產(chǎn)品概述

靈狐科技網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)（iNFA）是專業(yè)的網(wǎng)絡(luò)流量分析及審計(jì)系統(tǒng)。它具有獨(dú)特而強(qiáng)大的網(wǎng)絡(luò)流量審計(jì)和分析功能，結(jié)合攻擊檢測(cè)技術(shù)、異常流量檢測(cè)技術(shù)、威脅情報(bào)技術(shù)、文件檢測(cè)技術(shù)、大數(shù)據(jù)安全分析技術(shù)、安全態(tài)勢(shì)感知技術(shù)以及豐富的安全事件報(bào)告功能，可有效檢測(cè)外部攻擊、內(nèi)部非法連接、網(wǎng)絡(luò)會(huì)話模式異常等安全威脅，是對(duì)傳統(tǒng)安全防御系統(tǒng)的完善和補(bǔ)充，成為企業(yè)提升安全防御水平的有力武器和必要工具。

核心價(jià)值

網(wǎng)絡(luò)威脅發(fā)現(xiàn)

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)具備強(qiáng)大的網(wǎng)絡(luò)威脅發(fā)現(xiàn)能力。基于自主研發(fā)的威脅檢測(cè)算法及開發(fā)的相關(guān)威脅特征庫(kù)，確保及時(shí)、準(zhǔn)確地發(fā)現(xiàn)各類網(wǎng)絡(luò)安全問題。它不僅能檢測(cè)外部攻擊，同時(shí)也對(duì)內(nèi)部威脅進(jìn)行實(shí)時(shí)監(jiān)控。只有抵御網(wǎng)絡(luò)外部攻擊的同時(shí)，揪出內(nèi)部攻擊的元兇，全網(wǎng)的安全才能得到保障，產(chǎn)品的雙向檢測(cè)功能無疑給用戶網(wǎng)絡(luò)提供了雙重的安全保障。

異常行為檢測(cè)

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)集成了自主研發(fā)的智能動(dòng)態(tài)基線、模式信息熵等生成算法。通過一段時(shí)間對(duì)學(xué)習(xí)對(duì)象的流量特征分析、建模，智能生成該對(duì)象多維度的網(wǎng)絡(luò)特征，對(duì)于具有明顯異常行為的對(duì)象進(jìn)行告警。

網(wǎng)絡(luò)數(shù)據(jù)可視

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)通過對(duì)網(wǎng)絡(luò)中的流量數(shù)據(jù)進(jìn)行采集和分析，能夠?qū)θW(wǎng)絡(luò)狀況進(jìn)行實(shí)時(shí)監(jiān)控，幫助網(wǎng)絡(luò)管理員建立全網(wǎng)的視角，縱觀網(wǎng)絡(luò)的狀況與趨勢(shì)變化，及時(shí)掌握網(wǎng)絡(luò)負(fù)載情況，及網(wǎng)絡(luò)應(yīng)用資源的使用情況。

網(wǎng)絡(luò)數(shù)據(jù)留存

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)可高速地、實(shí)時(shí)地、不間斷地保存各類網(wǎng)絡(luò)會(huì)話元數(shù)據(jù)，并且它可以按應(yīng)用協(xié)議類型留存各類原始網(wǎng)絡(luò)數(shù)據(jù)包，為用戶對(duì)網(wǎng)絡(luò)相關(guān)問題進(jìn)行調(diào)查和確證提供便利。

網(wǎng)絡(luò)審計(jì)合規(guī)

使用網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)可滿足如等級(jí)保護(hù)（2.0）、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律、法規(guī)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)審計(jì)的要求。

主要功能

產(chǎn)品主要功能模塊示意：

多種應(yīng)用解碼 
提供HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應(yīng)用協(xié)議以及IEC、MMS、Modbus、OPC、OPCUA、EthernetIP CIP等工控協(xié)議的解碼、元數(shù)據(jù)提取及存儲(chǔ)、搜索、統(tǒng)計(jì)功能，并對(duì)可疑網(wǎng)絡(luò)流量進(jìn)行了全包留存。
威脅檢測(cè) 
通過對(duì)網(wǎng)絡(luò)流量進(jìn)行非入侵性的偵聽檢測(cè)，在威脅發(fā)生全生命周期的多個(gè)階段識(shí)別攻擊者的攻擊負(fù)荷、惡意行為和網(wǎng)絡(luò)通信。 
威脅情報(bào)分析 
支持動(dòng)態(tài)域名、Spyware IP / Bot IP / Spammer IP、被黑主機(jī)、掃描器結(jié)點(diǎn)，C&C回連域名、釣魚URL/虛假防病毒網(wǎng)站、TOR、VPN/Socket代理等多類的攻擊情報(bào)，提升對(duì)可疑高級(jí)持續(xù)威脅的攻擊檢測(cè)能力。
安全事件分析 
對(duì)安全事件對(duì)應(yīng)的會(huì)話、入侵檢測(cè)特征、網(wǎng)絡(luò)訪問域名信息、C&C回連信息、動(dòng)態(tài)算法生成域名（Dynamic Generating Algorithm，即DGA）等通過多視圖展示，全方位快速展示攻擊或網(wǎng)絡(luò)異常事件背后的信息。
網(wǎng)絡(luò)會(huì)話分析 
對(duì)網(wǎng)絡(luò)中的會(huì)話正常行為模式進(jìn)行建模，分析網(wǎng)絡(luò)流量速率分布、會(huì)話趨勢(shì)、會(huì)話目的端口分布、會(huì)話協(xié)議分布、會(huì)話包數(shù)分布、會(huì)話字節(jié)數(shù)分布、會(huì)話源地址分布、會(huì)話目的地址分布、會(huì)話應(yīng)用協(xié)議分布相關(guān)統(tǒng)計(jì)情況，通過分析會(huì)話流量對(duì)于正常行為模式的偏離而識(shí)別網(wǎng)絡(luò)攻擊，隱蔽傳輸與內(nèi)網(wǎng)探測(cè)檢測(cè)等問題。
態(tài)勢(shì)感知 
可按安全事件類別、安全事件名稱、系統(tǒng)網(wǎng)絡(luò)流量速度、C&C（即Command And Control，惡意軟件回連地址或域名）、IDP（即Intrusion Detection and Prevention，入侵檢測(cè)防御）安全事件的分布及趨勢(shì)評(píng)估總體安全態(tài)勢(shì)，分別在客戶所屬國(guó)地圖與世界地圖上顯示安全攻擊分布態(tài)勢(shì)、會(huì)話分布態(tài)勢(shì)，并可對(duì)安全事件信息進(jìn)行深層次鉆取分析。
追溯挖掘 
基于大數(shù)據(jù)，可快速的回溯和定性分析歷史的HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應(yīng)用協(xié)議相關(guān)流量，識(shí)別其中未被發(fā)現(xiàn)的攻擊行為，當(dāng)推出新的檢測(cè)算法時(shí)可依據(jù)歷史流量數(shù)據(jù)訓(xùn)練、事后挖掘先前未發(fā)現(xiàn)的威脅。

產(chǎn)品優(yōu)勢(shì)

高速的網(wǎng)絡(luò)抓包及模式匹配技術(shù) 
網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)（iNFA）采用零拷貝、全程無鎖化技術(shù)處理網(wǎng)絡(luò)流量數(shù)據(jù)包，而且充分利用CPU向量化指令對(duì)各類模式進(jìn)行識(shí)別或匹配，故即使在超大流量情況下，系統(tǒng)整體處理幾無延時(shí)。
協(xié)議的深度識(shí)別，更全面、更精確分析惡意行為 
獨(dú)有的智能協(xié)議識(shí)別技術(shù)，可高速、準(zhǔn)確地識(shí)別上千種應(yīng)用，檢測(cè)各種協(xié)議偽裝行為；
支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等協(xié)議的3-7層元數(shù)據(jù)提取、存儲(chǔ)、搜索，分析，可二次挖掘可疑攻擊行為。
高度智能化的分析能力 
產(chǎn)品采用多種智能分析方法（包括支持向量機(jī)、馬爾科夫轉(zhuǎn)移概率分析、距離分析、參數(shù)及非參數(shù)假設(shè)檢驗(yàn)分析等）對(duì)各類網(wǎng)絡(luò)連接/流量進(jìn)行深度分析，對(duì)可能隱藏的問題進(jìn)行深層級(jí)挖掘，以提供更廣范圍、更深層次的安全檢測(cè)能力。 
多維度的縱深檢測(cè)機(jī)制，提供最佳的檢測(cè)率和最低的誤判率 
從已知簽名檢測(cè)、行為檢測(cè)、網(wǎng)絡(luò)會(huì)話異常檢測(cè)、威脅情報(bào)檢測(cè)及事件關(guān)聯(lián)分析等多個(gè)維度對(duì)URL、郵件、網(wǎng)絡(luò)通道、流量等威脅載體中各類安全威脅進(jìn)行深度檢測(cè)，并在高級(jí)持續(xù)威脅的漏洞利用、后門植入、后門網(wǎng)絡(luò)通道，C&C回連、流量異常等多個(gè)階段、多個(gè)攻擊環(huán)節(jié)上形成縱深、完備的檢測(cè)體系，從而提供最佳的檢測(cè)率和最低的誤判率。 
情報(bào)為王，把握行動(dòng)先機(jī) 
整合C&C黑名單庫(kù)在內(nèi)的多類的威脅情報(bào)庫(kù)，可快速、準(zhǔn)確發(fā)現(xiàn)已知的、可疑的高級(jí)持續(xù)威脅的攻擊來源，使安全管理人員可以專注于實(shí)際風(fēng)險(xiǎn)及關(guān)鍵的威脅信息，把握先機(jī)，快速解決問題。 
大數(shù)據(jù)安全分析，持續(xù)改進(jìn)分析效能 
對(duì)HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應(yīng)用協(xié)議的元數(shù)據(jù)及會(huì)話數(shù)據(jù)的通過大數(shù)據(jù)技術(shù)全量存儲(chǔ)、搜索分析，識(shí)別、挖掘其中可疑的攻擊行為，當(dāng)推出新的檢測(cè)算法時(shí)可依據(jù)歷史流量數(shù)據(jù)訓(xùn)練、事后挖掘先前未發(fā)現(xiàn)的安全威脅，促使安全分析效能持續(xù)改進(jìn)。 

部署方式

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)采用旁路SPAN部署方式和TAP部署方式，兩種部署方式均不會(huì)改變用戶現(xiàn)有網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)配置，且不會(huì)對(duì)用戶現(xiàn)有的生產(chǎn)業(yè)務(wù)或應(yīng)用產(chǎn)生任何影響；設(shè)備部署的示意圖如下：

產(chǎn)品規(guī)格

網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)（NFA）可根據(jù)不同客戶需求進(jìn)行選擇，以下為硬件規(guī)格型號(hào)：