產(chǎn)品簡(jiǎn)介
網(wǎng)絡(luò)流量分析系統(tǒng)是一款高性能�、全流量網(wǎng)絡(luò)入侵產(chǎn)品���,該產(chǎn)品支持15種互聯(lián)網(wǎng)協(xié)議、16種電力工控協(xié)議�,內(nèi)置30,000多種流量威脅規(guī)則,采用高性能的流量采集和分析引擎�����,可以對(duì)企業(yè)安全域的網(wǎng)絡(luò)流量進(jìn)行全面檢測(cè)和入侵分析�����,同時(shí)具備工控流量還原審計(jì)��、IOT協(xié)議分析����、白名單、基線協(xié)議學(xué)習(xí)�、流量資產(chǎn)發(fā)現(xiàn)、資產(chǎn)地圖�����、網(wǎng)絡(luò)通訊關(guān)系管理等多重功能���。
功能
威脅檢測(cè)
支持shellcode�、惡意軟件、DDos�、Webshell、權(quán)限獲取����、SQL注入��、跨站腳本攻擊(XSS)��、Web應(yīng)用攻擊���、遠(yuǎn)程調(diào)用攻擊����、代碼執(zhí)行���、掃描�����、可疑文件���、可疑文件名�����、入侵攻擊����、網(wǎng)絡(luò)攻擊����、信息泄漏、大規(guī)模信息泄漏�、網(wǎng)絡(luò)爬蟲、數(shù)據(jù)泄漏嘗試等威脅的檢測(cè)能力��。
資產(chǎn)管理
支持通過流量數(shù)據(jù)進(jìn)行資產(chǎn)發(fā)現(xiàn)�、IP與MAC管理、IP與MAC發(fā)生變更即告警�;支持資產(chǎn)維護(hù)管理:針對(duì)資產(chǎn)補(bǔ)充信息,包括地區(qū)�、業(yè)務(wù)系統(tǒng)類型;支持資產(chǎn)離線監(jiān)測(cè):超過一定配置時(shí)間間隔即發(fā)出離線告警��;支持資產(chǎn)端口服務(wù)監(jiān)測(cè)�,設(shè)定該端口的IP段能通訊代表是合法�,否則:產(chǎn)生非法通訊端口告警��;未定義資產(chǎn)端口流量監(jiān)測(cè):未配置該端口時(shí)�����,一但發(fā)生通訊即告警����;資產(chǎn)間攻擊關(guān)系線段可以鉆取相應(yīng)攻擊關(guān)系信息。
網(wǎng)絡(luò)全景
支持資產(chǎn)間網(wǎng)絡(luò)關(guān)系自動(dòng)繪制拓?fù)鋱D��,同時(shí)可以:資產(chǎn)基本信息鉆取���、資產(chǎn)告警鉆取、該資產(chǎn)與其它資產(chǎn)的直接通訊關(guān)系鉆?����?����;支持:資產(chǎn)端口服務(wù)列表�、一機(jī)多IP展示����;支持:與非資產(chǎn)設(shè)備間的網(wǎng)絡(luò)通訊關(guān)系拓?fù)鋱D展示�,包括在節(jié)點(diǎn)上能標(biāo)示出該節(jié)點(diǎn)是否存在攻擊信息;在攻擊關(guān)系線上可以鉆取相關(guān)攻擊會(huì)話相關(guān)信息�����。
協(xié)議基線
支持啟動(dòng)基線學(xué)習(xí)模式���,學(xué)習(xí)結(jié)束后自動(dòng)切換為檢測(cè)模式��;支持開啟與關(guān)閉應(yīng)用層協(xié)議�,控制應(yīng)用層協(xié)議是否參與基線學(xué)習(xí)���;自定義端口進(jìn)行基線學(xué)習(xí):可以添加一個(gè)新資產(chǎn)端口�����,把該新添加的端口納入基線學(xué)習(xí)�;在基線學(xué)習(xí)協(xié)議中�����,可以管理基線學(xué)習(xí)字段功能:讓部分協(xié)議字段參與基線學(xué)習(xí);基線會(huì)話管理:在基線管理中可以按資產(chǎn)會(huì)話關(guān)系進(jìn)行基線關(guān)系管理�����,可以按IP之間的通訊關(guān)系展示兩個(gè)IP之間有多少會(huì)話內(nèi)容���,可以看到資產(chǎn)間與哪個(gè)端口進(jìn)行通訊�、通訊具體的內(nèi)容�。
流量還原
支持Web類流量還原:Http;支持郵件類流量還原:Smtp����、Pop3、Imap��;支持文件傳輸類流量還原:Smb�、Ftp���、Nfs�����;支持系統(tǒng)服務(wù)類流量還原:Dns�、Dhcp、Snmp����、Udp;支持遠(yuǎn)程管理類流量還原:Telnet��、Ssh����、Rdp、Vnc���;支持工控協(xié)議:IEC.101�、IEC.102��、IEC.103���、IEC.104��、Omron��、BACNet�、EGD、DL476����、GOOSE、SV�、MMS、Modbus���、EIP/enip��、DNP3.0���、DCERPC、S7��、S7-plus
威脅展現(xiàn)
數(shù)據(jù)展示排行���,包括:攻擊源排行���、攻擊目標(biāo)�����、攻擊類型、攻擊URL���、攻擊域名排行����;在按攻擊類型進(jìn)行排行時(shí)�,還可以按多個(gè)維度進(jìn)行數(shù)據(jù)鉆取溯源分析:針對(duì)IP進(jìn)行攻擊階段溯源、按攻擊時(shí)間段溯源��;地理位置配置:可以針對(duì)內(nèi)網(wǎng)IP在界面上進(jìn)行經(jīng)緯度配置��。情報(bào)分析:在界面上可以關(guān)聯(lián)情報(bào)庫(kù)���;分析報(bào)告:在界面上可以導(dǎo)出整個(gè)系統(tǒng)的完整分析報(bào)告��,包括:攻擊類型分類�����,每一種攻擊類型的攻擊來(lái)源分布�、攻擊目標(biāo)分布等���。
集群管理
集群控制臺(tái):當(dāng)有多臺(tái)探針時(shí)�����,可以組成一個(gè)集群管理��,集群管理節(jié)點(diǎn)可以針對(duì)其它探針進(jìn)行增����、刪、改�����、升級(jí)應(yīng)用�����、升級(jí)策略等功能�����;探針狀態(tài)匯報(bào):可以設(shè)置集群管理節(jié)點(diǎn)IP�,把自身節(jié)點(diǎn)運(yùn)行狀態(tài)匯報(bào)給集群管理節(jié)點(diǎn);探針數(shù)據(jù)匯報(bào):當(dāng)探針發(fā)現(xiàn)的告警數(shù)據(jù)���,可以統(tǒng)一匯總至集群管理節(jié)點(diǎn)上進(jìn)行集中展示���、統(tǒng)計(jì)、鉆取等�。
優(yōu)勢(shì)
●支持工控、互聯(lián)網(wǎng)���、數(shù)據(jù)庫(kù)協(xié)議審計(jì)
●支持工控協(xié)議學(xué)習(xí)
●支持協(xié)議基線
●支持網(wǎng)絡(luò)通訊基線學(xué)習(xí)
●支持資產(chǎn)服務(wù)基線學(xué)習(xí)
●支持流量資產(chǎn)識(shí)別
●支持IP/MAC關(guān)系學(xué)習(xí)與檢測(cè)
●支持一機(jī)多IP檢測(cè)與圖形化展示
●支持資產(chǎn)離線監(jiān)控
●支持未定義資產(chǎn)端口通訊監(jiān)測(cè)
●支持資產(chǎn)關(guān)系視圖與通訊關(guān)系方向檢測(cè)
●支持互聯(lián)網(wǎng)&工控威脅場(chǎng)景檢測(cè)
●支持流量場(chǎng)景威脅檢測(cè)分析場(chǎng)景
●支持情報(bào)關(guān)聯(lián)
●支持內(nèi)網(wǎng)IP地理位置配置
●支持集群部署與監(jiān)控
●支持外部沙箱對(duì)接
●支持分析報(bào)告導(dǎo)出
成功案例
