网络流量超融合探针

预览

需求分析

习总书记在“419”网信工作座谈会上的讲话中明确提出了关于在信息系统中建立态势感知机制的重要性，提出了“全天候全方位感知网络安全态势”的重要观点，从信息安全战略层面明确了态势感知能力的重要性。

产品简介

网络流量超融合探针采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法，通过对网络流量的深度包解析和流解析，实现了网络各种威胁的全面有效检测，同时也可以通过配置策略方式，让探针记录所关注的流量，便于后期可以根据相关的事件日志，对当时的攻击进行回溯分析，追踪取证。

功能特点

• 提供传统的入侵检测能力，入侵规则库数量6000+；
• 对外联行为、网络扫描活动、蠕虫活动等典型行为进行检测分析来发现未知威胁行为；
• 支持病毒检测、文件检测，通过特征匹配或检测算法对被检测文件的文件内容进行检测；
• 支持开放式自定义检测规则的用户接口，可以实现贴合用户业务的异常检测要求；
• 流量采集能力，可自定义采集网络数据，按.cap格式存储采集的网络数据；
• 威胁情报能力，根据本地情报库或者云查能力实现事件的碰撞，可以精准定位攻击的有效性。

技术优势

• 数据采集, 可自定义采集网络数据，按.cap格式存储采集的网络数据。
• 威胁检测, 一方面可以通过特征检测发现已知威胁，另外一方面通过行为分析来发现未知威胁行为。
• 数据存储, 同时支持按需与全流量存储，为日后追踪溯源提供可靠证据。
• 威胁展示, 可以将各种事件从不同的视角进行分析展示，提供威胁线索分析功能。

用户价值

1. 具备威胁感知能力，提供全局威胁态势展示
2. 提供入侵检测报警事件重点呈现与展
3. 可以对网络应用进行识别，对应用连接会话进行记录
4. 对上报的各种事件从不同的视角进行分析展示，提供了威胁线索分析功能，根据攻击链过程按照对应的攻击路径进行匹配，找到其对应的阶段；
5. 流量可视化展示，基于地图的安全域间、境内、境外的拓扑展示和告警；