产品中心

PRODUCT CENTER
产品中心

首页 > 产品中心 > 云图数据检测

云图网络数据检测系统V2.0
云图网络数据检测系统V2.0
云图网络数据检测系统V2.0云图网络数据检测系统专为用户在大数据、复杂应用环境下掌握和管理信息系统运行情况和精细化安全管理而设计。通过旁路抓包获得网络中的流量数据,经过重新组包、匹配、识别,提取信息系统的数据流运行状态,帮助用户提取网络中的业务数据流,以安全域为基础视角建立互连关系模型,发现违规的互连访问关系,并形成通用的异常连接模型,从而实现安全域边界的互连合规管理,对未知的数据流进行分析鉴别,建立白名单体系,指出有危害的数据流,并根据用户对网络的业务数据流识别情况,对出交换机、防火墙等访问控制设备的策略进行自动匹配分析,给出配置改进建议,并在此基础上实时监控应用的使用人数、流量大小等。
详情

云图网络数据检测系统

安全域管理

         云图网络数据检测系统将以安全域作为划分网络的基本单元,每个安全域由若干个IP或网段组成,每个安全域支持若干个数据流,用户可以自行定义安全域,系统从未知数据中提取数据流,经过用户确认后成为业务数据流,用户可以了解有哪些未知互连关系,流量大小,有哪些业务在运行,有多少人使用,是否中断,连接性能如何等信息。

        l  数据流

 安全域之间的数据通讯用数据流来表示,系统支持协议识别,用户可以用协议或端口来定义安全域之间的数据流,用数据流来表示业务系统在网络中的运行状态。

 l  IP输入检测

       根据IP地址范围设置安全区域,支持安全区域输入检测,使下级安全区域地址范围不能超出上级安全区域地址范围、同一安全区域下属安全区域的地址范围不能交叉重合。

       l  树形结构

支持安全区域嵌套,支持树形结构的安全区域管理。

 l  安全区域识别

 支持选定安全区域作为应用识别区域,选定后可以发现安全区域内的应用。

 l  应用识别

       云图网络数据检测系统能够支持应用的自动发现、识别、提取等功能,通过对应用的分析,可以将用户网络中合法访问归纳到对应用系统的访问集合上,大大减轻了对网络中数据流分析的工作量。

白名单提取

       l  网络行为分析

云图网络数据检测系统具有智能分析的功能,采用行为分析策略将收到的未知连接数据放入若干个数据分析模块对数据进行分析,产生网络行为,并在管理中心中显示管理。通过设置网络行为分析策略的阀值,产生网络行为数据,将网络行为数据提取为白名单策略或白名单。

       l  白名单生成

在提取应用以后,可以为应用设定访问的源安全域,产生白名单策略,系统使用白名单策略进行触发,可以将数据流量自动提取为白名单,成为被认可为业务数据流,这样可以帮助用户快速进入业务流监控管理状态,可以在以后的工作中再逐渐对业务数据流白名单进行优化。

未知连接管理

       对于不符合白名单和违规的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流提取到白名单。

访问控制策略

               传统网络中的访问控制策略管理往往都只能输出静态的访问控制策略,而且由于不同网段、安全域的访问控制设备不同,最终结果可能是包括了:不同品牌防火墙、交换机、路由器不同指令集构成的访问控制策略集,这样不便于管理和监控。

 l  访问控制策略生成

云图网络数据检测系统在安全域监控和白名单管理(云图网络数据检测系统的白名单是由真实数据流量驱动生成,而不是由人工经验手工编写,更能反映应用系统真实的访问关系)的基础上,通过树状结构的安全域,可导出任意层次安全域、应用和IP之间的访问控制策略。并且可将这些访问策略保存下来,配置到边界设备上,并可与交换机、防火墙的实际访问策略进行自动匹配、分析。

 l  访问控制策略匹配

传统访问策略的匹配需要耗费大量的人工来完成,而且由于数据来源的不完整性,无法做到全面、真实的匹配分析。云图网络数据检测系统依赖于数据流量驱动生成的真实访问关系形成访问策略,用户通过输入目标交换机、防火墙的IP地址等信息,可自动完成访问策略的匹配。系统自动输出数据流量驱动生成的访问策略与交换机、防火墙已运行访问策略之间的差异。

违规行为报警

云图网络数据检测系统支持五元组条件【源地址(安全域、IP地址)、源端口、目的地址(安全域、应用、IP地址)、目的端口、协议】进行定义新的违规策略。可设置报警时间端,时间段以内进行报警或时间段以外进行报警,可以设置流量包数及流量大小的阈值,可以设置违规策略严重级别。

不同违规策略有不同的含义,例如:

Ø  违规运维指不允许使用的某些服务,例如:使用3389,23端口的TCP连接;

Ø  应用服务器违规反链指应用服务域对用户接入域的访问;

Ø  可疑数据库访问行为指互联网地址、客户端地址访问数据库服务器。正常应用系统中很少会有互联网地址、客户端直接访问数据库;

Ø  非本单位地址DNS请求指发送DNS请求的非本单位地址包括互联网地址、私有地址,向内网DNS服务器发送DNS解析请求,这些请求有可能是设备初始配置、软件或系统更新产生;

Ø  待审核的FTP文件共享服务指互联网地址与服务器的FTP共享有连接行为。

流量监控

       监控视图作为用户日常监控使用的功能,云图网络数据检测系统向用户提供应用流量Top5、白名单源地址流量Top5、白名单目的地址流量Top5、白名单数量、未知连接数量三方面的监控内容作为初始监控内容。不同部门用户登录到系统时会根据部门权限看到的不同的监控数据。系统的监控视图可根据用户需求制定不同的监控内容,监控视图可向用户提供应用监控(流量、连接数)、网络基本监控(业务系统流量、正常应用系统访问的上下行流量、连接数)、特定域间和特定端口流量、未知连接关系、违规行为报警、应用基线报警等可选监控内容。

协议统计与配置

l  协议统计

云图网络数据检测系统支持协议库统计,可显示协议的上下行流量、上下行包数。

l   http层协议

向用户开放http层协议的定义规则,允许用户定义url和域名,用以生成新的协议。

l  长连接

自定义指定的ip在访问或被访问时享有超时倍数。

主机设备管理

l  设备管理

云图网络数据检测系统支持设备列表,设备的自动发现,支持对设备列表中的设备进行增删改查。设备管理列表显示设备名称、IP地址、MAC地址、类型、安全域和设备发现时间等内容。

       l  设备异常检测

云图网络数据检测系统支持设备异常变更检测,包括增加新设备和同一IP置换为新设备。前面已经锁定设备入库检测。

       l  设备离线检测

云图网络数据检测系统支持设备离线检测,根据检测周期和查询到的设备流量计算是否发生了设备离线的情况。提供配置离线检测时间功能。

系统运行报表

云图网络数据检测系统支持已知应用、未知应用、违规报警、白名单、未知连接报表的导出;支持不同格式(doc、excel、pdf、html)文档的导出;报表支持图形和文字信息。

报警转发

云图网络数据检测系统支持违规报警通过邮件和syslog转发。

配置管理

云图网络数据检测系统支持数据(安全域、白名单策略/白模型、白名单、未知应用、已知应用、违规策略、违规报警、未知连接)导入、导出配置。方便用户备份、恢复数据。

询价
上一个:暂无
下一个:暂无
相关产品
暂无相关产品
4cqg0DvJkGZCP3o6CJehRNAQ6f79XHCzpt0qLXKA1QGYIeT09HqSUv2hupb72x9xzUjub2C+LbBApyhsieWtU70X/sV5PTs00NzV+NxfzT2d9UsYZ9qk65oSvBOiGTnf