基于大数据分析的异常行为检测分析平台

在不影响网络拓扑、不需要流量分光镜像、不需要部署流量探针、不需要在终端设备安装代理程序、不依赖于其它安全设备的日志的情况下,一站式地解决了大型及复杂网络环境下东西向攻击难管控、虚拟化设备内部行为难管控、新型攻击行为难监测、脆弱性端口难全天候排查、通信日志存在盲区、威胁源头无法区分轻重缓急等诸多问题与难题,并可对所有威胁事件进行溯源取证。

案例概述:

雷盾异常行为检测分析平台是一款基于网络流量大数据的异常行为检测分析系统,能够快速定位问题根源,有效规避安全风险,提升网络安全水平。一个平台即可实现行为监测、行为分析、溯源分析、行为取证多项功能。该平台部署简单,可以灵活适应组网,配置简单,仅需在交换机、路由上做简单的配置即可。

软件功能介绍:

1、流量监控与分析

可对全网的网络流量,按照网段、IP等视角,根据上下行BPS/PPS等维度,进行分析、统计及趋势预测;可精确定位网络资源占用最高的网段、IP以及业务所发生的时点;可对任意IP、任意时点的流量情况进行分析及溯源。

2、网络应用服务分析

可对全网的上下行网络应用情况,按照流量、数据包数、关联IP数等维度进行分析及统计,并可对相应的数据进行下钻分析。

3、威胁监控及分析

从攻击视角、防御视角等多种视角,对网络内外部的攻击源头、威胁目标、脆弱性端口等按照威胁等级的高低进行分析、监控、预警及溯源。其中攻击视角指以攻击源IP为分析对象,对攻击链展开分析;防御视角指以受攻击目标IP为分析对象,对攻击链展开分析。

4、脆弱性监控及分析

对上下行网络流量进行实时监控,动态掌控全网与脆弱性端口情况。

5、威胁态势与趋势分析

提供威胁态势与趋势分析,从全局的角度准确把控网络安全最核心、重大、突出的问题,帮助监管单位或部门快速合理决策。

6、威胁管理与处置

目前已实现两种IP阻断功能:通过自研的API接口,可与交换机、防火墙进行联动处置;通过BGP协议,对威胁IP实现快速阻断。

方案的优势:

与传统的基于数据包特征来发现网络异常行为不同,雷盾异常行为检测分析平台是基于流量行为的特征进行发现,规避了传统的安全态势感知平台的不足,可以跨时间、跨空间的进行全网数据联动,发现很多通常的安全设备发现不了的问题。较传统的安全态势感知平台,我们具备以下优势:

1、网络流量处理能力提高至TB级

对关键数据进行采样处理,在采样率为1024的情况下我们就可以用GB(bps)级分析能力的设备处理TB(bps)级的网络环境!

2、跨时间维度分析提升捕获风险能力

可对采样后的数据进行跨时间维度的分析,比如可对攻击源某个时段(比如5分钟)之内的行为进行综合分析从而精确分析出其它安全设备所无法捕获的风险!

3、海量攻击行为联动分析,扼杀威胁在萌芽状态

可以通过采样后的数据实现对全网的行为进行联动分析,对同一个攻击源针对不同IP、不同网段的威胁行为进行联动分析,把相关的威胁扼杀在萌芽状态!

4、智能化算法,实现异常行为检测阈值调整

对各种异常行为检测组件对应的检测阈值,经历了直接控制->间接控制->引入反馈机制->自我控制 完整的进化过程,最终通过智能化算法(采用S-曲线法则)实现相关阈值的自动调整!

THEEND

最新评论

更多
暂无评论