卓讯流量分析与回溯系统是一款集成高性能数据包采集、智能分析和大容量存储于一体的智能化平台,可以分布式/一体化部署在网络的关键节点,支持对物理网络和云网络流量的采集分析。
卓讯流量分析与回溯系统以需求为导向,以应用为抓手,融合FPGA的高性能,X86的灵活性,设备结构支持可堆叠,超强的背板交互能力实现不同技术方案设备之间的异构联动计算,充分发挥各个平台的性能优势,将协议分析,应用分析,元数据存储,原始数据存储完美的融合在一起,真正做到Tbps级别的在线业务处理,第一时间发现行为可疑行为和可疑内容,同时结合大容量存储,能够对历史行为和历史数据进行溯源,有效提升信息价值。
卓讯流量分析与回溯系统采用全量元数据存储+敏感原始数据存储的方式,可配置如视频流,下载流等应用的元数据存储而摒弃原始数据的存储,将存储规模降低1-2个数量级,真正做到信息最大化,存储最小化。具备快速的数据检索能力,可随时分类查看及调用任意时间段的数据,当发现问题时提供一定时间范围内的回溯分析(根据设备存储空间而定),为迅速定位问题发生原因提供了更全面的分析依据,同时为网络安全提供了强有力的数据分析保障。
产品简介
随着互联网的飞速发展,IT基础架构、移动互联网等技术的发展和变化,应用数量越来越多,网络信息传输方式越来越复杂,网络安全问题、国家安全问题、网络服务质量问题日趋严峻,传统技术手段面临着诸多挑战,设备性能跟不上网络带宽的发展,侦察发现的难度越来越大,取证需要建立庞大的存储空间,其中大量无效数据导致存储规模居高不下,如何能够实现对网络大流量如400Gbps、800Gbps甚至Tbps级别的数据实时在线业务分析,如何能够有效存储和取证,做到存储最小化,信息最大化,而不是“眉毛胡子一把抓”的存储是当前面临的主要痛点问题。
需求分析
多维呈现
流量分析与回溯系统
全网性能最高,实时在线分析存储系统
产品功能
7层协议分析
● 支持在线实时7层协议分析,可以识别出约4000+种应用
流管理
● 支持6000万条流/100G接口,可分别对TCP/UDP/IP设置流表老化时间
流统计
● 可以对流表进行所有元数据的统计记录,包括流报文数,字节数,建立时间,销毁时间,APP名称,手机号码等
多种匹配规则
● 支持灵活五元组规则、精确五元组规则、掩码五元组规则
● 支持特征码全包浮动搜索功能,最大可支持2000B长度范围,特征码长度支持3B-64B长度
流量重组还原
● 在应用协议识别的基础上,可以进行流量的重组还原,还原包括TXT、Email(含邮件附件),http下载(含RAR等多种格式)、WEB浏览等
高效存储和智能检索
● 支持元数据和敏感原始数据的存储
● 支持数据的多维智能检索
产品特性与优势
海内外全量应用分析
海内外全量应用分析
——
● 业界最全面的应用分析,可支持4000+种应用分析,可涵盖海内外主要APP,如国外WhatsApp,youtube,google;国内如抖音,微信等主流APP
三级数据分类
三级数据分类
——
● 将数据分为已知数据,可疑数据,未知数据
● 已知数据:表示已经识别出其APP名称
● 可疑数据:命中规则的数据
● 未知数据:未识别出APP,也未命中规则
大容量规则
大容量规则
——
● 灵活五元组规则支持200万条
● 掩码五元组规则支持14万条
● 特征码规则支持10万条
● 复合规则支持6万条
多维元数据
多维元数据
——
● 针对每个会话,可以统计并记录以下信息:会话的报文数(区分上下行)、字节数、建立时间、销毁时间、APP名称、手机号、IMEI、IMSI、固网账号、机器号、输入接口ID、线路ID等信息
分类存储检索
分类存储检索
——
● 基于应用识别和三级数据分类,可以有针对性的进行数据存储,如未知数据和可疑数据存储,或者去除视频流和下载流存储,同时结合元数据全量存储,多种模式可配,有效降低对存储空间的要求
在线身份信息关联
在线身份信息关联
——
● 支持2G/3G/4G/5G身份信令解析
● 支持1500万的身份信息存储(可扩展),支持200Gbps速率下的实时关联,可以第一时间获知数据所属人员
多维统计展示
安全检测
——
● 可基于会话,用户IP,端口、账号等信息进行统计展示
● 可支持饼状图,柱状图,折线图等呈现方式
● 支持基于位置区域统计并以地图形式展示
高性能低功耗
高性能低功耗
——
● 在业务规则全量配置的情况,特别是10万特征码全包浮动搜索配置情况下,可以达到200Gbps/1U的处理能力,其功耗不超过300W,价值线索可以在ms级别时间内发现
典型应用
