套用安全监测系统(Topwalk-ASM)就是分析业务系统(套用)安全的设备,它通过对採集的网路流量进行挖掘、关联性分析;将网路流量、访问行为和业务系统(套用)的安全结合起来,是帮助管理人员掌握网路资源使用情况、分析业务系统异常情况,保障业务系统的安全、稳定和高效运行的有力手段。
application(套用)、security(安全)、monitor(监测),合起来就是套用安全监测与异常流量分析系统(Topwalk-ASM)。
Topwalk-ASM採用旁路监听方式从网路中心节点採集流量信息,对网路设备和节点的流量信息和网路行为进行持续性统计和对比分析,快速发现流量和连线数的异常变化、网路行为中的异常访问操作和攻击操作,追蹤和审计异常网路行为,为管理员提供报警通知和处理功能,并通过联动对网路异常行为採取阻断等进一步处理。
Topwalk-ASM便于管理员了解网路运行状况、核心伺服器的访问情况、网路异常情况等,是网路规划、网路管理和安全运营等工作的重要工具。
基本介绍
- 中文名:套用安全监测与异常流量分析系统
- 外文名:Topwalk-ASM
- 类型:分析系统
- 对象:套用安全监测
什幺是套用安全监测系统
套用安全监测系统定义
ASM功能:
1). 全网流量统计与对比分析
持续统计并保存全网流量、最高流量、平均流量等。根据需要查看当前和历史统计数据。
2). 套用系统流量监测
针对关键套用系统进行流量重点监测。包括流量累计、流量阶跃、连线数、连线持续时间和访问数五大类监测项目。
3). 套用系统网路行为监测
针对关键套用系统进行网路行为重点监测。包括资料库操作行为监测和指定协定操作行为监测两大类。
4). 异常行为追蹤审计
针对可疑或异常的网路行为,系统对其进行解析、重现和记录,形成安全审计,供取证和备查。记录并重现资料库访问、邮件传送接收、档案传输以及WEB访问等网路行为。
5). 报警和处理
针对异常流量和异常网路行为,系统产生报警,并提供报警的审核、归类、处理和记录工具。紧急情况下的报警,系统通过邮件和简讯实时传送给管理员。
6). 网路攻击检测防範和联动处理
通过扩展入侵监测模组,系统可以根据策略库对网路上的数据模式和行为模式进行实时报警;通过与“基础信息库”和“终端管理系统”等联动处理,进行节点定位、连线阻断、控制可疑主机等高级功能。
传统的流量分析产品
Topwalk-ASM与当前市场上的流量分析产品不一样,主要区别在于Topwalk-ASM是专注套用安全的,而其他流量分析产品定位为网路安全。具体的区别如下:
a)採用的技术不一样,ASM採用的是连线埠镜像技术(SPAN),该技术可以收集网路上2-7层数据信息,而其他厂家採用的是netflow、netscream、sflow、snmp等技术採集信息,上述技术採集的多为2-4层信息,无法做套用层的分析,无法实现对业务安全的监测。
b)ASM关注的是业务系统的安全性问题,而其他产品关注的是网路上的安全问题,如网路中是否有DDOS攻击、FLOOD工具、P2P大量下载、蠕虫攻击等问题,关注点不一样导致产品的用途不一样。
c)ASM收集信息来源于三层交换机的镜像连线埠,而其他产品多数採集信息来自路由器设备,且需要支持专门的技术如(netflow),对网路设备有要求。相比之下,ASM有更好的适用性。
d)其他产品只分析数据包包头信息,很少对数据包的内容进行聚合分析,而ASM不仅分析包头,更能用先进的数据挖掘技术和协定分析技术对内容进行深入分析。
e)ASM产品关注的是业务对象,而不是其他流量产品的网路对象。通过特有的技术将网路对象和业务系统进行映射实现业务系统的定义和监控。
套用安全监测系统的典型套用
ASM应当挂接在所有关注流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网路区域的访问流量和需要进行统计、监视的网路报文。在交换式网路中的位置一般选择伺服器区域的交换机上或重点保护网段的区域网路交换机上。基本部署方式如下:
实际套用中,根据用户使用需求不同,ASM设备可部署于不同的节点位置:
l 如需对网路内部所有用户的外网访问行为以及伺服器的对外提供服务情况进行监控,可将ASM部署在网路出口处的防火墙设备镜像连线埠上,以此对所有网路出口流量进行监控分析;
l 如需对内部网路中套用系统的服务情况进行监控,可将ASM部署在伺服器区前端的交换机镜像连线埠上,对所有外部用户与伺服器之间的数据通信进行监控分析;
l 如需对内部网路所有用户以及伺服器的数据访问行为进行监控,可将ASM部署在内部网路核心交换机镜像连线埠上,实现对所有内外网网路通信的监控分析。
部署ASM后起到的作用有:
● 监测核心资源系统的频宽使用情况。通过ASM设备的流量识别,对套用系统的流量信息进行分类归併,使流量频宽使用情况一目了然。
● 通过对核心资源系统进行持续性访问统计和对比分析,描绘出核心资源系统的正常流量轮廓,快速发现流量异常变化情况。其中包括:各业务套用的流量细节;连线数、吞吐量、连线时间等按客户端节点排名情况;各业务套用系统的协定分布、节点分布、时间分布等。
● 通过对网路访问行为进行针对性监测,及时发现网路中的对核心资源库的异常访问和攻击行为,确保针对业务系统的网路使用和访问操作的合规性。如针对资料库操作、WEB访问、档案传输等行为进行检测。
● 追蹤和记录异常网路行为,提供报警处理、报表等功能,对异常事件进行深入分析。如异常数据操作的时间、节点位置、负责人等情况的追蹤和报警,当月套用系统的总体运行情况报告和健康状况评估报告等。
产品特点
1.高性能
具有海量事件处理和存储的能力。高端设备可实时处理1.4Gbps的流量,能够线上存储2.5T事件记录
2.节省IT投入
ASM能够实行7*24小时的实时监测,自动分析各种套用安全异常情况。通过该智慧型的功能减少了人员方面的投入,节省了IT的安全投入成本
3.低拥有成本
得益于对数据存储算法进行了充分最佳化,使用内置的小型资料库满足处理需求。用户在使用ASM时,无需购买额外的资料库管理系统和许可,也不必花费专门的精力去维护资料库,大大降低了用户的总拥有成本。
4.零风险部署
ASM可在不改变现有的网路体系结构(包括:路由器、防火墙、套用层负载均衡设备、套用伺服器等)的情况下快速部署,不影响现有的业务套用系统,无法造成单点故障,实现零风险部署。
5.完备的自身安全
物理保护:关键部件採用冗余配置(如:冗余电源、内置硬碟RAID等)。
系统故障保护:内置监测模组準实时地监测设备自身的健康状况。
不丢包:基于硬体加速的接口卡,在高速环境下实现100%数据包捕获。
6.全方位、细粒度监测分析
实时监测来自各个层面的所有网路行为,包括资料库操作、WEB操作、FTP操作、连线埠操作;提供对潜在危险活动(如:数据盗取、批量查询等)的快速检测分析;其中资料库可精细到表、栏位、记录内容的细粒度监测策略,实现对敏感信息的精细监控.
从安全隔离网闸、边界接入平台、到ASM都是为了提高用户的业务安全,保障业务系统高效、安全、稳定的运行。ASM继承网闸、接入平台产品积累的良好口碑,为各行业用户提供更好的套用服务。
