全流量安全分析系统-TTSA

Total Traffic Security Analyse

——————

基于全流量实时分析，发现异常行为特征，检测异常工作组和主机，分析服务器安全性。

什么是全流量安全分析

通常意义上的安全分析产品是通过IP Payload载荷中的某些特征值识别，来检测该IP流量是否属于某种病毒或网络攻击手段。这种特征值识别的技术的缺陷在于需要维护一个特征值的库并且不断更新，对于新出现的或变种的攻击手段无法识别和判断。
NetInside TTSA可以通过一种特有的网络行为分析的功能来检测网络中的病毒和攻击行为。这一特色就是强大的网络行为分析（Network Behavior Analysis）的功能。通过对全网IP流量的监控，可以感知到所有主机的网络行为，对于其中一些“可疑”的网络流量和行为，通过内置的分析引擎可以自动检测并提供告警。这些“可疑”的流量包括主机扫描、端口扫描、蠕虫病毒、可疑连接等。

全流量安全分析系统部署方案

全流量安全分析系统旁路部署在网络的各重要业务服务器功能区，通过交换机端口镜像采集的关键区域的网络通讯数据，分析并存储。服务器加载各个功能模块对采集得到的网络通讯数据做深入分析，取得需要的各种数据和产生相关警报。

用户不用安装任何第三方软件，直接通过浏览器对服务器采集的数据和分析结果进行集中的管理，实现集中的告警分析、报表汇总、配置管理等重要功能，同时提供数据的挖掘分析功能，方便用户进行查看、检索、数据挖掘等应用。

系统功能介绍

业务安全指数综合监控

综合业务系统异常访问特征，实时监测分析系统安全指数，动态计算并显示安全得分。

节点/工作组异常监控

对于节点或工作组对象，系统监测分析存在的异常现象，根据严重程度自动排列显示。选择任意一个节点，即刻发现引发节点异常的成员信息和行为特征。

感染病毒主机发现和分析

自动发现可能感染病毒的主机，并根据严重程度自动排序显示。通过点击主机信息，进而了解主机产生异常的原因。

异常主机行为分析

主机异常会存在明细的网络行为特征，最普遍的一种情景是大量的对外连接请求(TCP SYN)，系统能够针对每个主机进行异常行为分析，通过简单、直观、形象的视图透视其异常行为。

服务器主动外连发现

服务器系统往往面向互联网提供服务，其主要接收和处理访问者的请求。存在异常和安全问题的服务器通常会主动向外发起连接请求，系统能够自动发现这类特征，并详细记录，直观显示。