重磅推荐|绿盟科技全流量威胁分析解决方案（TAM）

方案概述

全流量威胁分析系统是绿盟科技基于多年在流量分析、大数据、机器学习积累之上推出的新一代网络流量分析系统。该方案采用DPI技术，对原始流量信息进行深度还原、存储、查询和分析，通过融合了传统的基于规则的检测技术、机器学习、威胁情报、虚拟沙箱和其他高级分析技术，可及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞利用、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为，帮助安全管理者快速检测失陷主机。

全流量威胁分析系统特点在于将企业单位安全场景转化为安全模型，能够分析跨长时间维度的安全事件或者特定场景下的异常流量，同时通过以安全痕迹为切入点，基于安全平台的渐进式分析能力，还原整个安全事件，实现对高级威胁的分析能力。以下为绿盟科技全流量威胁分析系统功能架构图：

方案介绍

绿盟科技全流量威胁分析解决方案主要由四部分组成，分别是全流量分析探针（UTS）、高级威胁检测系统（TAC）、威胁情报系统（NTI）和全流量存储分析平台（TAM）。

统一威胁探针（UTS）主要实现流量数据的采集和解析工作，可以对流量数据进行逐层解码，将解析后的流量元数据上传至大数据平台，将原始流量pcap数据留存在本地硬盘。同时UTS集成入侵检测、病毒检测及吸星引擎等各类安全探针，提供统一威胁检测能力。

威胁分析系统（TAC）提供恶意文件检测功能，基于沙箱检测引擎，可以动态虚拟执行各类文件及应用程序，并将检测结果上报至TAM进行进一步处理和分析。

威胁情报中心（NTI）提供威胁情报功能，通过与情报的有效结合，可以实时获取全球最新的热点事件和信息，大幅提升安全威胁事件检测能力。

全流量威胁分析平台（TAM）是全流量威胁分析系统的核心，TAM平台可以对流量元数据进行加工和整理，利用其强大的大数据分析能力及各类机器学习算法，快速检测各类重点事件，如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。TAM从资产角度出发，结合攻击链模型向用户展示失陷主机，帮助客户从海量告警事件中，快速定位需要关注和处理的资产。当系统检测规则落后于攻击行为，特别是0day攻击发生后，用户需要通过数据回溯分析，来检测出以往系统漏检的一些重要攻击行为信息。系统通过情报或用户自定义规则作为输入，可以对历史流量数据进行回溯分析，同时提供原始流量取证能力。最后TAM平台以灵活的自定义检测策略、数据挖掘分析能力，提供北向接口等功能，使得客户能够扩展和集成安全能力，实现投资的收益最大化。

客户收益

绿盟科技全流量威胁分析系统是一套基于大数据技术，采集原始流量，并实现应用层流量还原，流量特征分析，并结合威胁情报实现安全场景分析及高级安全威胁分析的解决方案。使用全流量威胁分析解决方案主要能给客户带来的价值有：

高度完备的数据

客户可以查看一切原始信息，五元组、应用层信息，PCAP原始报文信息；全流量威胁分析平台提供安全结果展示，同时又能提供界面化安全分析的手段。

02

高级威胁检测

全流量威胁分析系统支持安全模型分析，可根据时间关联分析，渐进式分析，网络行为特征等方式分析出高级威胁事件。

03

溯源分析能力

使用已公布的漏洞利用去检测历史流量，从而发现历史上黑客攻击行为，并以此为线索，通过关联分析挖出潜伏的攻击者。

04

可定制安全能力

全流量威胁分析平台通过灵活的安全分析能力，支持自定义黑名单匹配、自定义规则，面对复杂的安全检查模型可自定义检查插件。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP