AHQZ-1025网络应用数据分析仪
2009-03-15    安恒公司 产品部   
打印自: 安恒产品
地址: HTTP://oc12.anheng.com.cn/products/314
AHQZ-1025网络应用数据分析仪

关键词:应用数据分析,网络安全工具,入侵追踪, 后面分析, 网络取证, 应用数据重组

AHQZ网络应用数据分析仪提供了一个全新的网络应用数据分析方案。它是一款可以记录网络上每件事情的安全监视系统,并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问题,如:内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、网络设置错误、资产滥用、网络异常、网络入侵分析、网络数据审计、舆情监控、法律法规要求达标和网络电子发现(network e-discovery)。

AHQZ网络应用数据分析仪产品经历了超过10年的创新研究与开发,针对网络流量监视和分析提供的系统和方法。与现有的安全和网络分析构架技术有着极大的不同,AHQZ网络应用数据分析仪是全新设计的产品,用于即时分析、建模并极为详细地发掘所有网络流量,而不仅是简单地监视。该产品还提供全面的分布式网络监测架构,可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护,避免意外或有意的泄漏。

AHQZ-1025网络应用数据分析仪是安恒公司研制的一款便携式应用分析产品。它继承了AHQZ系列产品固有的强大的数据捕捉;在线分析、统计;存储与索引等功能并兼顾了便携性,内置聚合式TAP极大地方便了用户快速接入网络捕捉全双工流量的要求,现场部署快速、简单。

AHQZ-1025技术亮点

  • 可同时分析25G的网络数据
  • 内置聚合TAP,测试接入方便
  • 无站点代理要求
  • 可用的IPv6会话分析产品
  • 依从FIPS 140(联邦信息处理标准) 通信架构
  • 支持活动数据包的捕捉和数据包文件的导入
  • 提供全面的应用层分析和内容搜索
  • 剖析器技术提供了强大的自定义分析能力
  • 支持来自第三方的网络安全威胁数据的信息导入
  • 提供的协议和开发的应用包括:HTTP、FTP、TFTP、TELNET、 SMTP、POP3、NNTP、DNS、HTTPS、SSL、SOCKS、SSH、Vcard、PGP、SMIME、REGEX、DHCP、NETBIOS、SMB/CIFS、SNMP、NFS、RIP、MSRPC、Lotus Notes、TDS(MSSQL)、TNS(Oracle)、IRC、Lotus Sametime、MSN IM、RTP、Gnutella、Yahoo Messenger、AIM、SIP、H.323、Net2Phone、Yahoo Chat、SCCP (Cisco Skinny)、Bittorrent、GTALK、Hotmail、Yahoo Mail、Gmail、TOR Social Networking、Fast Flux等。

 

以全新的视角审视您的网络

借助于突破性的用户界面和无比的关联性分析能力,AHQZ-1025网络应用数据分析仪可以使您以全新的方式监视和实时分析您的网络流量。

传统的协议分析工具是以数据包的时序显示网络的流量,此时分析网络应用数据和恶意的网络行为通常是非常困难和容易混乱的,尤其是在分析网络数据的前后关系上,AHQZ-1025网络应用数据分析仪在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。

“如果你熟悉网络协议分析仪分析网络故障和网络入侵的行为,当你看到AHQZ-1025是如何快速立体地解决网络异常,发现跟踪后门、黑客入侵、内部人员泄密等问题时,你会感觉到网络应用数据分析的方法论已经焕然一新了。” —— 王志军

使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中,面对采集到的几十亿数据包,使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索,而不能从网络异常应用流量的角度来感知网络的潜在威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾,对网络管理者和安全分析人员来讲是根本“看不见的”。

AHQZ-1025网络应用数据分析仪可以让您看到以前看不见的东西。它会记录全部网络上的流量,将数十亿的数据包转换成上千个会话并形成高速的元数据索引,让您直接迅速地看到在应用层发生的事情:

  • 哪些黑客躲避了IDS、防火墙、NBAD系统和签名匹配技术的检测进入了公司网络?
  • 哪个邮箱发出的email附件中含有公司客户的名单,并发给了竞争对手?
  • 谁在使用聊天软件向媒体泄漏了哪些敏感信息?
  • 我们的网络是否符合Sarbanes-Oxley(塞班斯法案)的要求?
  • 我发现我们的网络中有多台PC好像被外网的一个IP地址控制了
  • ……

AHQZ-1025网络应用数据分析仪对网络应用或行为的分析,使您不会再因为“看不见”而不知道网络在遭受黑客的破坏攻击,也不会因为“看不见”而不知道有内部人员泄漏公司的机密。AHQZ-1025网络应用数据分析仪更适于广泛的业务需求。这种转变更为全面、更易于管理,并且更好地关联了网络行为的前后关系。

 

与众不同产品设计

对于众多安全产品厂商而言,传统的安全和网络技术一直未能解决一系列涉及商业和技术价值的问题。安全问题、威胁分析、事件响应、风险分析和依从性问题都迫使用户远离传统的网络监视解决方案。因为更为复杂和定制攻击的出现意味着传统基于签名的安全工具不一定能够帮助发现并修复安全问题,日志分析也很困难并且单调乏味。而AHQZ-1025网络应用数据分析仪正是设计用来应对上述挑战的。它也可以帮助各种技术水平的人员从捕捉的流量中识别问题并快速分析多种高级的网络威胁。

整体的索引和体系化以及网络元数据的实时同步,深入至网络会话的前后关系和内容的分析等使我们的技术可以解决复杂的问题,而这些问题正是现有的网络性能监视、内容监视和过滤、基于签名的系统或日志聚合技术所无法解决的。AHQZ-1025网络应用数据分析仪解决方案提供最大的灵活性来适应技术、要求和策略的变化。

AHQZ-1025网络应用数据分析仪是一款汇集了网络测试、高速数据存储和检索、丰富的应用流量分析以及内容信息提取、数据包重组会话和还原应用等功能的全新网络安全产品。为使用户快速接入网络进行测试分析,该产品内置了双端口链路汇聚型TAP,可方便地串接入10/100/1000M速率的链路中,将上下行数据汇聚后形成完整的全双工流量输出给分析仪进行数据采集和应用分析。分析仪支持10/100M全线速数据捕捉和存储,分析容量可达25GB,存储容量视存储设备可以进行扩展。可广泛应用于教育、企业、安全等行业的应用数据分析和安全防范领域。

 

简单易用的界面

AHQZ-1025网络应用数据分析仪图形化的用户界面,直观而易于操作。所有网络行为都以报告(如地址、E-mail地址、文件等)的形式展现,并关联了相关的会话数量。分析人员可以直接选取所关注的网络行为,用鼠标点击相应链接即可了解相应的会话过程和内容。AHQZ-1025网络应用数据分析仪采用深入(drill-down)分析方式逐步引导您发现网络安全问题。

结合AHQZ-1025网络应用数据分析仪所产生的丰富元数据,报告功能所提供的洞察行为的能力是其他众多网络监视技术所无法提供的。这种详细的网络原始信息第一次变成交互式的并且完全用于整个报告和实时图表。AHQZ-1025网络应用数据分析仪强大的报告能力并非夸张,每一条元数据都可使用在任意组合中,可以报告、报警、随时间绘图并实时呈现。这包括威胁情报的反馈、特定HTTP下载或输入、明文认证、非标准端口使用、用户行为、应用或加密配置文件、或P2P应用,所有这些都可通过简单的点击直接访问全部内容。

无论是初学者还是专家级用户都可以轻松使用AHQZ-1025网络应用数据分析仪并配合解码器和集中器选件组合成分布式高速存储和分析系统,可实现几个T、甚至上百个T字节的网络数据分析并实时深入到网络会话的前后关系和内容,使曾经花费几天时间完成的网络威胁分析,现在只要几分钟。

丰富和详细的元数据

AHQZ-1025网络应用数据分析仪的核心是“元数据流”引擎,这种技术可以从网络流量中萃取会话应用和内容描述符,并以一种共同语言来跨越每种应用,标准化所有网络实体行为。因此对协议知识的要求不再成为使用AHQZ-1025网络应用数据分析仪产品的障碍。AHQZ-1025网络应用数据分析仪的元数据是网络记录架构的技术基础,能提供每个可能的网络事件(内部、外部、恶意的和非恶意的)的洞察力和详细行为的情况。比如:网络流量类型的技术可提供网络层事件信息,如:IP地址、端口等。AHQZ-1025网络应用数据分析仪不仅提供这类信息,而且提供应用层数据,如:email地址、用户名、文件名和密码,甚至全部重组的内容。

 

开放的应用程序分析器开发包

AHQZ-1025网络应用数据分析仪使用称为“剖析器”的分析程序搜索检查所有网络数据并产生元数据同时关联成会话。例如针对一个标准的FTP会话,FTP剖析器将产生“login name、password”及文件操作的“get、put或delete”等元数据。

AHQZ-1025网络应用数据分析仪除了随机提供标准的45个剖析器外,还提供给用户若干个可自定义的专用剖析器。地址剖析器可捕获IP地址并转换成实际的地理位置并可通过Google Earth显示。

搜索剖析器可以在重组会话的有效载荷中搜索定义的关键词或规则表达式并产生报警信息。而自定义剖析器是AHQZ-1025网络应用数据分析仪交给用户的最为强大的应用程序开发分析包,是“元数据流”引擎的关键部件。拥有了这个开发工具,任何用户都可以通过XML语言动态配置如何识别新的应用以及提取什么数据用于分析。这使AHQZ-1025网络应用数据分析仪用户可以立即定制和扩展其分析能力。这种处理的灵活性对于承载繁重应用的网络、私有协议和无法被一般的入侵检测系统所探测的威胁至关重要。

 

灵活的规则过滤和警报

AHQZ-1025网络应用数据分析仪提供了网络层和应用层规则,为获取特定数据而创建灵活多样的过滤器。通过保留、过滤或标记,AHQZ-1025网络应用数据分析仪可以识别符合特定多个特征或与特定地点或文件名相关联的所有会话并产生必要的报警。您可以迅速发现网络中是否存在异常应用;是否有可疑的后门控制端在操控您网络中的设备;及时发现公司下载了多少种恶意软件;或核查员工的行为是否属于被禁止的范畴。

 

支持威胁信息的导入

利用外部的或第三方提供的、基于IP地址的实时情报,来实时更新AHQZ-1025网络应用数据分析仪的规则或剖析器,随时应对不断变化的威胁,做到动态地防范安全风险。

 

可靠的并可升级的捕捉架构

AHQZ-1025网络应用数据分析仪系是一款便携式的网络安全产品。可方便移动至任何地方,对网络进行长时间的全线速数据捕捉和存储,并可实时进行数据的应用分析。它还支持导入标准的数据包格式文件,如.tcp/.cap/.pcap/.raw等,可以与协议分析仪配合使用,实现快速地发现会话行为和深入研究问题的完美结合。

针对分布式网络环境,AHQZ-1025网络应用数据分析仪可与配套选件产品组合成高性能、分布式、大容量的网络取证系统,实现灵活地跨越任何环境。网络取证系统的核心是多个高速处理的服务器产品,即由“解码器”和“集中器”建立的“一次记录/多次重新使用”的分布式千兆数据包捕捉结构。这些产品具有开放的API,允许产品组中的网络应用数据分析仪和IFM统计分析器从它们那里查询和请求网络数据,进行交互式地威胁分析并对实时事件、威胁、异常、配置混乱、依从性违背和其他恶意或无意行为产生定制报告。这种分布式系统适合银行保险、政府机构、安全防范、军队、电信、跨国企业等具有高带宽、大数据通信量的行业的安全防范和攻击取证。

 

系统配置

便携式——网络应用数据分析仪
 型号:AHQZ-1025
 接口:2个汇聚10/100/1000M RJ45端口,1个10/100M管理和控制端口
 线速存储:支持10M全双工
 分析容量:25GB
 存储容量:100GB
 重量:1.5kg
 外形尺寸:202×262×62mm

其它型号
 10M   线速扑捉型,最大分析能力2T
 100M  线速扑捉型,最大分析能力2T
 100M  线速扑捉型,最大分析能力10T
 1000M 线速扑捉型,最大分析能力10T

选件
 报告器
 各类TAP
 网络安全分析虚拟实验室

 

责任编辑: admin