大數據安全智能監測分析平台 Topwalk-SIP

“洞見”大數據安全智能監測分析平台(topwalk-sip)

【産品概述】
大數據安全智能監測分析平台(topwalk-sip),簡稱“洞見”。“洞見”産品基于大數據分析技術,是一款持續收集和規範化機器數據,針對網絡攻擊和信息破壞類事件,為雲計算環境提供實時可視化監測和分析的安全智能監測平台。
基于hadoop大數據分布式存儲、海量數據索引、數據挖掘、機器學習等技術,采集網絡流量、系統日志、應用日志、接入點監管系統、邊界接入平台、網絡安全設備等系統産生的數據,實現海量數據下的數據縱向分析和橫向關聯,建立基于自學習的特征指标以及基于業務行為的安全特征模型,以動态可視化的方式呈現安全态勢,發現傳統方式難于發現的安全事件。

【核心技術】
複雜、龐大的應用環境面臨着各種各樣的安全威脅,“洞見”系統根據各類業務應用在使用中産生的海量機器數據,系統基于開源大數據存儲、索引分析技術,獲取網絡流量、系統日志、應用日志等基礎數據,實現大數據量下的數據縱向分析和橫向關聯,以及海量數據的分布式存儲和分析,建立多種複雜分析模型,挖掘能夠實時表達各類資産運行情況的數據,并将結果動态、實時、可視化地展示出來。
【核心功能】
●應用性能監測及預警
平台基于大數據的分析與挖掘技術,結合動态自學習安全模型,能夠監測、識别出數據盜取、權限獲取、違規接入、異常行為等安全隐患,并實時進行報警及人工處置。
數據盜取類
包括:web數據竊取、異常地訪問、sql注入、數據庫服務器數據盜取。
異常行為類
包括:端口開放異常、arp攻擊檢測、rdp口令嘗試、windows遠程桌面控制、數據庫破壞、郵件冒用、web服務器異常、web端口冒用、異常的端口掃描等行為。
權限獲取類
包括:web弱口令、數據庫口令嘗試、web後門檢測等。
違規接入類
包括:手持移動終端接入、samba服務檢測、私接nat設備等。
●應用識别與關系發現
協議識别與分析
能夠解析常見的各類網絡層協議,提取訪問關系信息;能夠解析常見的應用層協議,能夠識别通訊數據的具體内容。
應用系統識别
能夠通過解析流量數據,自動識别出部署地的全部應用系統,解析出應用系統名稱、域名、包含的全部ip地址與端口等信息,并将其歸類為web應用系統、網站、數據庫和服務器等類型。
●運維管理及預警
資産動态信息管理
平台通過對流量數據、日志數據的分析,自動獲取網絡内各類應用系統和設備的基本信息,包括應用系統名稱、域名、ip地址、服務端口等,并将信息進行歸類和記錄。
運行狀态監測及預警
平台能夠對所有類型的資産進行實時狀态監測,包括設備自身的資源使用率情況、是否掉電、常見網絡故障,以及運行時的流量激增或驟減等偏離正常運行基線的情況,并在上述所有監測内容發生異常時進行動态可視化預警。
●動态實時可視化展現
采用html5、javascript、svg、webgl等豐富、靈活、具有表現力的先進技術,結合平面以及3d的空間展示效果,對整體運行情況進行實時動态展現。
将主要資産的實時監測數據用動态可視化的方式進行表達,包括各類應用系統的使用情況,各類設備的運行情況,及時将運行故障、使用違規現象和遭受到的安全威脅進行報警。
【産品優勢】
it資産自動發現
大數據監測平台采用先進的域名聚合分析技術,能夠在不需要人工參與、不需提前輸入任何信息的情況下自動識别、梳理出用戶網絡内的it資産,并将其歸類為應用系統、數據庫、網站、服務器以及終端等分類。
應用關系智能梳理
大數據監測平台基于科學合理的應用調用發現模型,通過基線分析等手段排除幹擾,能夠智能、準确地梳理出全網内各類應用系統間的關系,并通過可視化技術繪制成實時、動态的關系網絡圖,提供給用戶一個清晰、直觀的管理手段。
動态實時可視化監測
數據可視化旨在借助于圖形化手段,清晰有效地傳達與溝通信息。為了有效地傳達思想概念,美學形式與功能需要齊頭并進,通過直觀地傳達關鍵的方面與特征,從而實現對于相當稀疏而又複雜的數據集的深入洞察。
基于行為的拓展分析
大數據監測平台提供對監測對象的基于行為的拓展分析,包括基本信息、應用url列表/數據庫用戶列表、應用關系結構圖、當日流量曲線、當日連接數曲線、實時訪問列表、終端訪問密度排行、客戶端類型分布、源端地址來源分布熱圖、url訪問排名、操作類型統計等。
先進的未知攻擊檢測體系
平台通過分析網絡數據通道,實時檢測已知漏洞攻擊和未知漏洞攻擊,在運行過程中檢測出高級木馬與病毒,通過行為分析,對已知木馬/病毒、未知木馬/病毒以及木馬/病毒的各種變異版本進行檢測。
通過對文檔進行解析并結合虛拟執行,檢測出隐藏在各種文檔中的惡意代碼。
通過解析各種網絡協議,能檢測出隐藏在各種通信數據通道中的惡意程序。
這種技術具備準确、低誤報率的特點,内置初步檢測與虛拟執行确認,最大限度避免人工參與判斷。該技術能夠實現智能化識别各種惡意程序、能夠在各個節點快速共享信息。
符合标準規範,擴展性、兼容性。
 

公司動态