卓讯业务态势感知系统采用软硬件结合的方式,包括流量采集探针、日志采集探针和态势感知系统三个部分,其中,流量采集探针负责将网络中的原始流量进行多种协议特征提取、生成流数据和上报态势感知系统;日志采集探针负责对关键资产上的安全日志进行采集、提取、生成行为数据和上报态势感知系统;态势感知系统对上报的数据进行关联分析和可视化展示。
产品简介
随着信息化和网络的高速发展,针对我国关键基础设施及政府网站等攻击事件频发,更为严峻的是各种网络攻击和网络威胁呈现持续性和扩大化的发展趋势。其中,以0day漏洞利用和高级逃逸技术为主要特征的APT攻击已经成为网络空间的首要威胁,而传统的基于已知特征检测的被动式防御手段无法应对这些攻击。为解决这一问题,业务态势感知系统应运而生。态势感知系统可充分利用大数据技术,综合考虑安全事件分析系统,对已有安全基础设施如网络设备、安全设备、主机操作系统、数据库、中间件、统一身份管理系统、业务应用系统等的访问操作、告警日志、系统日志、网络流量等进行统一的采集处理,通过机器学习、语义网络、关联分析、情报分析、数据挖掘等大数据分析手段,及时发现网络及信息系统中潜在的安全威胁和攻击,建立安全预警机制,增强网络安全防御能力。
需求分析
典型应用
业务态势感知系统
对于重要的关键基础设施网络及政府网站,现有的网络安全防护手段无法感知和呈现安全态势,因此难以进行必要的溯源和追责,而一旦重要服务器、网络系统或生产设备遭受到恶意攻击,会造成业务中断,带来严重的经济和社会危害。本方案通过在关键位置部署多台流量采集探针和日志采集探针,在安全管理区部署态势感知系统,来检测各种已知和未知威胁,并向用户实时展示威胁详情和发出预警,实现全网的安全态势感知。
业务态势感知系统
感知全网的安全态势,尤其是标记安全态势、应用安全态势,并以实时动态视图形式展示在大屏上
核心功能
流量检测
● 异常网络行为检测:检测异常的内部和外部互联、C&C通讯等
● 入侵检测:在内容、环境、应用等多个层面感知入侵
● 病毒检测:将文件还原,并检测恶意程序
日志采集
● 对主流厂商网络设备、安全设备以及网管平台的全日志采集
● 对主流操作系统的日志采集
● 对中间件软件日志信息的采集
● 对主流操作系统的日志采集
态势感知
● 对采集的日志和数据进行关联分析,及时发现各种高级威胁事件
● 对网站监测异常进行预警
● 可视化展示威胁、漏洞及综合态势
● 提供业务合规、整体威胁、通知反馈
产品优势
全方位数据采集
全方位数据采集
——
● 数据源覆盖全面,涵盖网络流量、日志及各种脆弱性信息
● 全面感知网络、数据库、操作系统、中间件等各层安全态势
可视化定制展示
可视化定制展示
——
● 丰富、直观的图形化展示安全态势
● 动态实时监测,及时发现异常情况
● 交互式体验,使用户轻松完成数据的过滤、归并和钻取等分析,便于追踪溯源
多样化检测手段
多样化检测手段
——
● 全面检测各种异常网络行为、网络入侵和病毒等安全问题
● 从资产维度、威胁维度、漏洞维度等方面进行多维度、多视角安全检测
完善的威胁情报
完善的威胁情报
——
● 内置日志探针和流量探针,采集丰富的日志和流量信息
● 具备外部威胁情报接口,可从第三方渠道获取威胁情报数据
分布式实时分析
分布式实时分析
——
● 领先的分布式架构分析引擎,满足用户对实时性的威胁分析要求
● 多维度关联分析和持续威胁建模,绘制出完整攻击链
