Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Twitter Facebook-f Pinterest-p Instagram

异常流量检测系统

      在传统的网络安全运营工作中,大部分安全事件的响应都是依据IPS、SIEM等系统的安全告警日志、告警关联数据包对威胁进行研判和查找威胁。但是这种方式由于数据的不完整,难以完整的看清整个攻击的影响面。为了避免在安全运营工作中形成“盲人摸象”,就需要采用网络威胁狩猎技术,通过人工主动的对网络环境的通讯行为进行主动分析,发现传统安全检测类产品无法识别的网络威胁。但是,要实现网络威胁狩猎必须依赖大量历史数据,依赖高效率的数据分析技术,自动化威胁分析模型,才能在海量历史信息中感知到那些异常的网络行为。

// product

产品介绍

异常流量检测系统,以网络全流量分析技术为基础,网络协议解码分析为核心,高性能还原全流量原始数据中的网络日志、文件、邮件等完整信息,通过在线检测和离线检测实现多种维度的网络攻击行为分析,结合全流量数据实现网络攻击的准确研判和取证。

系统具备流量,元数据,文件,邮件,证书的综合还原能力,利用数据建模和各种检测手段能够发现多种高级网络攻击。其强大的数据处理能力能够在采集点完成所有数据的筛查和取证,并能与后端平台联动按需回传数据,不仅降低了带宽的压力,还缓解了中心平台的数据计算压力,相对传统检测类设备是一种更全面、高效的网络安全解决方案。

// Technical advantages

技术优势

全流量数据采集和存储

高性能数据采集、存储技术,能够在功能全开的情况下实现海量数据的实时分析和离线分析。

网络协议识别和解码

自主研发积累的500多种协议识别、600多种协议解码的能力,为识别正常流量,可疑流量,未知流量,识别重要资产提供了基础能力。

多维度数据还原

单台服务器即可实现对大部分网络元数据、文件样本、邮件、SSL证书等数据的还原,各类数据不仅可用于实时威胁检测,还能为提高检测准确率,关联分析,数据建模提供充足的数据支撑。

自定义数据建模分析

自定义建模分析是对抗APT网络攻击重要的自动化检测手段,可对各类历史数据进行自动化深度挖掘,通过平台统一管理模型,不仅能提升威胁检测发现率、准确率,也降低了对人员的专业技术要求。

高性能数据查询

实现对全流量数据进行快速查询,对IP,域名,MD5,特征值检索效率可达到秒级,还支持在全流量数据中检索以二进制码为攻击载荷的原始数据包。

隐形盾安全防护

自主研发应用系统安全防御组件,实现了网络隐形,保护系统应用和数据的安全。

// value

产品价值

提高综合检测分析能力
针对一个单位的网络出口往往只能部署一台设备进行布控,通过自主研发的底层技术,单台设备即可对多个链路进行采集,还原,存储,并从流量中提取各类日志,文件,邮件,实时流量进行综合检测。在不依赖后端分析平台的情况下,即可实现对网络数据的深度检测。
提高线索查证能力
针对已知情报进行线索查证是网络安全数据分析最常见的工作之一,通过对海量数据多维度预处理,实现IP,域名,MD5等海量数据的高效索引,结合历史流量趋势图等可视化视图,用户可快速研判线索影响范围,配合中心能够实现多探针的一键式线索查询。
边缘计算赋能数据盲区
作为数据探针部署在最前沿,最接近数据源头,可实现数据本地处理,本地计算。强悍的数据能力即可完成传统大数据平台才能实现的复杂模型,不仅能够缓解中心平台压力,还能节约网络通讯成本。改变传统大中心海量数据冗余、中心建设成本过高、数据利用率低的现状。
// KEY Functions

主要功能

网络威胁检测

作为多能力融合的系统,具备对流量、文件、异常证书的综合检测能力。具体包括:心跳木马检测、隐蔽信道检测、异常行为检测、C2异常通信、Web攻击检测、恶意文件检测、威胁情报检测、暴力破解等检测能力。

数据建模分析

系统采用机器学习技术,对历史网络日志和流量数据进行自动化分析,能够通过对元数据字段的灵活匹配,支持常用的正则匹配、模糊匹配、精确匹配等数据查询方法。用户也能自定义创建数据分析模型,并能够将模型和模型命中的数据进行保存,便于被其他模型反复利用,形成分析行为记忆链条,多种模型的数据叠加实现对数据的无限制迭代分析。

日志挖掘

系统能够对已还原的多种网络元数据进行快速挖掘分析,分析人员可灵活自定义查询条件实现各类复杂的数据挖掘,同时,系统提供自定义数据透析功能,实现多层级嵌套的数据统计。

流量统计分析

系统通过对原始流量的多维度预统计,实现对全流量数据的高效率可视化分析,系统以动态视图展示历史总流量、进网流量、出网流量的总体变化趋势,并按照网段、应用、协议、国家地区、IP会话、服务端口等维度的对流量进行细粒度统计。分析人员可以对多维度数据进行挖掘,并利用可视化的方式快速发现心跳,窃密等异常流量现象,帮助用户快速研判警报线索。

数据包解码分析

数据包是网络中的最小数据单元,通过对原始流量进行分析能够完整还原网络攻击过程,为网络攻击提供数据包级的研判依据。系统内置中文版网络分析工具,分析人员可按需调取任意IP,IP会话,协议,端口,时间等组合条件的原始数据包进行分析。

数据共享

系统不仅具有多种丰富的数据类型,还能够将丰富的数据推送给第三方平台用于满足各种数据需求。系统内置多种标准接口,可以将原始数据包、文件、日志以实时或离线的方式推送给第三方平台。并且能够根据平台诉求,将特定线索的全流量原始数据包以订阅的方式输送给上层平台数据资源池。

// topology

系统部署

适合针对实时流量不超过10GB/秒的单位网络