网络取证系统建设方案.docVIP

网络取证系统方案 网络安全威胁概述 随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级别的增长：而且黑客仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏；加之威胁的工具化、实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。一般情况下，网络面临的威胁可以分为三类： 1．对网络自身与应用系统进行破坏的威胁 这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。 2．利用网络进行非法活动的威胁此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。 3．网络资源滥用的威胁此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为，包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公司或单位造成了间接损失。这些行为都属于网络资源滥用。 network e-discovery）。 网络取证系统经历了超过10年的创新研究与开发，针对网络流量监视和分析提供专利系统和方法。与现有的安全和网络分析构架技术有着极大的不同， 网络取证系统是全新设计的产品，用于即时分析、建模并极为详细地发掘所有网络流量，而不仅是简单地监视。该产品还提供全面的分布式网络监测架构，可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护，避免意外或有意的泄漏。 以全新的视角审视您的网络借助于突破性的用户界面和无比的分析能力， 网络取证系统可以使您以全新的方式监视和实时分析您的网络流量。传统的协议分析工具是以数据包的时序显示网络的流量，此时分析网络应用数据和恶意的网络行为通常是非常困难和容易混乱的，尤其是在分析网络数据的前后关系上， 网络取证系统在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。 网络取证系统可以转换成上千个会话并形成高速的元数据索引，让您直接迅速地看到在应用层发生的事情：NBAD系统和签名匹配技术的检测进入了公司网络？ 哪个邮箱发出的email附件中含有公司客户的名单，并发给了竞争对手？ 谁在使用聊天软件向媒体泄漏了哪些敏感信息？ 我们的网络是否符合Sarbanes-Oxley（塞班斯法案）的要求？ …… 网络取证系统 网络取证系统更适于广泛的业务需求。这种转变更为全面、更易于管理，并且更好地关联了网络行为的前后关系。对于众多安全产品厂商而言， 网络取证系统正是 网络取证系统解决方案提供最大的灵活性来适应技术、要求和策略的变化。 网络取证系统图形化的用户界面，直观而易于操作。所有网络行为都以报告（如地址、E-mail地址、文件等）的形式展现，并关联了相关的会话数量。分析人员可以直接选取所关注的网络行为，用鼠标点击相应链接即可了解相应的会话过程和内容。 网络取证系统采用深入（drill-down）分析方式逐步引导您发现网络安全问题。 网络取证系统 网络取证系统 网络取证系统并配合解码器和集中器选件组合成分布是高速存储和分析系统，可实现几个T、甚至上百个T字节的网络数据分析并实时深入到网络会话的前后关系和内容，使曾经花费几天时间完成的网络威胁分析，现在只要几分钟。 网络取证系统 网络取证系统产品的障碍。 网络取证系统的 网络取证系统开放的应用程序开发包 网络取证系统使用称为“剖析器”的分析程序搜索检查所有会话并产生元数据。例如针对一个标准的FTP会话，FTP剖析器将产生“login name、password”及文件操作的“get、put或delete”等元数据。 网络取证系统除了随机提供标准的45个剖析器外，还提供给用户若干个可自定义的专用剖析器。地址剖析器可捕获IP地址并转换成实际的地理位置并可通过Google Earth显示。剖析器可以在重组会话的有效载荷中搜索定义的关键词或规则表达式并产生报警信息。自定义剖析器是 网络取证系统交给用户的最为强大的应用程序开发分析包， 网络取证系统 网络取证系统提供了网络层和应用层规则，为获取特定数据而