产品简介

全流量网络安全分析一体机NDR是一款大容量存储的高性能数据包采集和安全检测分析、响应系统，可以分布部署在网络的关键节点，实现了对网络通讯数据包级的高性能实时安全分析和长时间回溯分析。

通过全流量数据存储、实时安全检测、安全可视化分析，实现对关键业务中的威胁事件、网络行为异常实时发现、威胁事件的回溯分析、网络故障分析，提升对网络系统和业务系统的安全保障和事件处置效率。

产品形态

软硬件一体化系统、虚拟化系统，通过交换机、路由器、分光器等镜像网络中的流量旁路部署在网络中。

核心功能 

威胁检测：对原始流量进行多维度、多层次威胁检测，包括多种特征规则检测、AI智能检测、行为模型分析，产生威胁日志。

威胁分析：对威胁事件进行可视化分析、钻取关联分析、攻击链关联分析。

流量回溯分析：任意时间段的拖拽回溯历史MAC、IP、应用、会话、数据报文，一级级深度钻取，WEB协议解码，多角度还原历史场景；

事件处置：针对威胁事件进行确认、响应、阻断处置；

故障诊断：对原始报文进行诊断，分析网络故障、应用故障。

产品优势

高性能：1G-10Gbps实时处理能力，TB级原始流量数据秒级定位；

高精度：多种精度实时统计分析（1秒~1天）；

大容量：强大数据存储；

智能化：内置AI分析检测模型，智能化检测传统方法难以检测的威胁；

一体化：采集、解析、存储、分析、处置一体化集成；

 

产品主要功能

网络流量采集

• 平台采用旁路部署方式，通过以太网端口镜像、分流器方式采集网络流量数据，不改变企业原有网络架构；
• 支持基于VLAN、VXLAN、MPLS VLAN、QINQ、网段等方式配置虚链路接口，实现对云数据中心、SDN网络、分流交换汇聚流量进行灵活采集；
• 可提供链路流量实时数据包抓取及历史数据回溯功能，并可自定义捕获条件与参数。

应用协议解析

• 平台采用DPI（Deep Packet Inspection）深度包检测技术进行应用层协议解析，可准确高效识别 5000余种预定义应用，500 种自定义应用，充分分析网络流量构成、性能、流速等；
• 支持在线报文解码和离线报文远程解码分析，支持对回溯系统存储报文通过WEB进行协议解码（不需要下载到本地）、时序图展示、HTTP等内容还原，支持对数据报文进行故障诊断分析；
• 支持文件还原，支持对HTTP、FTP、SMB、SMTP、POP、IMAP数据流文件还原，支持对可执行文件、压缩文件、图片文件、办公文件、脚本文件、文本文件多种文件格式进行文件还原，常用支持的文件类型有exe, apk, jar, doc, docx, xls, xlsx, ppt, pptx, pdf, csv, txt, png, log, tsv, html, js, css, xml。

流量回溯分析

• 能够分布式部署在各个监控的网络节点，实时分析捕获流量,实时保存捕获到的网络通讯数据包，进行长时间、大容量的数据存储能力；
• 能发现网络中存在的窃密行为，对捕获的原始数据包、数据流、网络会话、应用日志等各种统计数据；
• 具备快速的数据检索能力、随时分类查看及调用任意时间段的数据，具有回溯分析的能力；

威胁检测

• 支持多种威胁检测引擎，适应多种场景，包括网络整体安全检测、服务器安全检测、应用安全检测、终端安全检测，支持DDOS检测、非法外联检测、异常流量检测、暴力破解检测。支持的安全检测引擎主要有：
  • 入侵检测引擎
  • 异常行为检测引擎
  • 行为分析检测引擎
  • 威胁情报检测引擎
  • 恶意文件AI检测引擎
  • DGA域名AI检测引擎
  • 恶意URL AI检测引擎

威胁分析

• 整体安全态势感知：支持对全网、全业务进行安全可视化分析，通过态势感知界面实现感知网络和业务系统的整体安全状况、攻击来源地区、重要资产的安全状况、各类安全事件的整体趋势和数量。
• 攻击链ATT&CK分析，从攻击者视角查看网络遭受的威胁攻击战术和技术，关联知识库，从攻击方法、缓解措施、检测方式、疑似攻击组织等多个进行安全分析。
• 资产画像：通过流量检测的方式实现网络设备、IT系统资产清点和发现，生成资产安全画像，并结合多维度安全检测和威胁情分析等手段，进行脆弱性分析评估、及时告警。通过安全基线分析重要资产的安全状况，通过时间轴分析资产受攻击的上下文，实现攻击过程还原和事件关联分析。
• 对安全事件、安全日志进行多层次数据钻取回溯分析、数据包解码、数据流还原，准确进行还原取证分析。
• 关联威胁情报平台进行安全分析。

事件处置

• 支持基本的TCP RESET、DNS劫持等阻断方式；
• 支持基于安全策略进行安全威胁阻断。帮助安全人员大大降低工作量，实现自动化安全威胁处置。

高级威胁分析

• 隐秘隧道通信检测分析，支持ICMP隧道、DNS隧道检测分析；
• 劫持通信检测分析，支持TCP劫持、DNS劫持分析；
• 自定义特征规则检测分析，支持HEX、ASCII编码进行原始数据流匹配检测分析；
• 行为模型分析，通过对回溯元数据、审计日志元数据、安全日志元数据进行多种复杂关系的关联条件进行分析，支持全流量实时匹配分析、历史数据回溯分析。

场景化应用

• 对各类场景以应用的方式进行分析、处置；
• 勒索病毒检测应用，对勒索病毒影响的资产、事件进行可视化分析、溯源取证分析，ATT&CK事件关联分析，识别各类勒索病毒家族和变种。

应用行为分析

• 针对内部用户访问内部资源与外部资源以及外部用户访问内部资源的多种用户行为进行画像分析和数据关联分析，准确识别异常用户访问和用户异常访问；
• 针对用户各种访问资源和行为进行细粒度日志审计，并根据日志信息与用户正常访问基准进行比对，实现用户访问合规性分析与安全趋势分析。

全量通信日志检索 

• 全局搜索，搜索IP、域名、MD5 ，在指定时间范围对所有通信数据进行检索，快速查找指定通信记录。
• 设备通过多点采集全网南北向、东西向流量，产生全量内网、外网访问通信会话日志、应用识别日志、行为审计日志、安全日志，可通过多种方式进行全量通信日志检索。

分析报告

• 生成天、周、月、季报告，全面汇总分析网络安全风险评级、网络安全风险事件趋势、资产安全状况、威胁事件统计，提供加固建议、风险详情分析；为安全管理人员快捷提供分析结果。

 

 

典型应用场景

接入网威胁检测分析

• 业务接入端用户、终端设备的流量采集和存储、应用识别
• 业务接入端用户、终端设备安全检测分析、资产安全画像
• 安全事件回溯分析、溯源取证
• 提升安全运营效率，提供安全事件响应处置效率，提升用户连网安全保障能力

 

广域网威胁检测分析

• 骨干网络WAN链路威胁检测，配合对威胁流量、异常流量进行策略清洗
• MPLS VPN多业务网络虚链路安全检测分析
• 安全事件回溯分析、溯源取证
• 异常流量监测与发现
• 提升安全运营效率，提供安全事件响应处置效率，提升大网安全监控和管理能力

 

数据中心威胁检测分析

• 服务器、应用、业务系统的安全资产识别、安全画像分析
• 安全事件回溯分析、溯源取证
• 异常流量监测与发现
• 提升安全运营效率，提供安全事件响应处置效率，提升大网安全监控和管理能力