全流量检测探针系统架构详解
系统架构
流量采集探针主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时,流量探针上也包含入侵检测、病毒检测及吸星等各类安全探针,可以提供安全威胁的检测能力。
数据采集模块
数据采集模块将千兆口/万兆口输入的分光/镜像流量进行实时采集,同时利用零拷贝、轮询、大页缓存、无锁执行等技术对数据包的捕获性能进行优化,以达到在高带宽下对流量数据高速捕获的性能要求。
数据解析模块
L1-L4层提取五元组信息,应用层通过深度DPI检测能力对应用层协议进行高效、精准识别与解析,通过全流量特征识别,针对接入的全部会话流,进行元数据解析及文件还原,输出相关元数据及传输文件信息。
数据包存储模块
该模块记录原始流量中的全部信息,会将整个包的内容1:1地存储下来,主要用于pcap包溯源和取证。
检测模块
该模块包括入侵行为检测引擎、WEB应用检测引擎、威胁情报检测引擎、恶意文件检测引擎、DDOS检测引擎和WEBshell检测引擎,能对传统攻击(僵木蠕)、WEB攻击和高级威胁进行检测和告警。
业务模块
该模块包括威胁告警展示、响应处置、溯源和取证、资产管理、策略配置和系统管理。流量探针在发现攻击后对告警进行实时展示,同时能对攻击IP进行封堵(旁路阻断),在后续对受害资产进行分析时能从数据存储模块中获取相应的原始pcap作为有效物证。此外流量探针还支持资产管理能从流量中识别资产,帮助用户梳理业务定位核心问题。