随着信息化技术的快速发展,网络空间在给人们带来便利的同时,我们所面临的安全风险也在不断加大。黑客攻击技术不断革新,攻防对抗不断升级,网络安全形势日益严峻;同时,随着业务数据的价值越来越高,勒索病毒、数据泄露、页面篡改等安全事件造成的损失也愈发严重。
面对新的网络安全形势,传统安全体系遭遇瓶颈,需要升级安全架构,在已有防御的基础上,增加在检测和响应能力建设上的投入,构建防御、检测、响应于一体的主动防御体系,能及时发现网络中潜在的安全威胁并快速响应,降低攻击带来的风险,提升安全运营水平,增强主动防御能力。
深信服安全感知平台定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。潜伏威胁探针是整体平台方案的核心组件,负责对网络流量进行采集和分析,将分析后的数据上传给安全感知系统。
功能列表 |
监测识别规则库 |
能够识别应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案 |
异常会话检测 |
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。 |
深度监测能力 |
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型; 支持对节点检测节点内部主机外发的异常流量进行检测支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为; 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能; 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测 |
僵尸主机检测 |
支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;具备独立的僵尸主机识别特征库,恶意软件识别特征总数在35万条以上;对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告; |
违规访问检测 |
能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警 |
流量记录 |
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。 |
抓包分析 |
支持对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。 |
|
|