產品概述
靈狐科技網絡流量智能分析審計系統(iNFA)是專業的網絡流量分析及審計系統。它具有獨特而強大的網絡流量審計和分析功能,結合攻擊檢測技術、異常流量檢測技術、威脅情報技術、文件檢測技術、大數據安全分析技術、安全態勢感知技術以及豐富的安全事件報告功能,可有效檢測外部攻擊、內部非法連接、網絡會話模式異常等安全威脅,是對傳統安全防御系統的完善和補充,成為企業提升安全防御水平的有力武器和必要工具。
核心價值
網絡威脅發現
網絡流量智能分析審計系統具備強大的網絡威脅發現能力。基于自主研發的威脅檢測算法及開發的相關威脅特征庫,確保及時、準確地發現各類網絡安全問題。它不僅能檢測外部攻擊,同時也對內部威脅進行實時監控。只有抵御網絡外部攻擊的同時,揪出內部攻擊的元兇,全網的安全才能得到保障,產品的雙向檢測功能無疑給用戶網絡提供了雙重的安全保障。
異常行為檢測
網絡流量智能分析審計系統集成了自主研發的智能動態基線、模式信息熵等生成算法。通過一段時間對學習對象的流量特征分析、建模,智能生成該對象多維度的網絡特征,對于具有明顯異常行為的對象進行告警。
網絡數據可視
網絡流量智能分析審計系統通過對網絡中的流量數據進行采集和分析,能夠對全網絡狀況進行實時監控,幫助網絡管理員建立全網的視角,縱觀網絡的狀況與趨勢變化,及時掌握網絡負載情況,及網絡應用資源的使用情況。
網絡數據留存
網絡流量智能分析審計系統可高速地、實時地、不間斷地保存各類網絡會話元數據,并且它可以按應用協議類型留存各類原始網絡數據包,為用戶對網絡相關問題進行調查和確證提供便利。
網絡審計合規
使用網絡流量智能分析審計系統可滿足如等級保護(2.0)、《中華人民共和國網絡安全法》等法律、法規對于網絡數據審計的要求。
主要功能
產品主要功能模塊示意:
多種應用解碼
提供HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協議以及IEC、MMS、Modbus、OPC、OPCUA、EthernetIP CIP等工控協議的解碼、元數據提取及存儲、搜索、統計功能,并對可疑網絡流量進行了全包留存。
威脅檢測
通過對網絡流量進行非入侵性的偵聽檢測,在威脅發生全生命周期的多個階段識別攻擊者的攻擊負荷、惡意行為和網絡通信。
威脅情報分析
支持動態域名、Spyware IP / Bot IP / Spammer IP、被黑主機、掃描器結點,C&C回連域名、釣魚URL/虛假防病毒網站、TOR、VPN/Socket代理等多類的攻擊情報,提升對可疑高級持續威脅的攻擊檢測能力。
安全事件分析
對安全事件對應的會話、入侵檢測特征、網絡訪問域名信息、C&C回連信息、動態算法生成域名(Dynamic Generating Algorithm,即DGA)等通過多視圖展示,全方位快速展示攻擊或網絡異常事件背后的信息。
網絡會話分析
對網絡中的會話正常行為模式進行建模,分析網絡流量速率分布、會話趨勢、會話目的端口分布、會話協議分布、會話包數分布、會話字節數分布、會話源地址分布、會話目的地址分布、會話應用協議分布相關統計情況,通過分析會話流量對于正常行為模式的偏離而識別網絡攻擊,隱蔽傳輸與內網探測檢測等問題。
態勢感知
可按安全事件類別、安全事件名稱、系統網絡流量速度、C&C(即Command And Control,惡意軟件回連地址或域名)、IDP(即Intrusion Detection and Prevention,入侵檢測防御)安全事件的分布及趨勢評估總體安全態勢,分別在客戶所屬國地圖與世界地圖上顯示安全攻擊分布態勢、會話分布態勢,并可對安全事件信息進行深層次鉆取分析。
追溯挖掘
基于大數據,可快速的回溯和定性分析歷史的HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協議相關流量,識別其中未被發現的攻擊行為,當推出新的檢測算法時可依據歷史流量數據訓練、事后挖掘先前未發現的威脅。
產品優勢
高速的網絡抓包及模式匹配技術
網絡流量智能分析審計系統(iNFA)采用零拷貝、全程無鎖化技術處理網絡流量數據包,而且充分利用CPU向量化指令對各類模式進行識別或匹配,故即使在超大流量情況下,系統整體處理幾無延時。
協議的深度識別,更全面、更精確分析惡意行為
獨有的智能協議識別技術,可高速、準確地識別上千種應用,檢測各種協議偽裝行為;
支持HTTP、TLS(含HTTPS)、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等協議的3-7層元數據提取、存儲、搜索,分析,可二次挖掘可疑攻擊行為。
高度智能化的分析能力
產品采用多種智能分析方法(包括支持向量機、馬爾科夫轉移概率分析、距離分析、參數及非參數假設檢驗分析等)對各類網絡連接/流量進行深度分析,對可能隱藏的問題進行深層級挖掘,以提供更廣范圍、更深層次的安全檢測能力。
多維度的縱深檢測機制,提供最佳的檢測率和最低的誤判率
從已知簽名檢測、行為檢測、網絡會話異常檢測、威脅情報檢測及事件關聯分析等多個維度對URL、郵件、網絡通道、流量等威脅載體中各類安全威脅進行深度檢測,并在高級持續威脅的漏洞利用、后門植入、后門網絡通道,C&C回連、流量異常等多個階段、多個攻擊環節上形成縱深、完備的檢測體系,從而提供最佳的檢測率和最低的誤判率。
情報為王,把握行動先機
整合C&C黑名單庫在內的多類的威脅情報庫,可快速、準確發現已知的、可疑的高級持續威脅的攻擊來源,使安全管理人員可以專注于實際風險及關鍵的威脅信息,把握先機,快速解決問題。
大數據安全分析,持續改進分析效能
對HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協議的元數據及會話數據的通過大數據技術全量存儲、搜索分析,識別、挖掘其中可疑的攻擊行為,當推出新的檢測算法時可依據歷史流量數據訓練、事后挖掘先前未發現的安全威脅,促使安全分析效能持續改進。
部署方式
網絡流量智能分析審計系統采用旁路SPAN部署方式和TAP部署方式,兩種部署方式均不會改變用戶現有網絡架構和網絡配置,且不會對用戶現有的生產業務或應用產生任何影響;設備部署的示意圖如下:
產品規格
網絡流量智能分析審計系統(NFA)可根據不同客戶需求進行選擇,以下為硬件規格型號:
