主要是听科来演讲
第一次听说全流量检测蛮感兴趣的,大概就是
- 1.感知未知威胁。全天候实时智能分析网络通讯,及时发现主动外联、木马通讯、隐蔽信道、异常DNS解析、违规操作等行为,并通过预定义行为模型主动发现潜在未知网络威胁,帮助用户建立灵敏的网络威胁感知能力。
- 2.帮助用户及时止损。针对可疑事件进行定性分析,高效精准定位安全事件问题点,通过事件关联分析对安全事件影响进行有效评估,帮助用户及时阻断事态继续恶化,杜绝类似事件再次发生。
- 3.数据取证与责任判定。对网络原始通讯数据进行全流量完整保存,通过数据分析与挖掘帮助用户对事件进行原始数据取证:同时可对通讯数据流内容和安全事件的发生过程再现还原,帮助用户进行责任判定。
- 4无论是操作系统、应用软件、网络设备还是业务系统都普遍存在未知的漏洞,这使得在网络军火民用化、网络攻击组织化的大背景下,网络安全面临更加严峻的挑战。传统的安全监测方法大都是基于已知规则库进行监测,可检测出已知安全威胁,但对未知威胁则无能为力,且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。
基于以上几点,科来认为“网络全流量分析是行之有效的手段,因为再高级的攻击,都会留下网络痕迹。网络攻击者的行为和我们正常的网络访问行为所产生的数据是不一样的”。
功能特点
完整记录原始流量数据
通过旁路镜像采集并存储网络全部流量,通过网络协议实时解码、元数据提取,建立完整的日志、协议、数据包全字段索引,以便于快速提取多维度的网络元数据进行异常行为建模,为后续异常数据挖掘、分析、取证建立扎实的基础。
线索追踪与取证
TSA系统具备长时间的原始数据存储能力,通过网络安全运维人员对原始网络流量日志进行查询检索及关联回溯分析,实现从线索挖掘到整个攻击过程的完整复盘。为安全事件的准确响应提供依据。
回溯分析与数据挖掘
通过高效的数据检索,实现海量数据的快速回溯分析,可随时分类查看及调用任意时间段的数据,并从不同维度、不同时间区间,提供L2-L7层网络协议统计、会话日志、元数据日志,从而进行数据逐层挖掘和关联检索。
攻击阻断防御
TSA系统支持网络异常行为阻断,用户可以根据威胁情报精准对已知和未知攻击并进行实时阻断。系统提供多种类型的阻断方式,并提供独立的存储空间单独保存阻断日志数据。
可疑事件定性分析
通过深度的网络会话关联分析、数据包解码分析、载荷内容还原分析、特征分析和日志分析,真实还原黑客入侵的全过程,从而对网络安全事件进行精准的定性分析。
异常行为检测
通过协议解码提取200多种网络元数据,并结合科来网络安全实战经验,内置异常行为模型。同时支持用户自定义行为模型,不断增强未知威胁的检测及响应能力。
深度数据包分析
TSA系统具备强大的网络协议识别和解码能力,可对数据包进行全字段解码分析,进而识别数据包全字段内容是否合规,发现注入攻击、数据夹带、隐蔽通讯等网络攻击行为。
我才开始也被他们的演讲唬住了,觉得超级厉害,不过后来听公司专业人员争辩,觉得也不是那么突出,还是要多学习专业知识鸭。
还尝试安装了下载的 HMC 镜像,安装成功
但是 他娘的更改了默认语音 换成中文就一直黑屏了,不知道原因。
扫一扫
771
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
