流光全流量威胁溯源研判系统（DPS）

让网络威胁无处遁形

基于多年来对数据价值的深度挖掘，结合行业需求推出的全流量系统。通过对底层数据的采集、储存与深度解析，经API接口实现对300种以上元数据的三方联动分析以及原数据包验证，特有的调查模块配合全流量数据，提升企业对安全告警的研判能力和对未来威胁的发现能力。

넳 넲

核心价值

弥补传统安全设备检出的不足

对于安全事件的检出，不再是传统的基于特征库（黑名单）的检出，而是将用户的网络行为与业务系统特点进行关联分析，制定针对业务系统的检索规则，从而发现传统安全设备发现不了的安全威胁。

预警前置

为响应Gartner公司的前置预警理念，流光全流量威胁溯源研判系统基于强大的、全量的数据支撑，可主动发现异常流量、攻击前的探测行为、攻击未成功但定时定量进行攻击尝试的行为。并且可对这部分异常行为进行统计，作为攻击前的预警前置。

全数据包存储

突破特征库的束缚，不依托于特征库的检出进行数据包存储，选择全量存储数据包，保证只要流经该节点的流量就会有记录。并且提供强大的基于元数据的检索能力，可按需进行任意与、或、非等逻辑运算。为定位问题发生原因提供更全面的分析依据，同时为网络安全提供强有力的数据分析保障。

基础、开放的数据平台

流量数据是一种基础数据，流光全流量威胁溯源研判系统定位是一个基础的数据平台。可将任意元数据以及原始数据包封装成标准的API接口，供第三方平台直接调取。针对应用层的数据也可对接到锐服信业务安全检测引擎，进行业务逻辑安全检测。

溯源取证

针对第三方安全设备的告警，以及威胁情报的安全线索，可以关联到符合告警线索的原始数据包。并且可以基于元数据进行回查，快速定位与之相关的原始流量，还原当时的流量交互情况，将攻击链条完整回溯。

服务互访关系梳理

站在实际使用场景角度，针对不同的网段或安全域进行互访关系梳理，图形化直观展示业务系统之间的互访关系，并根据配置前后访问层级，全面展示业务系统互访全流程，形成互访关系的全方位业务画像，清晰展示网络环境中的源目关系及会话情况，进而精准锁定数据流在网络中的传输踪迹，从侧面反映网络中潜在的风险。

部署示意图

场景应用

上级或监管机构通报的安全事件，需要用户自查

受到公安或网信办等部门监管的政府机关、国有企业、医疗、金融等企事业单位，尤其是已经接入到政务外网，或者企事业单位的出口统一由总部出口等情况。

目标客户

上级单位或监管单位，通过安全监测手段，检测到该单位存在安全隐患，通常会下发通报，通知该单位受到某种攻击或者发起对外攻击。该单位的传统安全设备经常会出现没有任何记录的情况，或者会出现该单位安全设备告警的攻击类型与通报中给出的安全事件不是同一类型,无法确定以谁为准，无法还原当时的流量。

痛点分析

通过部署流光全流量威胁溯源研判系统，实现该单位进出互联网流量的全记录，掌握对外开放的IP及端口。当发生安全事件时，可快速回查到对应的数据包，还原当时的流量，给出详尽证据确定内部主机否有异常。

方案简介
痛点分析

方案简介

通过流光全流量威胁溯源研判系统，实时监控全网络节点流量；并针对业务特点设置针对性的告警策略，基于白名单机制，及时发现异常流量；当传统安全设备给出告警信息后，及时关联分析原始数据包，并对安全告警进行溯源分析。

目标客户

在HW行动、重要保障时期，无法发现踩点性、探测性、绕过性攻击行为。当安全事件发生时，没有取证溯源相关的技术手段，无法对安全事件彻底处置。

政府机关、金融、教育、企业等需要进行HW演习的企事业单位，以及重大活动期间需要进行网络安全重点保障的单位。

护网行动、重要时期的网络安全保障
目前大部分客户的等级保护建设都是按照等保1.0的要求备案的，2019年12月起执行等保2.0的要求。相比等保1.0，等保2.0在通用安全，入侵防范中新增了2点要求：①防止从内到外的攻击；②对网络行为进行分析。

方案简介

通过部署流光全流量威胁溯源研判系统，实时监控所有网络节点的流量，关键节点监视网络攻击行为，对新型网络攻击行为进行分析，对安全事件进取证溯源。

痛点分析

政府机关、医院、企业等需要做等级保护建设的单位。

目标客户

网络回溯系统等保2.0合规性建设
通过流光全流量威胁溯源研判系统，实时采集各安全域之间交互的流量，全面覆盖传统安全产品的检测点，根据安全事件线索研判是否属于真实攻击，定期查看DPS设备的数据，验证安全策略是否符合安全要求，是否出现误、漏的安全策略。

痛点分析

面对安全设备产生的告警，无法确定是真实告警还是误报，对于设备中的安全策略，无法确定是否已经生效，缺乏验证手段。

安全事件、安全策略、安全告警验证

目标客户

政府机关、金融、教育、企业等不满足于基础合规性网络安全建设的单位，重视网络安全，有规划提升整体安全能力。

方案简介
通过实时捕获数据包实现网络流量信息的实时分析，并根据重点监控内容提取特征字段，配置调查任务，持续帮助用户重点监控漏洞利用行为，及时发现攻击事件，保障业务的正常运转。

痛点分析

因服务器业务系统、物联网终端、网络设备等资产因对应厂商已不再提供服务等原因，无法修复已知的安全漏洞，但因需对外提供互联网服务等原因又无法完全封堵此类漏洞。

未修复漏洞重点监控

目标客户

拥有因特定原因导致短时间内无法完全修复但隐患极大的安全漏洞的隐患资产的单位。

方案简介

安全事件情报调查

对于危害性高、感染性强的安全事件，需要持续的专项监控，及时发现止损和快速响应，流光全流量威胁溯源研判系统内置勒索病毒、挖矿等安全事件的专题规则库，同时支持根据业务情况手动配置，较传统设备更加全面灵活、准确，可配置自动调查任务通过专题规则库持续检测高危安全事件或政策要求的安全事件，对最新安全事件进行自查自排，及时发现中招主机，对已中招主机进一步扩线分析调查，彻底清除网络中潜在的安全威胁，避免进一步扩散。

痛点分析

方案简介

通过流光全流量威胁溯源研判系统，实时监控全网络节点流量；并针对业务特点设置针对性的告警策略，基于白名单机制，及时发现异常流量；当传统安全设备给出告警信息后，及时关联分析原始数据包，并对安全告警进行溯源分析。

目标客户

在HW行动、重要保障时期，无法发现踩点性、探测性、绕过性攻击行为。当安全事件发生时，没有取证溯源相关的技术手段，无法对安全事件彻底处置。

政府机关、金融、教育、企业等需要进行HW演习的企事业单位，以及重大活动期间需要进行网络安全重点保障的单位。

护网行动、重要时期的网络安全保障