套用安全監測與異常流量分析系統

套用安全監測系統(Topwalk-ASM)就是分析業務系統(套用)安全的設備,它通過對採集的網路流量進行挖掘、關聯性分析;將網路流量、訪問行為和業務系統(套用)的安全結合起來,是幫助管理人員掌握網路資源使用情況、分析業務系統異常情況,保障業務系統的安全、穩定和高效運行的有力手段。

application(套用)、security(安全)、monitor(監測),合起來就是套用安全監測與異常流量分析系統(Topwalk-ASM)。

Topwalk-ASM採用旁路監聽方式從網路中心節點採集流量信息,對網路設備和節點的流量信息和網路行為進行持續性統計和對比分析,快速發現流量和連線數的異常變化、網路行為中的異常訪問操作和攻擊操作,追蹤和審計異常網路行為,為管理員提供報警通知和處理功能,並通過聯動對網路異常行為採取阻斷等進一步處理。

Topwalk-ASM便於管理員了解網路運行狀況、核心伺服器的訪問情況、網路異常情況等,是網路規劃、網路管理和安全運營等工作的重要工具。

基本介紹

  • 中文名:套用安全監測與異常流量分析系統
  • 外文名:Topwalk-ASM
  • 類型:分析系統
  • 對象:套用安全監測
ASM功能,分析產品,典型套用,產品特點,

ASM功能

(1). 全網流量統計與對比分析
持續統計並保存全網流量、最高流量、平均流量等。根據需要查看當前和歷史統計數據。
(2). 套用系統流量監測
針對關鍵套用系統進行流量重點監測。包括流量累計、流量階躍、連線數、連線持續時間和訪問數五大類監測項目。
(3). 套用系統網路行為監測
針對關鍵套用系統進行網路行為重點監測。包括資料庫操作行為監測和指定協定操作行為監測兩大類。
(4). 異常行為追蹤審計
針對可疑或異常的網路行為,系統對其進行解析、重現和記錄,形成安全審計,供取證和備查。記錄並重現資料庫訪問、郵件傳送接收、檔案傳輸以及WEB訪問等網路行為。
(5). 報警和處理
針對異常流量和異常網路行為,系統產生報警,並提供報警的審核、歸類、處理和記錄工具。緊急情況下的報警,系統通過郵件和簡訊實時傳送給管理員。
套用安全監測與異常流量分析系統
套用安全監測與異常流量分析系統
(6). 網路攻擊檢測防範和聯動處理
通過擴展入侵監測模組,系統可以根據策略庫對網路上的數據模式和行為模式進行實時報警;通過與“基礎信息庫”和“終端管理系統”等聯動處理,進行節點定位、連線阻斷、控制可疑主機等高級功能。

分析產品

Topwalk-ASM與當前市場上的流量分析產品不一樣,主要區別在於Topwalk-ASM是專注套用安全的,而其他流量分析產品定位為網路安全。具體的區別如下:
(a)採用的技術不一樣,ASM採用的是連線埠鏡像技術(SPAN),該技術可以收集網路上2-7層數據信息,而其他廠家採用的是netflow、netscream、sflow、snmp等技術採集信息,上述技術採集的多為2-4層信息,無法做套用層的分析,無法實現對業務安全的監測。
(b)ASM關注的是業務系統的安全性問題,而其他產品關注的是網路上的安全問題,如網路中是否有DDOS攻擊、FLOOD工具、P2P大量下載、蠕蟲攻擊等問題,關注點不一樣導致產品的用途不一樣。
(c)ASM收集信息來源於三層交換機的鏡像連線埠,而其他產品多數採集信息來自路由器設備,且需要支持專門的技術如(netflow),對網路設備有要求。相比之下,ASM有更好的適用性。
(d)其他產品只分析數據包包頭信息,很少對數據包的內容進行聚合分析,而ASM不僅分析包頭,更能用先進的數據挖掘技術和協定分析技術對內容進行深入分析。
(e)ASM產品關注的是業務對象,而不是其他流量產品的網路對象。通過特有的技術將網路對象和業務系統進行映射實現業務系統的定義和監控。

典型套用

ASM應當掛接在所有關注流量都必須流經的鏈路上。在這裡,“所關注流量”指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在交換式網路中的位置一般選擇伺服器區域的交換機上或重點保護網段的區域網路交換機上。基本部署方式如下:
套用安全監測與異常流量分析系統
套用安全監測與異常流量分析系統
實際套用中,根據用戶使用需求不同,ASM設備可部署於不同的節點位置:
l 如需對網路內部所有用戶的外網訪問行為以及伺服器的對外提供服務情況進行監控,可將ASM部署在網路出口處的防火牆設備鏡像連線埠上,以此對所有網路出口流量進行監控分析;
l 如需對內部網路中套用系統的服務情況進行監控,可將ASM部署在伺服器區前端的交換機鏡像連線埠上,對所有外部用戶與伺服器之間的數據通信進行監控分析;
l 如需對內部網路所有用戶以及伺服器的數據訪問行為進行監控,可將ASM部署在內部網路核心交換機鏡像連線埠上,實現對所有內外網網路通信的監控分析。
部署ASM後起到的作用有:
● 監測核心資源系統的頻寬使用情況。通過ASM設備的流量識別,對套用系統的流量信息進行分類歸併,使流量頻寬使用情況一目了然。
● 通過對核心資源系統進行持續性訪問統計和對比分析,描繪出核心資源系統的正常流量輪廓,快速發現流量異常變化情況。其中包括:各業務套用的流量細節;連線數、吞吐量、連線時間等按客戶端節點排名情況;各業務套用系統的協定分布、節點分布、時間分布等。
● 通過對網路訪問行為進行針對性監測,及時發現網路中的對核心資源庫的異常訪問和攻擊行為,確保針對業務系統的網路使用和訪問操作的合規性。如針對資料庫操作、WEB訪問、檔案傳輸等行為進行檢測。
● 追蹤和記錄異常網路行為,提供報警處理、報表等功能,對異常事件進行深入分析。如異常數據操作的時間、節點位置、負責人等情況的追蹤和報警,當月套用系統的總體運行情況報告和健康狀況評估報告等。

產品特點

1.高性能
具有海量事件處理和存儲的能力。高端設備可實時處理1.4Gbps的流量,能夠線上存儲2.5T事件記錄
2.節省IT投入
ASM能夠實行7*24小時的實時監測,自動分析各種套用安全異常情況。通過該智慧型的功能減少了人員方面的投入,節省了IT的安全投入成本
3.低擁有成本
得益於對數據存儲算法進行了充分最佳化,使用內置的小型資料庫滿足處理需求。用戶在使用ASM時,無需購買額外的資料庫管理系統和許可,也不必花費專門的精力去維護資料庫,大大降低了用戶的總擁有成本。
4.零風險部署
ASM可在不改變現有的網路體系結構(包括:路由器防火牆、套用層負載均衡設備、套用伺服器等)的情況下快速部署,不影響現有的業務套用系統,無法造成單點故障,實現零風險部署。
5.完備的自身安全
物理保護:關鍵部件採用冗餘配置(如:冗餘電源、內置硬碟RAID等)。
系統故障保護:內置監測模組準實時地監測設備自身的健康狀況。
不丟包:基於硬體加速的接口卡,在高速環境下實現100%數據包捕獲。
6.全方位、細粒度監測分析
實時監測來自各個層面的所有網路行為,包括資料庫操作、WEB操作、FTP操作、連線埠操作;提供對潛在危險活動(如:數據盜取、批量查詢等)的快速檢測分析;其中資料庫可精細到表、欄位、記錄內容的細粒度監測策略,實現對敏感信息的精細監控.
安全隔離網閘邊界接入平台、到ASM都是為了提高用戶的業務安全,保障業務系統高效、安全、穩定的運行。ASM繼承網閘、接入平台產品積累的良好口碑,為各行業用戶提供更好的套用服務。

相關詞條

熱門詞條

聯絡我們