网络探针是能够对网络流量进行采集、分析、信息提取的网络流量处理工具。该系统能够应用于百兆、千兆和万兆网络环境;能够自适应基于以太网的各类网络仿真;具备DPI功能,能够识别800种网络协议;支持百兆、千兆带宽的全包采集;支持基于复杂规则的定制化流量采集;支持针对TCP-SYN、UDP、ICMP的DDOS攻击检测;支持记录流量日志,支持DNS、HTTP、SSL等常见协议的信息采集。
产品简介
主要功能
网络探针是网络流量智能分析平台的最基础环节,其主要功能包括:
日志采集将网络流量转化为结构化数据—Json格式的流量日志。日志内容分为连接基础信息、连接统计信息、协议元数据、负载数据信息、负载统计信息、负载文件及其索引等多个部分。目前,日志包括:双向MAC地址、连接五元组信息、连接上下行流量及包数、连接起止时间、前50个有效负载数据包的包长及协议类型、前16个有效负载数据包的前16字节、IP/TCP协议基础数据、DNS元数据、HTTP元数据、SSL元数据、SSL协议的负载分布情况、SSL证书文件及其索引。
日志采集
某些网络行为具备实时性检测要求,或与负载内容高度相关,无法基于日志进行分析;此时,就需要实时检测模块基于实时的网络流量进行即时分析,得到分析结果,生成检测日志并采集相关流量。目前实时监测包括DDOS检测(包括TCP-SYN Flood、UDP Flood、DNS Flood、ICMP Flood),异常协议检测(基于RFC标准的协议异常检测,包括IP、TCP、ICMP、SSL/TLS、DNS等协议),隐蔽信道检测(包括DNS隐蔽信道、SSL隐蔽信道)。
实时检测
规则匹配指基于规则对流量进行匹配,并给予匹配结果及预定的采集方案将特定流量保存为Pcap文件进行留存。目前规则匹配支持多种规则类型、多种数据留存模式,支持单包命中多个规则(最多能够同时命中16个规则),命中多规则时数据包留存多份。规则类型包括:IPv4/6规则(支持IP、端口范围、端口类型、IP-Pro正/反选)、协议规则(支持协议类型、协议所在端口范围及类型)、特征字规则、正则表达式规则、动态库规则、域名规则。
规则匹配
规则匹配引擎的匹配结果,能够设置9种流量筛选模式,实现网络流量精确采集。
网络流量筛选
网络探针的持续监测和信息分析,可以广泛检测各种攻击,能够识别零日恶意软件、内部威胁、高级持久性威胁 (APT)、分布式拒绝服务 (DDoS) 统计以及其他威胁。
检测攻击
网络探针能够产生流量日志、还原负载文件、筛选网络流量;
网络探针能够在不解密的情况下,检测出SSL/TLS流量中的恶意威胁;
网络探针能够不依赖规则发现网络中潜伏的恶意威胁;
网络探针能够从多个层面展示网络流量的整体态势;
网络探针能够提供可视化技术、机器学习平台,便于用户进行恶意威胁分析;
网络探针不仅可以监控传入和传出网络的流量,还可以监控网络内部的横向或东-西流量,识别网络滥用和内部威胁;
部署方案
1、单机部署: 旁路部署,利用分光器或设置交换机、路由器的数据镜像功能,将待检测网络流量数据导入探针。
2、多探针部署:若待检测流量分布在多条光纤中,可利用汇聚分流设备进行将多条光纤中的流量汇聚后利用负载均衡功能发送到若干条光纤中,每条光纤连接一台网络流量探针。
1、MiniPC:百兆网络流量
2、1U服务器:千兆网络流量
3、2U服务器:万兆网络流量
4、ATCA:多万兆网络流量
b.部署模式
a.设备形态
根据带宽不同,网络流量探针可分为: