大大减轻工作量。
五、产品优势
高性能
10G-40Gbps实时处理能力,TB级原始流量数据秒级定位;
高精度
多种精度实时统计分析(1秒~1天)。
大容量
强大数据存储(内置最大192TB)。
智能化
内置AI分析检测模型,智能化检测传统方法难以检测的威胁。
一体化
采集、解析、存储、分析、处置一体化集成。
场景化
提供如勒索病毒应用的场景化应用模块。
