異常流量檢測分析系統(tǒng)-ATA
基于流量行為特征��,檢測和分析異常流量�����,發(fā)現(xiàn)異常工作組和主機(jī)�����,分析服務(wù)器主動(dòng)外連��。
為什么要監(jiān)測分析異常流量
網(wǎng)絡(luò)管理人員都希望在網(wǎng)絡(luò)性能突然下降的時(shí)候找到“真兇”所在,并迅速解決問題。利用ATA解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢分析,可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象��,并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問題。并根據(jù)最終分析結(jié)果����,網(wǎng)絡(luò)管理人員可快速的解決掉網(wǎng)絡(luò)異常問題�����,保證網(wǎng)絡(luò)正常的運(yùn)行。
我們是如何做到的
-
通常意義上的內(nèi)部網(wǎng)絡(luò)安全是通過IP Payload載荷中的某些特征值識別,來檢測該IP流量是否屬于某種病毒或網(wǎng)絡(luò)攻擊手段。這種特征值識別的技術(shù)的缺陷在于需要維護(hù)一個(gè)特征值的庫并且不斷更新,對于新出現(xiàn)的或變種的攻擊手段無法識別和判斷��。
-
異常流量檢測分析系統(tǒng)-ATA可以通過一種特有的網(wǎng)絡(luò)行為分析的功能來檢測網(wǎng)絡(luò)中的病毒和攻擊行為��。這一特色就是強(qiáng)大的網(wǎng)絡(luò)行為分析的功能����。通過對全網(wǎng)IP流量的監(jiān)控�����,可以感知到所有主機(jī)的網(wǎng)絡(luò)行為,對于其中一些“可疑”的網(wǎng)絡(luò)流量和行為,通過內(nèi)置的分析引擎可以自動(dòng)檢測并提供告警�。這些“可疑”的流量包括主機(jī)掃描、端口掃描��、蠕蟲病毒�����、可疑連接等����。
系統(tǒng)功能介紹
未知TCP應(yīng)用發(fā)現(xiàn)
系統(tǒng)實(shí)時(shí)分析全流量信息�,自動(dòng)發(fā)現(xiàn)未知TCP應(yīng)用���,直觀展示其運(yùn)行軌跡和行為特征���。
未知UDP應(yīng)用發(fā)現(xiàn)
系統(tǒng)實(shí)時(shí)分析全流量信息����,自動(dòng)發(fā)現(xiàn)未知UDP應(yīng)用,直觀展示其運(yùn)行軌跡和行為特征。
未知TCP應(yīng)用流量分布分析
實(shí)時(shí)分析全流量信息��,自動(dòng)發(fā)現(xiàn)未知TCP應(yīng)用,顯示未知TCP流量分布狀態(tài)和趨勢�����。
未知UDP應(yīng)用流量分布分析
實(shí)時(shí)分析全流量信息�����,自動(dòng)發(fā)現(xiàn)未知UDP應(yīng)用�����,顯示未知UDP流量分布狀態(tài)和趨勢。
未知應(yīng)用主機(jī)發(fā)現(xiàn)
系統(tǒng)實(shí)時(shí)分析全流量信息,自動(dòng)發(fā)現(xiàn)未知TCP和UDP應(yīng)用后進(jìn)一步分析�,察看任意未知應(yīng)用流量產(chǎn)生時(shí)間�����,以及這段時(shí)間內(nèi)相關(guān)主機(jī)信息�����。
未知應(yīng)用數(shù)據(jù)導(dǎo)出
實(shí)時(shí)采集和分析的未知應(yīng)用相關(guān)數(shù)據(jù)�,可以通過簡介的方式自動(dòng)導(dǎo)出,以供進(jìn)一步分析或記錄備案�����。
系統(tǒng)部署方案
異常流量分析設(shè)備旁路部署在網(wǎng)絡(luò)的各重要業(yè)務(wù)服務(wù)器功能區(qū)�����,通過交換機(jī)端口鏡像采集的關(guān)鍵區(qū)域的網(wǎng)絡(luò)通訊數(shù)據(jù)�,分析并存儲(chǔ)�。服務(wù)器加載各個(gè)功能模塊對采集得到的網(wǎng)絡(luò)通訊數(shù)據(jù)做深入分析��,取得需要的各種數(shù)據(jù)和產(chǎn)生相關(guān)警報(bào)。
用戶不用安裝任何第三方軟件����,直接通過瀏覽器對服務(wù)器采集的數(shù)據(jù)和分析結(jié)果進(jìn)行集中的管理����,實(shí)現(xiàn)集中的告警分析、報(bào)表匯總����、配置管理等重要功能�����,同時(shí)提供數(shù)據(jù)的挖掘分析功能����,方便用戶進(jìn)行查看、檢索����、數(shù)據(jù)挖掘等應(yīng)用。
異常流量分析的價(jià)值
-
系統(tǒng)通過對采集的網(wǎng)絡(luò)流量進(jìn)行挖掘、關(guān)聯(lián)性分析����,與網(wǎng)絡(luò)流量��、訪問行為和業(yè)務(wù)系統(tǒng)(應(yīng)用)的安全結(jié)合起來,是幫助管理人員掌握網(wǎng)絡(luò)資源使用情況���、分析業(yè)務(wù)系統(tǒng)異常情況,保障業(yè)務(wù)系統(tǒng)的安全�����、穩(wěn)定和高效運(yùn)行的有力手段。
-
系統(tǒng)對應(yīng)用和節(jié)點(diǎn)的流量信息和網(wǎng)絡(luò)行為進(jìn)行持續(xù)性統(tǒng)計(jì)和對比分析,快速發(fā)現(xiàn)流量和連接數(shù)的異常變化、網(wǎng)絡(luò)行為中的異常訪問操作和攻擊操作�����,追蹤和審計(jì)異常網(wǎng)絡(luò)行為�,為管理員提供報(bào)警通知和處理功能���,并通過聯(lián)動(dòng)對網(wǎng)絡(luò)異常行為采取阻斷等進(jìn)一步處理。
