金瀚全流量分析解決方案

無論是操作系統、應用軟件、網絡設備還是業(yè)務系統都普遍存在未知的漏洞，這使得在網絡軍火民用化、網絡攻擊組織化的大背景下，網絡安全面臨更加嚴峻的挑戰(zhàn)。傳統的安全監(jiān)測方法大都是基于已知規(guī)則庫進行監(jiān)測，可檢測出已知安全威脅，但對未知威脅則無能為力，且對正在發(fā)生或已造成損失的入侵行為不能做到完整的溯源取證和損失評估。

基于以上幾點，金瀚信安認為“網絡全流量分析是行之有效的手段，因為再高級的攻擊，都會留下網絡痕跡。網絡攻擊者的行為和我們正常的網絡訪問行為是不一樣的”。

讓網絡監(jiān)測無死角

網絡全流量安全分析系統基于網絡全流量分析技術，旁路采集、分析和存儲所有網絡流量，通過威脅情報系統檢測已知威脅，通過回溯分析數據包特征、異常網絡行為，發(fā)現潛伏已久的高級未知攻擊。具備多維的數據分析及深度挖掘能力，能夠實現數據包級的追蹤取證。網絡全流量分析技術是發(fā)現APT網絡攻擊的重要技術手段，幫助用戶建立自適應網絡安全架構。

產品功能

● 記錄原始流量數據

通過旁路鏡像采集并存儲網絡全部流量，通過網絡協議實時解碼、元數據提取，建立日志、協議、數據包全字段索引，以便于快速提取多維度的網絡元數據進行異常行為建模，為后續(xù)異常數據挖掘、分析、取證建立扎實的基礎。

● 線索追蹤與取證

系統具備長時間的原始數據存儲能力，通過網絡安全運維人員對原始網絡流量日志進行查詢檢索及關聯回溯分析，實現從線索挖掘到整個攻擊過程的完整復盤。為安全事件的準確響應提供依據。

● 回溯分析與數據挖掘

通過高效的數據檢索，實現海量數據的快速回溯分析，可隨時分類查看及調用任意時間段的數據，并從不同維度、不同時間區(qū)間，提供L2-L7層網絡協議統計、會話日志、元數據日志，從而進行數據逐層挖掘和關聯檢索。

● 可疑事件定性分析

通過深度網絡會話關聯分析、數據包解碼分析、載荷內容還原分析、特征分析和日志分析，真實還原黑客入侵的過程，從而對網絡安全事件進行精準的定性分析。

● 異常行為檢測

通過協議解碼提取網絡元數據，結合網絡安全實戰(zhàn)經驗，內置異常行為模型。同時支持用戶自定義行為模型，不斷增強未知威脅的檢測及響應能力。

● 攻擊阻斷防御

系統支持網絡異常行為阻斷，用戶可以根據威脅情報精準對已知和未知攻擊并進行實時阻斷。系統提供多種類型的阻斷方式，并提供獨立的存儲空間單獨保存阻斷日志數據。

產品優(yōu)勢

● 深度解讀各類協議數據

● 網絡協議識別能力

● 靈活的流間行為關聯分析

● 網絡全流量實時采集、存儲、分析

● TB級原始數據秒級提取

● 數據包級的數據取證

產品價值

● 多方面感知網絡威脅

全天候實時地識別網絡流量數據，通過與威脅情報、行為模型匹配，發(fā)現未知威脅、木馬通訊、隱蔽信道等異常行為。利用流量可視化能力，看見資產、看清安全洼地、看透安全隱患，為用戶構建靈敏的網絡威脅感知能力，展示網絡安全態(tài)勢。

● 及時止損與快速響應

通過安全事件關聯分析，完整拓線各類事件數據，判斷告警的準確性、嚴重性及威脅事件的結果，幫助用戶進行影響面評估，發(fā)現安全弱點和盲點，并及時采取相應處置措施，阻止事態(tài)繼續(xù)發(fā)展。

● 數據取證與責任判定

對網絡原始通訊數據進行流量完整保存，通過秒級提取海量歷史流量數據，還原網絡安全事件發(fā)生時的網絡通訊內容，實現數據包級的數據取證和責任判斷，并對攻擊事件的影響和處置效果進行長期跟蹤與評估。