全流量建立在全量數據的保存和處理基礎上,結合大數據處理、機器學習、深度學習的技術,全流量主要體現在三個“全”上,即全流量採集與保存,全行為分析以及全流量回溯。通過全流量分析設備,實現網路全流量採集與保存、全行為分析與全流量回溯,並提取網路元數據上傳到大數據分析平台實現更加豐富的功能。
全流量採集與保存,全行為分析,全流量回溯,全流量套用,
全流量採集與保存
全流量採集與保存,在將網路流量全部保存下來的同時,實時提取其中的網元數據,並在資料庫中索引、保存,以實現快速檢索與分析。同時,通過標準的 RESTful API接口,供第三方大數據、安全態勢感知等平台使用。
全行為分析
全行為分析是威脅檢測的核心,再高級的攻擊,都會留下網路痕跡,網路攻擊者的行為和正常的網路訪問行為所產生的數據是不一樣。面對未知威脅,可通過對網路流量原始數據的透視與分析,從大流量數據中快速發現並定位網路異常行為。
全流量回溯
很多高級威脅產生的活動痕跡在大規模網路流量中只會占到非常小的比例,但正是這少量的通訊流量對於攻擊檢測分析尤為關鍵和重要,需要通過事後的多線索關聯和回溯分析後才能有效定性和取證,要求必須對原始全流量數據包進行一段時間的完整保存,保全證據,並能快速回溯所有流量,有了原始流量的存儲,就能夠將當前檢測到的攻擊行為與歷史流量進行關聯,實現完整的攻擊溯源和取證分析,並在責任界定時提供真實可靠的證據依據。
全流量套用
TSA基於網路全流量分析技術,旁路採集、分析和存儲所有網路流量,通過威脅情報系統檢測已知威脅,通過回溯分析數據包特徵、異常網路行為,發現潛伏已久的高級未知攻擊。TSA具備多維的數據分析及深度挖掘能力,能夠實現數據包級的追蹤取證。網路全流量分析技術是發現APT網路攻擊的重要技術手段,幫助用戶建立自適應網路安全架構。
