全流量深度威胁检测平台

精准识别流量行为 | 全面感知流量趋势

全流量深度威胁检测平台

明御全流量深度威胁检测平台结合了安恒信息在安全审计分析领域多年积累的全流量审计、威胁深度识别、流量协议解析、应用识别、行为溯源以及流量趋势分析等经验,是一款面向全流量安全分析、业务分析、审计分析的产品。结合内置的离线高可信威胁情报库与风险检测模型实时掌握流量信息资产风险、敏感信息访问行为,僵尸网络和失陷主机等用户关注的流量行为。 

产品功能

  • 全流量审计

    基于4000+的特征库对全流量行为审计并匹配,解析流量中2-7层协议的访问行为,对行为进行回溯分析和取证并完整记录会话过程,协助用户建立完善的取证和溯源分析机制

  • 深度威胁分析

    通过双向流量检测对网络流量行为研判,发现各种层面的攻击行为,包含对蠕虫传播、DoS攻击、系统漏洞利用、Web攻击、通用协议命令解码、恶意文件投递、异常用户名登录请求、可疑执行代码等

  • 应用协议识别

    对网络中用户行为分析和发掘,解析流量中协议内容和协议类型,支持识别2800多种应用会话行为,并对特定应用程序访问产生的数据进行深度发掘,监控异常应用的访问行为

  • 敏感信息识别

    对身份信息、关键字、数据源等进行自定义,通过自定义内容深度匹配流量中的敏感信息,并对敏感信息快速定位,实现对敏感信息访问行为的有效监测

  • 登录行为识别

    识别流量中Web用户名、QQ账号等信息资产的登录行为,提取关键登录证据,对物理个人进行准确定位,从而对黑客追踪溯源和分析取证

  • 资产识别

    对流量中的资产进行统计分析,发现未登记资产

  • 内置高可信离线情报

    内置离线高可信威胁情报库,与云端威胁情报协同防御,应用远控类型的情报指标(IOC,INDICATOR OF COMPROMISE)对僵尸主机和僵尸网络精准检测,实时发现失陷主机和C&C主机

  • 文件审计管理

    对常见协议文件进行分离,分析流量中传输的正常和异常文件,支持对文件本地化存储通过接口进行自动外发,便于文件管理和追溯分析

  • 流量趋势分析

    通过对业务流量和用户行为检测,可视化感知流量和风险趋势,实现流量溯源、应用分布、业务流量以及异常流量的分析检测,为流量趋势分析(风险趋势、应用趋势、异常流量行为趋势)提供全面的分析依据

产品特点

  • 应用智能识别

    自动识别业务应用,映射应用下的资产流量使用趋势,并对流量态势记录,发现资产下的应用异常流量行为

  • 一键故障排查平台

    具备详细的系统操作及系统运行日志记录,通过日志自动审计了解系统运行状态、监视资源的配置和使用状况、并可进行有效的错误处理;提供可管理的排错平台,对系统异常智能定位并处理

  • 威胁情报协同防御

    本地离线情报与云端威胁情报协同防御,准确发现和定位失陷主机,结合云端大数据分析和机器学习,实现风险实时发现和自动预警

  • 全流量行为审计

    对2-7层流量行为、流量构成、流量趋势等进行流量审计分析,实时了解流量风险行为、应用协议行为以及合规行为的动态趋势

  • 灵活扩展性

    支持将还原后的原始流量通过多种接口与第三方平台对接,满足第三方平台对流量分析溯源需求,同时具备强大的接口二次开发能力和可扩展能力

  • 集群化部署

    支持大流量场景下的流量分析检测,通过数据中心+探测器模式实现集群化部署,实现不同业务节点的流量集中管理和流量态势分析

用户价值

  • 主动监测

    自动识别流量中应用访问行为、监控流量大小,实现基于行为、基于用户、基于应用的网络行为多维度监测,提升业务系统的流量行为分析能力
  • 异常行为分析

    系统具备大流量处理能力,实现对骨干网流量行为分析和数据回溯分析能力,通过对网络原始流量还原,应用性能分析、敏感信息、不良内容以及登录行为识别和隐私数据等的实时检测,实现对关键业务异常流量行为全面监测
  • 威胁检测

    通过对威胁流量深度解析,对网络流量中的风险行为识别,结合内置高可信威胁情报,实现对常见网络攻击行为实时预警