网络流量分析(Network Traffic Analysis)是由Gartner创建与定义,并获其首次认可的新兴技术和产品类别。安全狗啸天通过对网络流量进行实时检测,及时发现APT(Advanced Persistent Threat)威胁和实施APT防护手段,保证用户网络的稳定运行和安全。
一、流量分析系统架构:
基于全流量检测穿透、高级和变种攻击,以及采集溯源元数据,采用通用的X86硬件平台,以及通用的Linux操作系统,提供高性能的APT威胁检测能力。系统接收镜像流量数据、外部文件数据、配置等数据输入,基于配置的策略对输入的数据通过协议解析、异常检测和文件还原,并对来自外部或还原的文件进行安全检测,最终输出日志、告警和报表。
二、流量分析系统优势:
1、检出率黑
①白名单检测信誉
②域名生成算法(Domain Generate Algorithm)检测恶意域名
③多引擎检测已知威胁
④基因图谱检测威胁变种
⑤沙箱行为检测未知威胁
⑥全球威胁情报关联追溯
2、高性能
①高性能硬件平台
②网卡驱动优化零丢包
③虚拟机系统精简优化
④虚拟机时钟加速
⑤所有产品全部支持集群
3、低误报率
①黑白名单检测接近零误报
②异常行为检测C&C连接
③多引擎检测接近零误报
④基因图谱检测接近零误报
⑤沙箱行为检测低误报
⑥高质量威胁情报
三、流量分析系统功能图:
四、流量分析系统应用场景:
1、旁路流量检测
支持旁路模式流量检测,在实现网络流量检测功能的同时,不需要改变用户的网络环境,避免设备对用户网络造成中断的风险。在旁路模式下,支持单一旁路部署和分布式部署方式。
2、生产网、IDC、DMZ办公网流量检测
通过镜像口抓取进出口网络流量,检测对各单位内网恶意代码入侵攻击,发觉潜伏在单位内各服务器与终端主机中的各种特种木马行为,定位失陷主机,找到业务系统异常根源。
3、邮件服务器检测
通过检测邮件服务器中文件捆绑攻击、挂马攻击、溢出攻击等行为,监控重要文件的存储与运输,防止攻击者利用稳健替换方式进行攻击。