基于大數(shù)據(jù)分析的異常行為檢測分析平臺(tái)

在不影響網(wǎng)絡(luò)拓?fù)?、不需要流量分光鏡像、不需要部署流量探針、不需要在終端設(shè)備安裝代理程序、不依賴于其它安全設(shè)備的日志的情況下,一站式地解決了大型及復(fù)雜網(wǎng)絡(luò)環(huán)境下東西向攻擊難管控、虛擬化設(shè)備內(nèi)部行為難管控、新型攻擊行為難監(jiān)測、脆弱性端口難全天候排查、通信日志存在盲區(qū)、威脅源頭無法區(qū)分輕重緩急等諸多問題與難題,并可對所有威脅事件進(jìn)行溯源取證。

案例概述:

雷盾異常行為檢測分析平臺(tái)是一款基于網(wǎng)絡(luò)流量大數(shù)據(jù)的異常行為檢測分析系統(tǒng),能夠快速定位問題根源,有效規(guī)避安全風(fēng)險(xiǎn),提升網(wǎng)絡(luò)安全水平。一個(gè)平臺(tái)即可實(shí)現(xiàn)行為監(jiān)測、行為分析、溯源分析、行為取證多項(xiàng)功能。該平臺(tái)部署簡單,可以靈活適應(yīng)組網(wǎng),配置簡單,僅需在交換機(jī)、路由上做簡單的配置即可。

軟件功能介紹:

1、流量監(jiān)控與分析

可對全網(wǎng)的網(wǎng)絡(luò)流量,按照網(wǎng)段、IP等視角,根據(jù)上下行BPS/PPS等維度,進(jìn)行分析、統(tǒng)計(jì)及趨勢預(yù)測;可精確定位網(wǎng)絡(luò)資源占用最高的網(wǎng)段、IP以及業(yè)務(wù)所發(fā)生的時(shí)點(diǎn);可對任意IP、任意時(shí)點(diǎn)的流量情況進(jìn)行分析及溯源。

2、網(wǎng)絡(luò)應(yīng)用服務(wù)分析

可對全網(wǎng)的上下行網(wǎng)絡(luò)應(yīng)用情況,按照流量、數(shù)據(jù)包數(shù)、關(guān)聯(lián)IP數(shù)等維度進(jìn)行分析及統(tǒng)計(jì),并可對相應(yīng)的數(shù)據(jù)進(jìn)行下鉆分析。

3、威脅監(jiān)控及分析

從攻擊視角、防御視角等多種視角,對網(wǎng)絡(luò)內(nèi)外部的攻擊源頭、威脅目標(biāo)、脆弱性端口等按照威脅等級(jí)的高低進(jìn)行分析、監(jiān)控、預(yù)警及溯源。其中攻擊視角指以攻擊源IP為分析對象,對攻擊鏈展開分析;防御視角指以受攻擊目標(biāo)IP為分析對象,對攻擊鏈展開分析。

4、脆弱性監(jiān)控及分析

對上下行網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控,動(dòng)態(tài)掌控全網(wǎng)與脆弱性端口情況。

5、威脅態(tài)勢與趨勢分析

提供威脅態(tài)勢與趨勢分析,從全局的角度準(zhǔn)確把控網(wǎng)絡(luò)安全最核心、重大、突出的問題,幫助監(jiān)管單位或部門快速合理決策。

6、威脅管理與處置

目前已實(shí)現(xiàn)兩種IP阻斷功能:通過自研的API接口,可與交換機(jī)、防火墻進(jìn)行聯(lián)動(dòng)處置;通過BGP協(xié)議,對威脅IP實(shí)現(xiàn)快速阻斷。

方案的優(yōu)勢:

與傳統(tǒng)的基于數(shù)據(jù)包特征來發(fā)現(xiàn)網(wǎng)絡(luò)異常行為不同,雷盾異常行為檢測分析平臺(tái)是基于流量行為的特征進(jìn)行發(fā)現(xiàn),規(guī)避了傳統(tǒng)的安全態(tài)勢感知平臺(tái)的不足,可以跨時(shí)間、跨空間的進(jìn)行全網(wǎng)數(shù)據(jù)聯(lián)動(dòng),發(fā)現(xiàn)很多通常的安全設(shè)備發(fā)現(xiàn)不了的問題。較傳統(tǒng)的安全態(tài)勢感知平臺(tái),我們具備以下優(yōu)勢:

1、網(wǎng)絡(luò)流量處理能力提高至TB級(jí)

對關(guān)鍵數(shù)據(jù)進(jìn)行采樣處理,在采樣率為1024的情況下我們就可以用GB(bps)級(jí)分析能力的設(shè)備處理TB(bps)級(jí)的網(wǎng)絡(luò)環(huán)境!

2、跨時(shí)間維度分析提升捕獲風(fēng)險(xiǎn)能力

可對采樣后的數(shù)據(jù)進(jìn)行跨時(shí)間維度的分析,比如可對攻擊源某個(gè)時(shí)段(比如5分鐘)之內(nèi)的行為進(jìn)行綜合分析從而精確分析出其它安全設(shè)備所無法捕獲的風(fēng)險(xiǎn)!

3、海量攻擊行為聯(lián)動(dòng)分析,扼殺威脅在萌芽狀態(tài)

可以通過采樣后的數(shù)據(jù)實(shí)現(xiàn)對全網(wǎng)的行為進(jìn)行聯(lián)動(dòng)分析,對同一個(gè)攻擊源針對不同IP、不同網(wǎng)段的威脅行為進(jìn)行聯(lián)動(dòng)分析,把相關(guān)的威脅扼殺在萌芽狀態(tài)!

4、智能化算法,實(shí)現(xiàn)異常行為檢測閾值調(diào)整

對各種異常行為檢測組件對應(yīng)的檢測閾值,經(jīng)歷了直接控制->間接控制->引入反饋機(jī)制->自我控制 完整的進(jìn)化過程,最終通過智能化算法(采用S-曲線法則)實(shí)現(xiàn)相關(guān)閾值的自動(dòng)調(diào)整!

THEEND

最新評(píng)論

更多
暫無評(píng)論