科來全流量安全分(fēn)析系統
發表時間:2019年10月22日浏覽量:
完整記錄網絡原始流量數據
設備部署在互聯網出口或者内部網絡彙聚節點,通過旁路鏡像的方式采集并存儲網絡全部流量,對正常生(shēng)産業務流量無任何影響。在保存全流量的同時,通過網絡協議實時解碼、元數據提取,建立完整的日志(zhì)、協議、數據包全字段索引,以便于快速提取多維度的網絡元數據進行異常行爲建模,爲後續異常數據挖掘、分(fēn)析、取證建立紮實的基礎。
回溯分(fēn)析與數據線索挖掘
通過高效的數據檢索,實現數據的快速回溯分(fēn)析,可随時分(fēn)類查看及調用任意時間段的數據,并從不同維度、不同時間區間,提供L2-L7層網絡協議統計、會話(huà)日志(zhì)、元數據日志(zhì),從而進行數據逐層挖掘和關聯檢索。
深度數據包分(fēn)析
TSA系統具備強大(dà)的網絡協議識别和解碼能力,可對數據包進行全字段解碼分(fēn)析,進而識别數據包全字段内容是否合規,發現注入攻擊、數據夾帶、隐蔽通訊等網絡攻擊行爲。
線索追蹤與取證
TSA系統具備長時間的原始數據存儲能力,通過網絡安全運維人員(yuán)對原始網絡流量日志(zhì)進行查詢檢索及關聯回溯分(fēn)析,實現從線索挖掘到整個攻擊過程的完整複盤。爲安全事件的準确響應提供依據。
異常行爲檢測
通過協議解碼提取300餘種網絡元數據,并結合科來網絡安全實戰經驗,内置異常行爲模型。同時支持用戶自定義行爲模型,不斷增強未知(zhī)威脅的檢測及響應能力。
可疑事件定性分(fēn)析
通過深度的網絡會話(huà)關聯分(fēn)析、數據包解碼分(fēn)析、載荷内容還原分(fēn)析、特征分(fēn)析和日志(zhì)分(fēn)析,真實還原黑客入侵的全過程,從而對網絡安全事件進行精準的定性分(fēn)析。
攻擊阻斷防禦
TSA系統支持網絡異常行爲阻斷,用戶可以根據威脅情報精準對已知(zhī)和未知(zhī)攻并進行實時阻斷。系統提供多種類型的阻斷方式,并提供獨立的存儲空間單獨保存阻斷日志(zhì)數據。