首頁    安全測試    網絡探針介紹

網絡探針介紹

一、產品簡介

網絡探針是能夠對網絡流量進行采集、分析、信息提取的網絡流量處理工具。該系統能夠應用于百兆、千兆和萬兆網絡環境;能夠自適應基于以太網的各類網絡仿真;具備DPI功能,能夠識別800種網絡協議;支持百兆、千兆帶寬的全包采集;支持基于復雜規則的定制化流量采集;支持針對TCP-SYN、UDP、ICMP的DDOS攻擊檢測;支持記錄流量日志,支持DNS、HTTP、SSL等常見協議的信息采集。

 

二、主要功能

網絡探針是網絡流量智能分析平臺的最基礎環節,其主要功能包括:

探針1

 

n   日志采集

日志采集將網絡流量轉化為結構化數據—Json格式的流量日志。日志內容分為連接基礎信息、連接統計信息、協議元數據、負載數據信息、負載統計信息、負載文件及其索引等多個部分。目前,日志包括:雙向MAC地址、連接五元組信息、連接上下行流量及包數、連接起止時間、前50個有效負載數據包的包長及協議類型、前16個有效負載數據包的前16字節、IP/TCP協議基礎數據、DNS元數據、HTTP元數據、SSL元數據、SSL協議的負載分布情況、SSL證書文件及其索引。

n   實時檢測

某些網絡行為具備實時性檢測要求,或與負載內容高度相關,無法基于日志進行分析;此時,就需要實時檢測模塊基于實時的網絡流量進行即時分析,得到分析結果,生成檢測日志并采集相關流量。目前實時監測包括DDOS檢測(包括TCP-SYN Flood、UDP Flood、DNS Flood、ICMP Flood),異常協議檢測(基于RFC標準的協議異常檢測,包括IP、TCP、ICMP、SSL/TLS、DNS等協議),隱蔽信道檢測(包括DNS隱蔽信道、SSL隱蔽信道)。

n   規則匹配

規則匹配指基于規則對流量進行匹配,并給予匹配結果及預定的采集方案將特定流量保存為Pcap文件進行留存。目前規則匹配支持多種規則類型、多種數據留存模式,支持單包命中多個規則(最多能夠同時命中16個規則),命中多規則時數據包留存多份。規則類型包括:IPv4/6規則(支持IP、端口范圍、端口類型、IP-Pro正/反選)、協議規則(支持協議類型、協議所在端口范圍及類型)、特征字規則、正則表達式規則、動態庫規則、域名規則。

n   網絡流量篩選

規則匹配引擎的匹配結果,能夠設置9種流量篩選模式,實現網絡流量精確采集。

   n   檢測攻擊

網絡探針的持續監測和信息分析,可以廣泛檢測各種攻擊,能夠識別零日惡意軟件、內部威脅、高級持久性威脅 (APT)、分布式拒絕服務 (DDoS) 統計以及其他威脅。

? 網絡探針能夠產生流量日志、還原負載文件、篩選網絡流量

?  網絡探針能夠在不解密的情況下,檢測出SSL/TLS流量中的惡意威脅

?  網絡探針能夠不依賴規則發現網絡中潛伏的惡意威脅

?  網絡探針能夠從多個層面展示網絡流量的整體態勢

?  網絡探針能夠提供可視化技術、機器學習平臺,便于用戶進行惡意威脅分析

?  網絡探針不僅可以監控傳入和傳出網絡的流量,還可以監控網絡內部的橫向或東-西流量,識別網絡濫用和內部威脅

 

三、產品特點

網絡探針平臺,提供了網絡流量采集、流量日志提取、實時異常檢測、規則匹配引擎、網絡流量篩選等多種功能;并提供了豐富的系統接口便于用戶基于這些接口進行二次開發,可拓展功能模塊。

?  網絡流量采集:支持百兆、千兆、萬兆流量接入;

?  部署模式:支持串行、并行兩種部署模式,支持分布式部署,支持邊界、內網部署

?  協議棧:能夠識別800多種網絡協議,自適應多種網絡類型;

? 流量日志:上百種流量特征向量,覆蓋二層到七層,能夠精確的描述網絡流量狀態

? 實時異常檢測:基于數據流向、RFC文檔、專家知識進行異常檢測;

?  規則匹配引擎:多種種規則類型、覆蓋面廣、匹配性能高

?  網絡流量篩選:基于規則匹配引擎的匹配結果,能夠設置9種流量篩選模式,實現網絡流量精確采集

 

四、部署方案

a)    設備形態

根據帶寬不同,網絡流量探針可分為:

n  MiniPC:百兆網絡流量

n  1U服務器:千兆網絡流量

n  2U服務器:萬兆網絡流量

n  ATCA:多萬兆網絡流量

b) 部署模式

n  單機部署: 旁路部署,利用分光器或設置交換機、路由器的數據鏡像功能,將待檢測網絡流量數據導入探針。

n  多探針部署:若待檢測流量分布在多條光纖中,可利用匯聚分流設備進行將多條光纖中的流量匯聚后利用負載均衡功能發送到若干條光纖中,每條光纖連接一臺網絡流量探針。


網絡流量
178彩票走势图