随着信息化技术的快速发展,网络空间在给人们带来便利的同时,我们所面临的安全风险也在不断加大。黑客攻击技术不断革新,攻防对抗不断升级,网络安全形势日益严峻;同时,随着业务数据的价值越来越高,勒索病毒、数据泄露、页面篡改等安全事件造成的损失也愈发严重。
面对新的网络安全形势,传统安全体系遭遇瓶颈,需要升级安全架构,在已有防御的基础上,增加在检测和响应能力建设上的投入,构建防御、检测、响应于一体的主动防御体系,能及时发现网络中潜在的安全威胁并快速响应,降低攻击带来的风险,提升安全运营水平,增强主动防御能力。
深信服安全感知平台定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。潜伏威胁探针是整体平台方案的核心组件,负责对网络流量进行采集和分析,将分析后的数据上传给安全感知系统。
功能列表 |
监测识别规则库 |
能够识别应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案 |
异常会话检测 |
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。 |
深度监测能力 |
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型; 支持对节点检测节点内部主机外发的异常流量进行检测
支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为; 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能; 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测 |
僵尸主机检测 |
支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;具备独立的僵尸主机识别特征库,恶意软件识别特征总数在35万条以上;对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告; |
违规访问检测 |
能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警 |
流量记录 |
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。 |
抓包分析 |
支持对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。 |
|
|
