联系我们
  • 公司地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

    联系电话:0752-2072178
    传真:0752-2072168-0 
    邮箱:gdoudi@ouditech.com


全流量威胁分析解决方案(TAM)
2018-8-27
来源:未知
点击数: 5992          作者:未知
  • 方案概述

    全流量威胁分析系统是绿盟科技基于多年在流量分析、大数据、机器学习积累之上推出的新一代网络流量分析系统。该方案采用DPI技术,对原始流量信息进行深度还原、存储、查询和分析,通过融合了传统的基于规则的检测技术、机器学习、威胁情报、虚拟沙箱和其他高级分析技术,可及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞利用、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,帮助安全管理者快速检测失陷主机


    全流量威胁分析系统特点在于将企业单位安全场景转化为安全模型,能够分析跨长时间维度的安全事件或者特定场景下的异常流量,同时通过以安全痕迹为切入点,基于安全平台的渐进式分析能力,还原整个安全事件,实现对高级威胁的分析能力。以下为绿盟科技全流量威胁分析系统功能架构图:


    方案介绍

    绿盟科技全流量威胁分析解决方案主要由四部分组成,分别是全流量分析探针(UTS)、高级威胁检测系统(TAC)、威胁情报系统(NTI)和全流量存储分析平台(TAM)。


    统一威胁探针(UTS)主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时UTS集成入侵检测、病毒检测及吸星引擎等各类安全探针,提供统一威胁检测能力。

    威胁分析系统(TAC)提供恶意文件检测功能,基于沙箱检测引擎,可以动态虚拟执行各类文件及应用程序,并将检测结果上报至TAM进行进一步处理和分析。

    威胁情报中心(NTI)提供威胁情报功能,通过与情报的有效结合,可以实时获取全球最新的热点事件和信息,大幅提升安全威胁事件检测能力。

    全流量威胁分析平台(TAM)是全流量威胁分析系统的核心,TAM平台可以对流量元数据进行加工和整理,利用其强大的大数据分析能力及各类机器学习算法,快速检测各类重点事件,如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。TAM从资产角度出发,结合攻击链模型向用户展示失陷主机,帮助客户从海量告警事件中,快速定位需要关注和处理的资产。当系统检测规则落后于攻击行为,特别是0day攻击发生后,用户需要通过数据回溯分析,来检测出以往系统漏检的一些重要攻击行为信息。系统通过情报或用户自定义规则作为输入,可以对历史流量数据进行回溯分析,同时提供原始流量取证能力。最后TAM平台以灵活的自定义检测策略、数据挖掘分析能力,提供北向接口等功能,使得客户能够扩展和集成安全能力,实现投资的收益最大化。

    客户收益

    绿盟科技全流量威胁分析系统是一套基于大数据技术,采集原始流量,并实现应用层流量还原,流量特征分析,并结合威胁情报实现安全场景分析及高级安全威胁分析的解决方案。使用全流量威胁分析解决方案主要能给客户带来的价值有:

    1

    高度完备的数据

    客户可以查看一切原始信息,五元组、应用层信息,PCAP原始报文信息;全流量威胁分析平台提供安全结果展示,同时又能提供界面化安全分析的手段。

    2

    高级威胁检测

    全流量威胁分析系统支持安全模型分析,可根据时间关联分析,渐进式分析,网络行为特征等方式分析出高级威胁事件。

    3

    溯源分析能力

    使用已公布的漏洞利用去检测历史流量,从而发现历史上黑客攻击行为,并以此为线索,通过关联分析挖出潜伏的攻击者。

    4

    可定制安全能力

    全流量威胁分析平台通过灵活的安全分析能力,支持自定义黑名单匹配、自定义规则,面对复杂的安全检查模型可自定义检查插件。

热门评论
  • 暂无信息

验证码: 验证码,看不清楚?请点击刷新验证码

地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

电话:0752-2072178  传真:0752-2072168-0  邮箱:gdoudi@ouditech.com广东欧迪科技有限公司 版权所有

Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

粤ICP备16018732号-1

春夜影院试看2分钟