全流量检测探针系统架构详解

已于 2024-01-03 22:39:04 修改
阅读量1.7k 收藏 3
点赞数 2
分类专栏: 网络安全 文章标签: 网络 网络安全
于 2023-07-28 14:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44983560/article/details/131980408
版权

全流量检测探针系统架构详解

系统架构

流量采集探针主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时,流量探针上也包含入侵检测、病毒检测及吸星等各类安全探针,可以提供安全威胁的检测能力。
在这里插入图片描述

数据采集模块

数据采集模块将千兆口/万兆口输入的分光/镜像流量进行实时采集,同时利用零拷贝、轮询、大页缓存、无锁执行等技术对数据包的捕获性能进行优化,以达到在高带宽下对流量数据高速捕获的性能要求。

数据解析模块

L1-L4层提取五元组信息,应用层通过深度DPI检测能力对应用层协议进行高效、精准识别与解析,通过全流量特征识别,针对接入的全部会话流,进行元数据解析及文件还原,输出相关元数据及传输文件信息。

数据包存储模块

该模块记录原始流量中的全部信息,会将整个包的内容1:1地存储下来,主要用于pcap包溯源和取证。

检测模块

该模块包括入侵行为检测引擎、WEB应用检测引擎、威胁情报检测引擎、恶意文件检测引擎、DDOS检测引擎和WEBshell检测引擎,能对传统攻击(僵木蠕)、WEB攻击和高级威胁进行检测和告警。

业务模块

该模块包括威胁告警展示、响应处置、溯源和取证、资产管理、策略配置和系统管理。流量探针在发现攻击后对告警进行实时展示,同时能对攻击IP进行封堵(旁路阻断),在后续对受害资产进行分析时能从数据存储模块中获取相应的原始pcap作为有效物证。此外流量探针还支持资产管理能从流量中识别资产,帮助用户梳理业务定位核心问题。

“萌面大虾”
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
奇安信天眼_探针/分析平台部署及联动
呦菜呦爱玩的博客
03-10 1万+
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。一般仅需分析平台,流量传感器(探针)这2台设备配合使用。天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台。
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 8461
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
网络流量探针流量分析系统面指南
Johnstons的博客
05-28 755
网络流量探针(Network Traffic Probe)是一种用于捕获和监测网络数据包的设备或软件。它通过实时或近实时的方式收集网络流量数据,为网络管理员提供详细的网络行为分析。数据包捕获:实时捕获通过网络的所有数据包。数据包解码:将捕获的数据包解码为可读的格式,以便分析。流量过滤:根据特定的规则或协议对流量进行过滤,以便关注特定类型的数据包。实时监控:提供实时的流量监控数据,帮助网络管理员及时发现异常流量或潜在的网络问题。
流影---开源网络流量可视化分析平台(一)
idealion的博客
07-23 4488
流影是国内第一款开源的轻量级网络安全态势感知与可视化分析平台,集成了流量探针网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块,本期实验将对流影进行部署与测试。
天眼-流量传感器(使用部署)
qq_53218512的博客
06-10 2312
天眼流量传感器采用旁路部署模式对网络镜像流量进行采集,解码还原转换为流量日志并加密传输给天眼分析平台,镜像流量中的文件还原后加密传输给天眼文件威胁鉴定器进行检测。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持HTTP/HTTPS 、FTP、TFTP、SMB、NFS.SMTP/POP3/IMAP/WEBMAIL等主流协议的高性能分析。
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 2902
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
天眼流量系统的详细说明
m0_73803866的博客
09-27 9561
奇安信天眼新一代威胁感知系统(以下简称“天眼”) 汇集流量传感器、文件威胁鉴定 器、邮件告警、奇安信天堤防火墙、网神云锁等多种告警数据,基于奇安信自有的多维度 海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安威胁,并向客户推 送定制的专属威胁情报;同时结合部署在客户本地的软、硬件设备,奇安信天眼能够对未 知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终 达到对入侵途径及攻击者背景的研判与溯源;
基于单片机和WiFi探针的公交客流检测系统设计-论文
05-15
基于单片机和WiFi探针的公交客流检测系统设计
wifi探针的工作原理详解
01-19
 当我们走进探针信号覆盖区域内且我们的wifi设备打开,我们的设备就能被探针探测出来,无论是IOS或者安卓系统都能轻易检测到,并且获取设备的MAC地址。 WiFi探测特点 ●用户无需连接,无需安装APP; ●手机已经...
西门子系统探针程序开发
08-01
针西门子数控系统二次开发的在线检测
基于单片机的静电探针自动测量系统
01-19
引言  静电探针又称langrnuir探针,是一种用来进行等离子体参数测量...本文介绍的自动测量系统是以单片机为,采用A/D和D/A技术,能够快速、准确地给出静电探针I-V特性曲线。  1 系统概述  本自动测量系统以AT89
phpnow php探针环境检测代码
10-25
主要为大家分享了phpnow php探针环境检测代码,需要的朋友可以参考下
等保2.0.第十章.等保2.0三级解决方案(上)
老毛的博客
05-20 9565
文章目录等级保护背景介绍(引子)为什么做等保什么是等保?等保划分标准?等保建设法律依据和标准等保的发展阶段等保2.0演进变化等保2.0小结政策需求公安检察院法院司法等保解决之道(重点)等保实施过程整改建设前期工作解决之道风险评估,差距分析,安规划解决之道-分析和咨询安整改典型网络结构技术整改思路技术安-物理安技术安-安通信网络技术安-安区域边界技术安-安计算环境技术安-安管理中心管理安管理安-安管理制度和机构管理安-安管理人员管理安-安建设管理管理安-安运维管理安
10张架构详解数据中台,附套数据中台PPT
Leo的博客
09-06 5437
数据中台到底是什么,几年过去了,一直众说纷。 笔者认为数据中台不应该是一个单纯的系统或者是一个软件工具,而应该是一套架构、一套数据流转模式。 数据中台需要采集数据作为原材料进行数据加工、数据建模、然后分门别类地储存,再根据实际的业 务场景,打造各类数据服务(含数据应用平台)从而实现对业务的赋能加速。 但以上流程的实现,需要有对应的系统与产品作为支撑,那么基础的数据中台到底应该由哪些系统或者产品组成? 这里我们可以先来看一下几个企业的数据中台架构,文末也分享了10份数据中台实践案例合集,从多家公司的完整实践经
zeek:一款流量分析探针
猪肉炖白菜
09-25 1381
关于Zeek日志文件的介绍,方便你了解zeek。Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安领域以外的各种流量分析任务,包括性能评估和故障排除。.........
恶意流量监测开源系统:Maltrail
围城
03-09 2753
20210309 - 0. 引言 一般来说,通过IDS来监测一些攻击流量,或者说恶意流量也是可以的;但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量;具体细节我没有深入去研究,例如流量捕获部分到底是什么引擎来启动的。 1. 系统简介 在其Github主页上的介绍来看,该系统的定位是恶意流量监测系统,而其实现的方法就是利用一些开源的情报,来作为IOC,同时自己部署流量探针来实现监测。 从他列举的一些信息来看,能够查看这些内容: 他前文中也提到,主要是通过一些指纹或者什么东西作为数据源。 2.
亿级流量架构|day02-框架搭建过程
眼映星辰的博客
10-13 748
亿级并发|day02-框架搭建过程1 框架架构设计1.1 架构设计图2 业务需求2.1 导入数据库2.2 编辑Controller2.3 编辑Service2.4 编辑Mapper接口/映射文件2.5 编辑页面3 编辑框架的配置文件3.1 配置约束文件3.2 编辑SpringMVC配置文件3.3 编辑web.xml3.4 编辑spring配置文件3.5 配置Mybatis-配置文件3.6 Spri...
微软的APT服务器探针产品,网络探针介绍
weixin_33238239的博客
08-13 3671
一、产品简介网络探针是能够对网络流量进行采集、分析、信息提取的网络流量处理工具。该系统能够应用于百兆、千兆和万兆网络环境;能够自适应基于以太网的各类网络仿真;具备DPI功能,能够识别800种网络协议;支持百兆、千兆带宽的包采集;支持基于复杂规则的定制化流量采集;支持针对TCP-SYN、UDP、ICMP的DDOS攻击检测;支持记录流量日志,支持DNS、HTTP、SSL等常见协议的信息采集。二、主要...
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
最新发布
06-07 291
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
探针传感器检测无线电原理
04-02
探针传感器是一种无线电传感器,可以通过电磁波的反射、散射和吸收来检测物体的存在和特性。其原理是利用高频电磁场与物体的相互作用,通过测量电磁场的反射和散射来确定物体的位置、形状、大小和介电常数等特性。 探针传感器通常由发射天线、接收天线和信号处理器组成。发射天线发射高频电磁波,当电磁波遇到物体时,一部分被吸收,一部分被反射和散射。接收天线接收反射和散射的电磁波,将其转换为电信号,并送入信号处理器中进行处理和分析。 探针传感器可以应用于雷达、无线电测量、物体检测、医学诊断等领域,具有高精度、高灵敏度、非接触式等优点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

“萌面大虾”

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值