绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

 

 

立即咨询

产品概述

绿盟新推出的全流量溯源取证分析系统(UTS-TFA)(TFA:Traffic forensics and analysis)是网络环境中的“全时全景行车记录仪”,旁路部署在出口边界、核心交换、服务器区等关键位置,具备针对网络全流量的采集、存储、检索、内容解析、质量分析、定向外发等全面能力,是一款针对企业级网络流量的分析、回溯、取证运维工具,通过原始流量数据的调取,实现安全业务的“兜底”。

客户价值

01

可溯

全流量无损存储,数据包解码,在线回溯全报文,实现全量凭据回查,关键行为取证。

02

可感

提供网络威胁、通讯质量、恶意行为等层面的异常感知能力,支撑快速发现与核查。

03

可视

看见链路黑管中流量组成,看透网络性能迷雾,建立全视角流量地图,从不同维度分析网络流量。

04

可佐证

针对攻击行为和网络故障,提供历史时间点全流量,并进行报文分析和文件还原,提供证据改进或自证。

05

可赋能

存储全量报文并实现初步的范式化,形成流量元数据,为安全防护、运维监测、线索追查等数据挖掘应用进行赋能。

>
<

功能特性

  • 01

    全报文存储能力

    强大的数据库稳定性,高性能全量数据写入不压缩,在保证分析业务的同时,确保数据稳定长周期留存。

  • 02

    全量数据回溯分析能力

    网络协议字段全面覆盖,关键协议的请求、响应、Payload等信息一应俱全,支持各类精细化检索工具,高性能秒级回溯助力关键信息溯源场景。

  • 03

    全阶段安全复核能力

    在攻击全流程中,截取和留存攻击过程关键流量数据,可回放至各类检测设备实现攻击复核,解决新型漏洞背景下的误报漏报问题。

  • 04

    全面检测能力

    结合威胁情报,提供加密威胁、恶意文件、僵木蠕、入侵行为、Web攻击、挖矿跳板等检测能力,具备基于流量元数据的异常行为、基线波动以及行为模型匹配等告警能力,从细微处感知异常,变被动为主动。

  • 05

    全面内容解析能力

    支持上百种种协议元数据的提取和上千种应用的内容解析,文件还原和协议解密,从而还原攻击过程,进而通过攻击者画像实现反溯。

产品优势

01

存包稳定性强

采用磁盘预分配、多索引机制保证报文稳定写入,提高系统写速性能。在10-20Gbps流量场景下,确保报文稳定写入与下载。

02

回溯快和准

秒级回溯能力:10亿条会话,3s内回溯成功,1kw条行为日志,1s内回溯成功;10万条 秒的数据库写入能力;50T S的数据索引能力,确保高性能场景应用。

03

采集全量网络/应用质量指标

网络 应用质量指标采集超过百种,全方位呈现网络负载可用性与性能指标与行为元数据解析字段,精准分析重传、建连过程以及访问行为,从细微颗粒分析中发现异常,提前进行预警。

04

关联数据挖掘

10个数据维度深层挖掘与互相钻取,一键升降排序定位关键维度分析关键指标,提升分析定位效率。

05

历史数据包可发送

TFA独有优势功能,留存历史原始数据包一键发送第三方安全设备,用于漏报复查和现场还原,提供回溯、回放分析等能力,实现业务流程闭环取证,具备强差异性。

06

行为建模与感知回查

根据元数据建立行为模型,基于实时和历史环境中精准匹配排查,感知内网敏感违规行为,扫清内网异常行为未知面。具备强差异性和优势。

成功案例

帮助涉密单位建设安全事后回溯能力

为涉密客户提供全量数据留存、全时段流量回溯等能力,涉密单位纯内网环境,需要全天候监控内网中是否存在违规行为,如敏感信息外发、违规网站访问等,一旦发生,需要定位到IP地址并输出相应的证据。通过UTS-TFA在多个关键网络节点采集分析流量,通过多维度线索回溯,综合研判,完成可疑主机、人员、行为线索检测上报 主动调查,形成可置信、可闭环、可关联的流量回溯建设方案。

政企关键业务系统DDOS攻击案例

通过UTS-TFA对客户现网流量进行采集存储,在客户侧业务系统异常时,回溯故障时间段流量,相比正常时间段,存在大量源IP位境外64字节以下的小包HTTP访问流量,确认为DDoS攻击;恢复后仍有卡顿现象,进一步回放关键流量,检测出攻击组织的变种木马,最终通过提取数据包特征,还原出样本文件。最后将关键信息导出证据,提交分析报告,帮助客户实现问题闭环,并为安全防护体系的未来建设提供建议。

>
<

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2023 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号