案例概述:
雷盾異常行為檢測分析平臺(tái)是一款基于網(wǎng)絡(luò)流量大數(shù)據(jù)的異常行為檢測分析系統(tǒng),能夠快速定位問題根源,有效規(guī)避安全風(fēng)險(xiǎn),提升網(wǎng)絡(luò)安全水平。一個(gè)平臺(tái)即可實(shí)現(xiàn)行為監(jiān)測、行為分析、溯源分析、行為取證多項(xiàng)功能。該平臺(tái)部署簡單,可以靈活適應(yīng)組網(wǎng),配置簡單,僅需在交換機(jī)、路由上做簡單的配置即可。
軟件功能介紹:
1、流量監(jiān)控與分析
可對全網(wǎng)的網(wǎng)絡(luò)流量,按照網(wǎng)段、IP等視角,根據(jù)上下行BPS/PPS等維度,進(jìn)行分析、統(tǒng)計(jì)及趨勢預(yù)測;可精確定位網(wǎng)絡(luò)資源占用最高的網(wǎng)段、IP以及業(yè)務(wù)所發(fā)生的時(shí)點(diǎn);可對任意IP、任意時(shí)點(diǎn)的流量情況進(jìn)行分析及溯源。
2、網(wǎng)絡(luò)應(yīng)用服務(wù)分析
可對全網(wǎng)的上下行網(wǎng)絡(luò)應(yīng)用情況,按照流量、數(shù)據(jù)包數(shù)、關(guān)聯(lián)IP數(shù)等維度進(jìn)行分析及統(tǒng)計(jì),并可對相應(yīng)的數(shù)據(jù)進(jìn)行下鉆分析。
3、威脅監(jiān)控及分析
從攻擊視角、防御視角等多種視角,對網(wǎng)絡(luò)內(nèi)外部的攻擊源頭、威脅目標(biāo)、脆弱性端口等按照威脅等級(jí)的高低進(jìn)行分析、監(jiān)控、預(yù)警及溯源。其中攻擊視角指以攻擊源IP為分析對象,對攻擊鏈展開分析;防御視角指以受攻擊目標(biāo)IP為分析對象,對攻擊鏈展開分析。
4、脆弱性監(jiān)控及分析
對上下行網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控,動(dòng)態(tài)掌控全網(wǎng)與脆弱性端口情況。
5、威脅態(tài)勢與趨勢分析
提供威脅態(tài)勢與趨勢分析,從全局的角度準(zhǔn)確把控網(wǎng)絡(luò)安全最核心、重大、突出的問題,幫助監(jiān)管單位或部門快速合理決策。
6、威脅管理與處置
目前已實(shí)現(xiàn)兩種IP阻斷功能:通過自研的API接口,可與交換機(jī)、防火墻進(jìn)行聯(lián)動(dòng)處置;通過BGP協(xié)議,對威脅IP實(shí)現(xiàn)快速阻斷。
方案的優(yōu)勢:
與傳統(tǒng)的基于數(shù)據(jù)包特征來發(fā)現(xiàn)網(wǎng)絡(luò)異常行為不同,雷盾異常行為檢測分析平臺(tái)是基于流量行為的特征進(jìn)行發(fā)現(xiàn),規(guī)避了傳統(tǒng)的安全態(tài)勢感知平臺(tái)的不足,可以跨時(shí)間、跨空間的進(jìn)行全網(wǎng)數(shù)據(jù)聯(lián)動(dòng),發(fā)現(xiàn)很多通常的安全設(shè)備發(fā)現(xiàn)不了的問題。較傳統(tǒng)的安全態(tài)勢感知平臺(tái),我們具備以下優(yōu)勢:
1、網(wǎng)絡(luò)流量處理能力提高至TB級(jí)
對關(guān)鍵數(shù)據(jù)進(jìn)行采樣處理,在采樣率為1024的情況下我們就可以用GB(bps)級(jí)分析能力的設(shè)備處理TB(bps)級(jí)的網(wǎng)絡(luò)環(huán)境!
2、跨時(shí)間維度分析提升捕獲風(fēng)險(xiǎn)能力
可對采樣后的數(shù)據(jù)進(jìn)行跨時(shí)間維度的分析,比如可對攻擊源某個(gè)時(shí)段(比如5分鐘)之內(nèi)的行為進(jìn)行綜合分析從而精確分析出其它安全設(shè)備所無法捕獲的風(fēng)險(xiǎn)!
3、海量攻擊行為聯(lián)動(dòng)分析,扼殺威脅在萌芽狀態(tài)
可以通過采樣后的數(shù)據(jù)實(shí)現(xiàn)對全網(wǎng)的行為進(jìn)行聯(lián)動(dòng)分析,對同一個(gè)攻擊源針對不同IP、不同網(wǎng)段的威脅行為進(jìn)行聯(lián)動(dòng)分析,把相關(guān)的威脅扼殺在萌芽狀態(tài)!
4、智能化算法,實(shí)現(xiàn)異常行為檢測閾值調(diào)整
對各種異常行為檢測組件對應(yīng)的檢測閾值,經(jīng)歷了直接控制->間接控制->引入反饋機(jī)制->自我控制 完整的進(jìn)化過程,最終通過智能化算法(采用S-曲線法則)實(shí)現(xiàn)相關(guān)閾值的自動(dòng)調(diào)整!