產(chǎn)品概述

靈狐科技網(wǎng)絡流量智能分析審計系統(tǒng)（iNFA）是專業(yè)的網(wǎng)絡流量分析及審計系統(tǒng)。它具有獨特而強大的網(wǎng)絡流量審計和分析功能，結合攻擊檢測技術、異常流量檢測技術、威脅情報技術、文件檢測技術、大數(shù)據(jù)安全分析技術、安全態(tài)勢感知技術以及豐富的安全事件報告功能，可有效檢測外部攻擊、內(nèi)部非法連接、網(wǎng)絡會話模式異常等安全威脅，是對傳統(tǒng)安全防御系統(tǒng)的完善和補充，成為企業(yè)提升安全防御水平的有力武器和必要工具。

核心價值

網(wǎng)絡威脅發(fā)現(xiàn)

網(wǎng)絡流量智能分析審計系統(tǒng)具備強大的網(wǎng)絡威脅發(fā)現(xiàn)能力?；谧灾餮邪l(fā)的威脅檢測算法及開發(fā)的相關威脅特征庫，確保及時、準確地發(fā)現(xiàn)各類網(wǎng)絡安全問題。它不僅能檢測外部攻擊，同時也對內(nèi)部威脅進行實時監(jiān)控。只有抵御網(wǎng)絡外部攻擊的同時，揪出內(nèi)部攻擊的元兇，全網(wǎng)的安全才能得到保障，產(chǎn)品的雙向檢測功能無疑給用戶網(wǎng)絡提供了雙重的安全保障。

異常行為檢測

網(wǎng)絡流量智能分析審計系統(tǒng)集成了自主研發(fā)的智能動態(tài)基線、模式信息熵等生成算法。通過一段時間對學習對象的流量特征分析、建模，智能生成該對象多維度的網(wǎng)絡特征，對于具有明顯異常行為的對象進行告警。

網(wǎng)絡數(shù)據(jù)可視

網(wǎng)絡流量智能分析審計系統(tǒng)通過對網(wǎng)絡中的流量數(shù)據(jù)進行采集和分析，能夠?qū)θW(wǎng)絡狀況進行實時監(jiān)控，幫助網(wǎng)絡管理員建立全網(wǎng)的視角，縱觀網(wǎng)絡的狀況與趨勢變化，及時掌握網(wǎng)絡負載情況，及網(wǎng)絡應用資源的使用情況。

網(wǎng)絡數(shù)據(jù)留存

網(wǎng)絡流量智能分析審計系統(tǒng)可高速地、實時地、不間斷地保存各類網(wǎng)絡會話元數(shù)據(jù)，并且它可以按應用協(xié)議類型留存各類原始網(wǎng)絡數(shù)據(jù)包，為用戶對網(wǎng)絡相關問題進行調(diào)查和確證提供便利。

網(wǎng)絡審計合規(guī)

使用網(wǎng)絡流量智能分析審計系統(tǒng)可滿足如等級保護（2.0）、《中華人民共和國網(wǎng)絡安全法》等法律、法規(guī)對于網(wǎng)絡數(shù)據(jù)審計的要求。

主要功能

產(chǎn)品主要功能模塊示意：

多種應用解碼 
提供HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協(xié)議以及IEC、MMS、Modbus、OPC、OPCUA、EthernetIP CIP等工控協(xié)議的解碼、元數(shù)據(jù)提取及存儲、搜索、統(tǒng)計功能，并對可疑網(wǎng)絡流量進行了全包留存。
威脅檢測 
通過對網(wǎng)絡流量進行非入侵性的偵聽檢測，在威脅發(fā)生全生命周期的多個階段識別攻擊者的攻擊負荷、惡意行為和網(wǎng)絡通信。 
威脅情報分析 
支持動態(tài)域名、Spyware IP / Bot IP / Spammer IP、被黑主機、掃描器結點，C&C回連域名、釣魚URL/虛假防病毒網(wǎng)站、TOR、VPN/Socket代理等多類的攻擊情報，提升對可疑高級持續(xù)威脅的攻擊檢測能力。
安全事件分析 
對安全事件對應的會話、入侵檢測特征、網(wǎng)絡訪問域名信息、C&C回連信息、動態(tài)算法生成域名（Dynamic Generating Algorithm，即DGA）等通過多視圖展示，全方位快速展示攻擊或網(wǎng)絡異常事件背后的信息。
網(wǎng)絡會話分析 
對網(wǎng)絡中的會話正常行為模式進行建模，分析網(wǎng)絡流量速率分布、會話趨勢、會話目的端口分布、會話協(xié)議分布、會話包數(shù)分布、會話字節(jié)數(shù)分布、會話源地址分布、會話目的地址分布、會話應用協(xié)議分布相關統(tǒng)計情況，通過分析會話流量對于正常行為模式的偏離而識別網(wǎng)絡攻擊，隱蔽傳輸與內(nèi)網(wǎng)探測檢測等問題。
態(tài)勢感知 
可按安全事件類別、安全事件名稱、系統(tǒng)網(wǎng)絡流量速度、C&C（即Command And Control，惡意軟件回連地址或域名）、IDP（即Intrusion Detection and Prevention，入侵檢測防御）安全事件的分布及趨勢評估總體安全態(tài)勢，分別在客戶所屬國地圖與世界地圖上顯示安全攻擊分布態(tài)勢、會話分布態(tài)勢，并可對安全事件信息進行深層次鉆取分析。
追溯挖掘 
基于大數(shù)據(jù)，可快速的回溯和定性分析歷史的HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協(xié)議相關流量，識別其中未被發(fā)現(xiàn)的攻擊行為，當推出新的檢測算法時可依據(jù)歷史流量數(shù)據(jù)訓練、事后挖掘先前未發(fā)現(xiàn)的威脅。

產(chǎn)品優(yōu)勢

高速的網(wǎng)絡抓包及模式匹配技術 
網(wǎng)絡流量智能分析審計系統(tǒng)（iNFA）采用零拷貝、全程無鎖化技術處理網(wǎng)絡流量數(shù)據(jù)包，而且充分利用CPU向量化指令對各類模式進行識別或匹配，故即使在超大流量情況下，系統(tǒng)整體處理幾無延時。
協(xié)議的深度識別，更全面、更精確分析惡意行為 
獨有的智能協(xié)議識別技術，可高速、準確地識別上千種應用，檢測各種協(xié)議偽裝行為；
支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等協(xié)議的3-7層元數(shù)據(jù)提取、存儲、搜索，分析，可二次挖掘可疑攻擊行為。
高度智能化的分析能力 
產(chǎn)品采用多種智能分析方法（包括支持向量機、馬爾科夫轉(zhuǎn)移概率分析、距離分析、參數(shù)及非參數(shù)假設檢驗分析等）對各類網(wǎng)絡連接/流量進行深度分析，對可能隱藏的問題進行深層級挖掘，以提供更廣范圍、更深層次的安全檢測能力。 
多維度的縱深檢測機制，提供最佳的檢測率和最低的誤判率 
從已知簽名檢測、行為檢測、網(wǎng)絡會話異常檢測、威脅情報檢測及事件關聯(lián)分析等多個維度對URL、郵件、網(wǎng)絡通道、流量等威脅載體中各類安全威脅進行深度檢測，并在高級持續(xù)威脅的漏洞利用、后門植入、后門網(wǎng)絡通道，C&C回連、流量異常等多個階段、多個攻擊環(huán)節(jié)上形成縱深、完備的檢測體系，從而提供最佳的檢測率和最低的誤判率。 
情報為王，把握行動先機 
整合C&C黑名單庫在內(nèi)的多類的威脅情報庫，可快速、準確發(fā)現(xiàn)已知的、可疑的高級持續(xù)威脅的攻擊來源，使安全管理人員可以專注于實際風險及關鍵的威脅信息，把握先機，快速解決問題。 
大數(shù)據(jù)安全分析，持續(xù)改進分析效能 
對HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協(xié)議的元數(shù)據(jù)及會話數(shù)據(jù)的通過大數(shù)據(jù)技術全量存儲、搜索分析，識別、挖掘其中可疑的攻擊行為，當推出新的檢測算法時可依據(jù)歷史流量數(shù)據(jù)訓練、事后挖掘先前未發(fā)現(xiàn)的安全威脅，促使安全分析效能持續(xù)改進。 

部署方式

網(wǎng)絡流量智能分析審計系統(tǒng)采用旁路SPAN部署方式和TAP部署方式，兩種部署方式均不會改變用戶現(xiàn)有網(wǎng)絡架構和網(wǎng)絡配置，且不會對用戶現(xiàn)有的生產(chǎn)業(yè)務或應用產(chǎn)生任何影響；設備部署的示意圖如下：

產(chǎn)品規(guī)格

網(wǎng)絡流量智能分析審計系統(tǒng)（NFA）可根據(jù)不同客戶需求進行選擇，以下為硬件規(guī)格型號：