企业安全威胁感知系统

企业安全威胁感知系统

1、产品概述

企业安全威胁感知系统(PacketEye)是集流量采集、流量实时分析、安全数据分析、安全风险可视化于一体的安全分析平台,帮助管理者及时知晓企业的安全态势,从而保证企业内部网络和信息的安全。

2、产品架构

3、产品功能

1)数据包解析功能

  • 报文重组、还原、检测:对流量数据进行协议识别、分析、组包、组流等处理,针对不同环节的特征规则进行匹配比对。
  • 网络协议识别、解析:深度包检测(DPI)模块,具备强大的协议识别和解析能力,支持识别和解析标准协议和非标准协议。

    2)资产识别功能

  • 资产信息识别:通过被动检测和主动探测的方式对网络资产信息精确探测,发现活跃主机,对主机的在线与下线状态进行标记。
  • 网络流量分析:根据流量特征及协议内容特征识别网络资产信息,可基于脆弱性特征识别、基于协议交互内容返回异常识别、基于远程调用溢出识别等。
  • 网络边界分析:根据边界上各设备的数据传输情况,形成可追溯的网络日志信息,实现边界访问态势感知。 

    3)威胁分析功能

  • 攻击链行为识别:基于深度学习的网络异常行为分析、异常流量检测、威胁情报关联分析、下一代网络入侵检测、病毒木马多引擎交叉检测及未知威胁沙箱行为检测等技术对整个APT攻击链进行识别分析。
  • 日志多维度留存:系统提供日志多维度留存,对系统类型日志、安全事件日志、资产信息、文件日志、访问信息日志进行管理。
  • 摄像追踪取证:系统针对流量数据包的每一帧进行轨迹回放,通过数据包或访问行为路径,找到其存在的威胁或即将要发生的威胁,进行追踪取证。

4、产品特点/优势

  • 灵敏、精准、高效的情报威胁感知
  • 基于攻击链安全行为分析,还原与检测黑客入侵与攻击的整个过程
  • 海量的特征库,持续的病毒特征更新
  • 对安全事件进行二次分析,评估事件的影响以及破坏程度
  • 恒安嘉新是CNVD国家信息安全漏洞共享平台的支撑与运营单位,可以第一时间将漏洞特征提取出来并应用于产品
  • 平台化的产品架构和模块化的组件设计
  • 丰富、细粒度的指纹特征,多维度的分析模型
  • 与部署传统网络边界威胁预警产品相比,部署方式简单,部署成本大幅降低

5、典型部署架构

不改变网络结构、旁路部署、无单点故障、简单灵活、支持机群与双机。

    • 独立式部署如下图所示:

    • 分布式部署如下图所示: