流量分析系统_东华流量分析_统计分析系统的作用

应用安全监测与异常流量分析系统。应用安全监测系统就是分析业务系统安全的设备。

它通过对采集的网络流量进行挖掘。关联性分析；将网络流量。访问行为和业务系统的安全结合起来。是帮助管理人员掌握网络资源使用情况。分析业务系统异常情况。保障业务系统的安全。稳定和高效运行的有力手段。application。security。monitor。合起来就是应用安全监测与异常流量分析系统。Topwalk-ASM采用旁路方式从网络中心节点采集流量信息。

对网络设备和节点的流量信息和网络行为进行持续性统计和对比分析。快速发现流量和连接数的异常变化。网络行为中的异常访问操作和攻击操作。追踪和审计异常网络行为。为管理员提供报警通知和处理功能。并通过联动对网络异常行为采取阻断等进一步处理。Topwalk-ASM便于管理员了解网络运行状况。核心服务器的访问情况。网络异常情况等。是网络规划。网络管理和安全运营等工作的重要工具。

中文名,应用安全监测与异常流量分析系统。类型,分析系统。对象,应用安全监测。

什么是应用安全监测系统。1）. 全网流量统计与对比分析持续统计并保存全网流量。

最高流量。平均流量等。根据需要查看当前和历史统计数据。2）. 应用系统流量监测针对关键应用系统进行流量重点监测。包括流量累计。流量阶跃。连接数。连接持续时间和访问数五大类监测项目。3）. 应用系统网络行为监测针对关键应用系统进行网络行为重点监测。包括操作行为监测和指定协议操作行为监测两大类。4）. 异常行为追踪审计针对可疑或异常的网络行为。

系统对其进行解析。重现和记录。形成安全审计。供取证和备查。记录并重现访问。邮件发送接收。文件传输以及WEB访问等网络行为。5）. 报警和处理针对异常流量和异常网络行为。系统产生报警。并提供报警的审核。归类。处理和记录工具。紧急情况下的报警。系统通过邮件和短信实时发送给管理员。6）. 网络攻击检测防范和联动处理通过扩展入侵监测模块。系统可以根据策略库对网络上的数据模式和行为模式进行实时报警；通过与“基础信息库”和“终端管理系统”等联动处理。

进行节点定位。连接阻断。控制可疑主机等高级功能。

传统的流量分析产品。Topwalk-ASM与当前市场上的流量分析产品不一样。

主要区别在于Topwalk-ASM是专注应用安全的。而其他流量分析产品定位为网络安全。具体的区别如下：a）采用的技术不一样。ASM采用的是端口镜像技术。该技术可以收集网络上2-7层数据信息。而其他厂家采用的是netflow。netscream。sflow。snmp等技术采集信息。上述技术采集的多为2-4层信息。无法做应用层的分析。

很少对数据包的内容进行聚合分析。而ASM不仅分析包头。更能用先进的数据挖掘技术和协议分析技术对内容进行深入分析。e）ASM产品关注的是业务对象。而不是其他流量产品的网络对象。通过特有的技术将网络对象和业务系统进行映射实现业务系统的定义和监控。

应用安全监测系统的典型应用。ASM应当挂接在所有关注流量都必须流经的链路上。流量分析系统

在这里。“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计。监视的网络报文。在交换式网络中的位置一般选择服务器区域的交换机上或重点保护网段的局域网交换机上。基本部署方式如下：实际应用中。根据用户使用需求不同。ASM设备可部署于不同的节点位置：l 如需对网络内部所有用户的外网访问行为以及服务器的对外提供服务情况进行监控。

可将ASM部署在网络出口处的防火墙设备镜像端口上。以此对所有网络出口流量进行监控分析；l 如需对内部网络中应用系统的服务情况进行监控。可将ASM部署在服务器区前端的交换机镜像端口上。对所有外部用户与服务器之间的数据通信进行监控分析；l 如需对内部网络所有用户以及服务器的数据访问行为进行监控。可将ASM部署在内部网络核心交换机镜像端口上。流量分析系统实现对所有内外网网络通信的监控分析。部署ASM后起到的作用有：● 监测核心资源系统的带宽使用情况。

通过ASM设备的流量识别。对应用系统的流量信息进行分类归并。使流量带宽使用情况一目了然。● 通过对核心资源系统进行持续性访问统计和对比分析。描绘出核心资源系统的正常流量轮廓。快速发现流量异常变化情况。其中包括：各业务应用的流量细节；连接数。吞吐量。连接时间等按客户端节点排名情况；各业务应用系统的协议分布。节点分布。时间分布等。● 通过对网络访问行为进行针对性监测。及时发现网络中的对核心资源库的异常访问和攻击行为。

确保针对业务系统的网络使用和访问操作的合规性。如针对操作。WEB访问。文件传输等行为进行检测。● 追踪和记录异常网络行为。提供报警处理。报表等功能。对异常事件进行深入分析。如异常数据操作的时间。节点位置。负责人等情况的追踪和报警。当月应用系统的总体运行情况报告和健康状况评估报告等。

产品特点。1.高性能具有海量事件处理和存储的能力。

高端设备可实时处理1.4Gbps的流量。能够存储2.5T事件记录2.节省IT投入ASM能够实行7*24小时的实时监测。自动分析各种应用安全异常情况。通过该智能的功能减少了人员方面的投入。节省了IT的安全投入成本3.低拥有成本得益于对数据存储算法进行了充分优化。使用内置的小型满足处理需求。用户在使用ASM时。无需购买额外的管理系统和许可。

也不必花费专门的精力去维护。大大降低了用户的总拥有成本。4.零风险部署ASM可在不改变现有的网络体系结构的情况下快速部署。不影响现有的业务应用系统。无法造成单点故障。实现零风险部署。5.完备的自身安全物理保护:关键部件采用冗余配置。系统故障保护：内置监测模块准实时地监测设备自身的健康状况。不丢包：基于硬件加速的接口卡。在高速环境下实现100%数据包捕获。6.全方位。细粒度监测分析实时监测来自各个层面的所有网络行为。

包括操作。WEB操作。FTP操作。端口操作；提供对潜在危险活动的快速检测分析；其中可精细到表。字段。记录内容的细粒度监测策略。实现对敏感信息的精细监控.从安全隔离网闸。边界接入平台。到ASM都是为了提高用户的业务安全。保障业务系统高效。安全。稳定的运行。ASM继承网闸。接入平台产品积累的良好口碑。为各行业用户提供更好的应用服务。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-39512-1.html