网御网络审计系统V3.0
- 产品描述
- 产品特点
- 产品规格
| 产品详情
网御网络审计系统V3.0(以下简称LA-TD)通过精确存储网络中的全部流量数据,用于对攻击行为的取证(原始数据)、攻击链溯源、攻击证据在线分析、数据业务分析、数据传输时序分析、历史流量回溯分析等能力,可以提供全包的自动化攻击取证、任意时刻的威胁溯源分析、历史流量的回放重复检测等能力,LA-TD具备完整攻击链的全过程信息存储和展示,实现完整的攻击过程在网络数据传输中的快照,根据自动查询规则或手工查询的方式,展示出整个攻击链的所有相关信息。
| 产品特点
网络全流存储
为了更能够全面的应对攻击行为进行取证,LA-DT产品分类识别、记录了第2层到第7层的每个网络流量数据包,并对所有的网络数据建立索引,以确保能完整真实的还原网络安全事件的原始场景。同时,全流量存储模块也提供了结合协议元数据、DPI的会话日志检索功能。会话日志记录协议会话的开始和结束状态,以及流量相关的详细统计,结合DPI技术,完成对特定应用的精确分类。通过对会话日志的检索,能够从海量数据中高效提取相关活动的准确数据,帮助安全分析师和调查人员快速找到异常和威胁的原始证据,实现无争议的证据提取。
全量协议解析
LA-DT能够对L2-L7层全量协议进行解析分析,可准确识别上千种应用类型,覆盖大部分用户的应用协议识别需求,为安全应用分析场景提供数据支撑;同时支持统计各协议的数据流量,分析用户应用协议和流量异常情况。
应用元数据提取
LA-DT支持HTTP、DNS等常见协议元数据的提取,支持所有元数据的查询检索,能够灵活选择取证方式和条件,快速追溯取证攻击特征数据;同时产品提供完全开放的RESET API接口,为其他安全产品提供丰富的联动接口。
流量基线狩猎与告警
流量基线狩猎与告警是网络流量监控中的核心环节,根据主机地址线索实现主机流量基线狩猎、应用服务访问基线狩猎、主机外联基线狩猎,并能够根据基线进行实时告警。
历史流量重放
对于安全运维人员,对历史数据进行回顾,是一个很有价值的方式和手段,可以使用最新的检测能力,对历史数据进行重放的检测,发现一些之前无法发现的威胁。LA-DT支持以网络录像机形式回放历史流量数据包,提供给安全产品进行分析。可配置灵活的回放策略,真实还原2到7层网络流量,按照需要进行无损、保序回放。
对于安全运维人员,对历史数据进行回顾,是一个很有价值的方式和手段,可以使用最新的检测能力,对历史数据进行重放的检测,发现一些之前无法发现的威胁。
| 产品规格
|
产品名称 |
网御网络审计系统V6.0 |
|
产品型号 |
LA-DT-4LLZL-HR LA-DT-5LLZL-FR |
|
配置1 |
标准机架式设备,双路鲲鹏920处理器,银河麒麟V10操作系统;384G内存,288T硬盘。 |
|
配置2 |
支持按需配置POS接口卡,以太网接口卡;其中POS接口:支持10Gbps和2.5Gbps, 可根据实际情况选择对应速率;其中以太网接口:支持10GE光口(SFP+接口,兼容千兆)。 |
|
总体功能 |
支持数据接口与第三方平台对接。 |
|
支持用户自定义插件的加载。 |
|
|
支持对链路流量的标注,且不影响数据包正常传输和解析。 |
|
|
具备离线导入各类数据并解析,包括但不限于流量数据Pcap包、IP地址库、过滤规则库、 攻击检测库、威胁情报数据等,且导入的数据规则可生效。 |
|
|
具备以会话元数据引导下的原始流量分析功能。 |
|
|
支持基于采集流量展示协议(含自定义协议)分类占比图谱等功能。 |
|
|
具备数据包回放分析功能;支持对设备自身状态的监测。 |
|
|
输入模块 |
支持全流量数据采集、记录、存储。 |
|
支持接入能力可扩展。 |
|
|
过滤模块 |
具备捕获过滤功能,产品支持BPF语法过滤和流过滤条件过滤,过滤条件包括五元组信息、 地址段、应用层协议、VLAN ID、源IP、源端口、目的IP、目的端口等, 支持与、或、非的组合方式过滤流量。 |
|
支持用户自定义过滤规则导入生效。 |
|
|
解析模块 |
支持秒级的数据包解码、存储和数据索引建立。 |
|
支持按照用户指定的要素提取元数据,支持对流量数据进行标注。 |
|
|
支持500种应用层协议识别,不包含单纯依据端口识别的协议,并支持自定义协议识别。 |
|
|
支持100种标准协议解析,至少包含网络层和应用层两类协议。 |
|
|
支持离线Pcap文件上传解析。 |
|
|
支持解码非标准端口下的标准协议。 |
|
|
支持用户根据特定业务专有协议拓展系统协议识别能力。 |
|
|
存储模块 |
具备压缩存储功能。 |
|
支持对5分钟内的数据包索引建立及检索。 |
|
|
数据包存储具备自动覆盖循环写入功能。 |
|
|
具备按配置规则的定制化存储能力,包括但不限于:存储特定协议的日志数据(HTTP访问日志)、 存储从特定协议流量中解析还原的文件、存储特定目标的通信会话统计数据等。 |
|
|
共享输出模块 |
具备将任意多个物理接口配置为一个网络能力;具备对流量中样本文件数据的还原导出能力,文件 数据类型包括但不限于exe、dll文件、rar文件、word文件、excel文件、pdf文件、vbs文件及ps1 等脚本文件进行还原等。 |
|
具备按照系统定义应用或用户自定义应用对流量数据进行统计输出能力。 |
|
|
具备按照协议类型、应用类型等定制化输出能力。 |
|
|
支持流日志、协议元数据、原始数据包的实时输出和历史数据输出。历史的原始数据包输出可指定 五元组等条件进行定向获取。 |
|
|
原始流量支持以Pcap数据包形式导出。 |
|
|
具备对流日志数据的按条件检索能力,检索条件包括但不限于:限定的时间范围、限定的五元组信息、 限定组合条件等,检索结果支持CSV和Excel格式导出。 |
|
|
具备检索流日志索引历史会话,并关联历史数据包功能,具备对关联数据包的下载和导出功能。 |
|
|
具备对流量数据的按需统计输出能力,包括但不限于:按照IP地址、MAC地址、VLANID、MPLS标签等需求信息。 |
|
|
各输出端口均须具备按需共享输出能力,按需共享包括但不限于:按照流量协议类型、按照应用类型、 按照IP地址范围、按照文件格式类型等。 |
|
|
产品扩展性 |
具备数据外发接口,支持将系统业务告警、日志数据、运行数据等关键数据上报至安全大数据平台, 实现安全数据集中存储,支撑安全数据汇聚分析。 |
|
预留策略上报、策略接收接口,支持安全策略集中管控系统对安全策略的统一管理。 |
|
|
软件运行稳定性方面,严格执行软件工程化要求,并采取避错设计、查错设计、容错设计等措施, 产品连续工作7×24小时无故障,尽量采取成熟技术及简化、冗余备份、模块化设计。 |
|
|
系统可维护性方面,错误信息提示明确有效,便于故障分析与排除,记录系统运行日志、异常日志及故障信息。 |
|
|
具备容错能力,在非硬件故障或非通讯故障时,算法能够保证正常运行,并有足够的提示信息帮助用户 有效正确地完成任务。 |
|
|
适配主流国产自主可控软硬件平台。 |
|
|
支持开展必要的系统集成工作与定制开发工作。 |
|
|
产品可靠性 |
平均故障恢复时间≤30分钟。 |
