2022年网络取证系统建设方案 .pdf

《2022年网络取证系统建设方案 .pdf》由会员分享，可在线阅读，更多相关《2022年网络取证系统建设方案 .pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络取证系统方案一、网络安全威胁概述随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级别的增长：而且黑客仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏；加之威胁的工具化、实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。一般情况下，网络面临的威胁可以分为三类：1对网络自身与应用系统进行破坏的威胁这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP 欺骗、 DDoS 攻击、蠕虫等均属于此类威胁。例如DoS 攻击，虽然不破坏网络内部的数据，但阻

2、塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。2利用网络进行非法活动的威胁此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益的目的。这类威胁有盗号木马、SQL 注入、垃圾邮件、恶意插件等。如通过盗号木马这个工具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。3网络资源滥用的威胁此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为，包括大量 P2P 下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行

3、为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公司或单位造成了间接损失。这些行为都属于网络资源滥用。目前应对这些威胁的手段虽然有很多，IDSIPS 、漏洞扫描、防火墙、日志聚合系统、网络异常行为检测和签名匹配技术等等，但都存在不同程度的局限性。比如漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索的，无法应对复杂和定制攻击的出现；日志分析因数量巨大而变得非常困难并且单调乏味；而IDSIPS 、防火墙和内容监视等手段则很容易为黑客所逃避。因此传统的安全和网络技术一直无法很好地解决一

4、系列涉及商业和技术价值的问题。二、 网络取证系统介绍网络取证系统提供了一个全新的网络应用数据分析方案。它是业界第一款可以记录网络上每件事情的安全监视系统，并可以反复并行使用分析来解决很多单位面临的一些最具挑战性的问题，如：内部人员对敏感数据的威胁、各种原因导致的数据泄漏、恶意软件行为、 网络设置错误、资产滥用、 网络异常、 网络入侵分析、 网络数据审计、 法律法规要求达标和网络电子发现（network e-discovery）。网络取证系统经历了超过10 年的创新研究与开发，针对网络流量监视和分析提供专利系统和方法。与现有的安全和网络分析构架技术有着极大的不同，网络取证系统是全新设计的产名师资

5、料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 12 页 - - - - - - - - - 品，用于即时分析、建模并极为详细地发掘所有网络流量，而不仅是简单地监视。该产品还提供全面的分布式网络监测架构，可确保您的用户的个人识别信息、知识产权和其他敏感数据受到保护，避免意外或有意的泄漏。以全新的视角审视您的网络借助于突破性的用户界面和无比的分析能力，网络取证系统可以使您以全新的方式监视和实时分析您的网络流量。传统的协议分析工具是以数据包的时序显示网络的流量，此时分析网络应用数据

6、和恶意的网络行为通常是非常困难和容易混乱的，尤其是在分析网络数据的前后关系上，网络取证系统在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。使用传统的协议分析仪进行数据包级的分析是识别和诊断网络安全问题的常用手段。但在银行保险、政府机构、军方、电信、跨国企业等通信数据量庞大的机构中，面对采集到的几十亿数据包，使用协议分析仪从中发现潜在的威胁行为似乎很难实现。而漏洞扫描或基于签名的安全手段都是依赖已知的特征或模式去发现搜索，而不能从网络异常应用流量的角度来感知网络的潜在威胁。但问题是网络上大部分的新威胁或新型的攻击都非常狡猾，对网络管理者和安全分析人员来讲是根本“看不见的”。

7、网络取证系统可以让您看到以前看不见的东西。它会记录全部网络上的流量，将数十亿的数据包转换成上千个会话并形成高速的元数据索引，让您直接迅速地看到在应用层发生的事情：哪些黑客躲避了IDS、防火墙、 NBAD 系统和签名匹配技术的检测进入了公司网络？哪个邮箱发出的email 附件中含有公司客户的名单，并发给了竞争对手？谁在使用聊天软件向媒体泄漏了哪些敏感信息？我们的网络是否符合Sarbanes-Oxley（塞班斯法案）的要求？我发现我们的网络中有多台PC 好像被外网的一个IP 地址控制了,网络取证系统对网络应用或行为的分析，使您不会再因为“看不见”而不知道网络在遭受黑客的破坏攻击，也不会因为“看不见

8、”而不知道有内部人员泄漏公司的机密。网络取证系统更适于广泛的业务需求。这种转变更为全面、更易于管理， 并且更好地关联了网络行为的前后关系。与众不同产品设计对于众多安全产品厂商而言，传统的安全和网络技术一直未能解决一些列涉及商业和技术价值的问题。 安全问题、威胁分析、事件响应、风险分析和依从性问题都迫使用户远离传统的网络监视解决方案。 因为更为复杂和定制攻击的出现意味着传统基于签名的安全工具不一定能够帮助发现并修复安全问题，日志分析也很困难并且单调乏味。而网络取证系统正是设计用来应对上述挑战的。它也可以帮助各种技术水平的人员从捕捉的流量中识别问题并快速分析多种高级的网络威胁。整体的索引和体系化以

9、及网络元数据的实时同步，深入至网络会话的前后关系和内容的分析等使我们的技术可以解决复杂的问题，而这些问题正是现有的网络性能监视、内容监视和过滤、基于签名的系统或日志聚合技术所无法解决的。网络取证系统解决方案提供最大的灵活性来适应技术、要求和策略的变化。简单易用的界面名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 12 页 - - - - - - - - - 网络取证系统图形化的用户界面，直观而易于操作。 所有网络行为都以报告 （如地址、E-mail地址、 文件等） 的形式

10、展现，并关联了相关的会话数量。分析人员可以直接选取所关注的网络行为， 用鼠标点击相应链接即可了解相应的会话过程和内容。网络取证系统采用深入 （drill-down）分析方式逐步引导您发现网络安全问题。结合网络取证系统所产生的丰富元数据，报告功能所提供的洞察行为的能力是其他众多网络监视技术所无法提供的。这种详细的网络原始信息第一次变成交互式的并且完全用于整个报告和实时图表。网络取证系统强大的报告能力并非夸张，每一条元数据都可使用在任意组合中，可以报告、报警、随时间绘图并实时呈现。这包括威胁情报的反馈、特定HTTP下载或输入、明文认证、非标准端口使用、用户行为、应用或加密配置文件、或P2P应用，所

11、有这些都可通过简单的点击直接访问全部内容。无论是初学者还是专家级用户都可以轻松使用网络取证系统并配合解码器和集中器选件组合成分布是高速存储和分析系统，可实现几个T、甚至上百个T 字节的网络数据分析并实时深入到网络会话的前后关系和内容，使曾经花费几天时间完成的网络威胁分析，现在只要几分钟。丰富和详细的元数据网络取证系统的核心是“元数据流”引擎，这种专利技术可以从网络流量中萃取会话应用和内容描述符， 并以一种共同语言来跨越每种应用，标准化所有网络实体行为。因此对协议知识的要求不再成为使用网络取证系统产品的障碍。网络取证系统的元数据是网络记录架构的技术基础，能提供每个可能的网络事件（内部、外部、恶意

12、的和非恶意的）的洞察力和详细行为的情况。比如：网络流量类型的技术可提供网络层事件信息，如：IP 地址、端口等。网络取证系统不仅提供这类信息，而且提供应用层数据，如：email 地址、用户名、文件名和密码，甚至全部重组的内容。开放的应用程序开发包网络取证系统使用称为“剖析器”的分析程序搜索检查所有会话并产生元数据。例如针对一个标准的FTP 会话， FTP 剖析器将产生“ login name 、password”及文件操作的“ get 、put或 delete ”等元数据。网络取证系统除了随机提供标准的45 个剖析器外，还提供给用户若干个可自定义的专用剖析器。地址剖析器可捕获IP 地址并转换成实

13、际的地理位置并可通过Google Earth 显示。搜索剖析器可以在重组会话的有效载荷中搜索定义的关键词或规则表达式并产生报警信息。自定义剖析器是网络取证系统交给用户的最为强大的应用程序开发分析包，是“元数据流”引擎的关键部件。拥有了这个开发工具，任何用户都可以通过XML 语言动态配置如何识别新的应用以及提取什么数据用于分析。这使网络取证系统用户可以立即定制和扩展其分析能力。这种处理的灵活性对于承载繁重应用的网络、私有协议和无法被一般的入侵检测系统所探测的威胁至关重要。灵活的规则过滤和警报网络取证系统提供了网络层和应用层规则，为获取特定数据而创建灵活多样的过滤器。通过保留、过滤或标记，网络取证

14、系统可以识别符合特定多个特征或与特定地点或文件名相关联的所有会话并产生必要的报警。您可以迅速发现网络中是否存在异常应用；是否有可疑的后门控制端在操控您网络中的设备；及时发现公司下载了多少种恶意软件；或核查员工的行为是否属于被禁止的范畴。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 12 页 - - - - - - - - - 支持威胁信息的导入利用外部的或第三方提供的、基于 IP 地址的实时情报，来实时更新网络取证系统的规则或剖析器，随时应对不断变化的威胁，做到动态地防

15、范安全风险。可靠的并可升级的捕捉架构针对分布式网络环境，网络取证系统可灵活组合，实现跨越任何环境的统一架构。网络取证系统的核心是多个高速处理的服务器产品，即由“解码器”和“集中器”建立的“一次记录/多次重新使用” 的分布式数据包捕捉结构。系统中的网络应用数据分析仪和报告通知器可以查询和请求网络数据，进行交互式地威胁分析并对实时事件、威胁、异常、配置混乱、违背法律法规和其他恶意或无意行为产生定制报告。这种分布式系统适合银行保险、政府机构、 安全防范、 军队、电信、跨国企业等这些高带宽、大数据通信量的行业的安全防范和攻击取证。三、 网络取证系统用途是一种全新的网络应用数据分析系统，它完全不同于任何

16、以往的网络分析手段，它以立体的、关联的角度分析网络异常行为，包括病毒、木马、后门程序、黑客入侵、数据泄漏等。不但可以极快地发现已知的网络威胁，而且还可以分析未知的安全威胁，是网络安全领域必备的新工具。1. 政策和法规遵从报告遵从政策和法规的要求需要有可靠的数据管理、风险控制和合规审查（GRC ）的管理手段。在公共部门，没有遵从OMB（美国行政管理和预算局）和NIST（美国国家标准和技术委员会）的要求可能导致预算分配的延误，甚至缩减。在商业部门，没有遵从塞班斯法案、支付卡行业标准(PCI) 、各种州政府颁布的法案（如 California SB-1386 ） 、格雷姆 -里奇 -比雷利法案（Gr

17、amm-Leach Bliley Act，也称1999 年金融服务现代化法案） 、健康保险便利和责任法案（HIPAA ）都可引起从判决同意及罚款，到诉讼及股东价值重大损失等多种问题。跨越这些政策和法规要求的共同关键要素是各机构的需求，即确保在可预计范围内以及在可接受的风险和遵从期望值内，能够实施控制。虽然现在众多的安全产品都宣称提供针对GRC 问题的解决方案，但依照2007 年 5 月Gartner 的报告，目前还没有针对数据管理全面的技术解决方案，而且没有IT 厂商能够证明其适当的技术控制方案已经面世。依据Gartner 的观点， IT 界真正的管理、风险控制和合规审查的厂商将推动“管理、测

18、量、监视、自动化和IT 控制报告”的发展。网络取证系统采用与大多数安全厂商所不同的方法来解决管理、风险控制和合规审查问题。目前多数安全厂商正努力实现特定的控制设备，例如，依照 FIPS 200 或 OMB M-06-15等公共要求，或者PCI 标准或 Sarbanes-Oxley 等私营部门法令，而网络取证系统提供的架构则是针对监测全部网络通信，可跨越所有应用协议来测量控制的效果、在运行的前后关系中监控使用控制，并可报告企业范围内网络通信控制目标的合规情况。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

19、 - - - - 第 4 页，共 12 页 - - - - - - - - - 通过记录关键的网络点并分析网络上发生了什么事情，可以提供了所有政策（法规标准或内部规章） 管理的知识。 借助应用分析器您可以完成网络流量内容的深入分析。而报告通知器可以利用同样的索引数据自动地产生安全报告和警报。报告和警报的类型多种多样，包括加密、 FISM、 HIPPA、PII、Sarbanes Oxley 等。使用网络取证系统捕捉到的一些违规行为的列表，如：合作伙伴间的Email 往来没有使用TLS （Transport Layer Security ）明文 FTP 不使用 SSL/FTP 或 SSH/FTP

20、能够检查可以明文传送但却使用PGP 或 S/MIME 加密有效载荷的FTP 或 Email 通信针对 SMB、NetBIOS 、SMTP、IMAP4 、POP3、FTP、Telnet、HTTP 的任何明文密码改变控制审计重组Telnet 和 TFTP 会话没有加密的公司即时消息客户的个人识别或账号信息发生非授权传递。例如使用NetWitness NextGen Investigator 的内容搜索功能可识别这些业务。2.检查数据库安全由于多数规模较大的企业依赖数据库实现电子商务的动态内容查询以及内部数据和客户数据的记录保存，因此为防止安全侵害/违规，主动和持续地监测与数据库有关的网络行为变得非

21、常重要。网络取证系统建立了一套详细的、独立于数据库程序命令和调用的记录，直接关联数据库的行为给用户。的应用分析器可以恢复特定的网络数据库调用用于分析名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 12 页 - - - - - - - - - 的报告通知器可以预先定义报告来跟踪数据库行为3.内容泄漏和内部调查为了管理规范商业、金融服务公司每个工作日在网络上传输大量敏感数据。但更进一步的是网络上传输的这些GB 或 TB 的数据，如果有任何以下方式的泄漏，现有的这些机构中的安全

22、管理人员如何能知道。非授权传输客户的个人识别或账号信息因第三方而使敏感账户信息偷偷泄漏出网络内部人员共享M&A 业务或 SEC 将公司信息泄漏给竞争公司或新闻界恢复关键的个人信息共享给竞争者不恰当、危险的或与敌对方的通信违法行为或不恰当使用公司资源数据泄漏保护（DLP）和内容管理（ CMF ）产品的厂商已经很多了，但他们真正为您所做的却非常有限。按照市场研究公司Forrester 的统计，有85%使用内容过滤技术的单位，因所关心的问题比如误报无法解决，以及担心合法的业务流量被过度复杂或过于简化的过滤器所中断而没有实施成分过滤技术。这些产品中嵌入的内容回顾技术会因其系统严格限定的协议分析数量而受

23、到阻碍，而产品如果有缺陷，内部或外部的敌人将使用标准的业务通信方法，比如 Web、email 和聊天软件等作为主要工具将数据泄漏出网络。绕过这些控制非常简单，甚至对用户而言仅是简单的技术培训。如果您关心保护公司数据和防止数据泄漏，唯一可信的方法是通过捕捉所有网络流量并在应用层重建网络会话来实现自动报警和监视、交互式分析和回顾，防止数据离开网络。使用应用分析器完成敏感数据的FTP 重建名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 12 页 - - - - - - - -

24、- 4.事件响应 & 恶意软件探测虽然在事件响应中基于签名的方法扮演了重要的角色，但在漏洞检测中却有局限性，因为它们是依赖于已知模式的发现。尽管网络攻击在网络流量上很明显，但其中多数都可以躲避 IDS 和统计学上的异常行为检测（NBAD ）系统所用的模式和签名匹配技术。一旦进入网络内部，恶意代码会自由转化成程序代码，非常近似于您单位中所用的正常应用，如DNS、SNMP、HTTP 、或微软、 Yahoo 和 Google 的私有协议。最终结果是您的事件响应小组可能会视而不见非常严重的恶意行为并致信息泄漏。网络取证系统在事件响应处理中扮演了重要的角色：网络取证系统可以最终回答那些不确定的问题，告知

25、网络真正发生了什么事情。当事件响应小组收到有关网络问题的报警时，他/她可以快速、容易地使用应用分析器可直接访问与所发生事件相关联的实际网络流量，调查网络和应用层事件的内容和前后关系，缩短解决问题的时间并给出确定的答案。是什么流量触发了签名？目标系统如何响应且是否危及安全？其他系统受到什么牵连？什么技术企图跨越签名而被触发报警并且已经探查了其他哪些系统的信息？超出您目前的安全投资所能提供的保障，报告通知器是一款可以自动产生报告和报警的应用程序， 特别适合分析各种黑客和与恶意软件有关的网络流量，而对于这些问题IDS和目前其他基于网络的对策是不可见的，比如低流量且慢速的攻击、信标流量、缓冲器溢出攻击

26、以及很多基于协议（如IRC 、DNS 、P2P隧道流量等）的应用层攻击。四、网络取证系统示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 12 页 - - - - - - - - - 网络取证系统示意图网络取证系统部署示意图解码器集中器应用分析器报告通知器数据源上海广州解码器解码器解码器解码器解码器解码器集中器解码器集中器集中器集中器集中器解码器应用分析器报告通知器报告通知器应用分析器Internet 北京总部分支办公室分支办公室分支办公室分支办公室数据中心名师资料总

27、结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 12 页 - - - - - - - - - 五、网络取证系统各部分功能介绍1.解码器解码器是网络取证系统架构的基础，也是企业级网络数据记录解决方案的关键部分。解码器是一个实时的、可分布的、可配置的64 位 Linux 网络流量捕捉硬件设备，使用户能以无限的规模采集、 过滤和分析全部网络流量。不同于市场是其他网络记录和监视产品，解码器可以在每一层完全重组并统一格式化流量以进行完整的会话分析。这种专利的解码器是网络流量监视上的突破，它跨

28、越了所有协议分层和应用，动态建立了全面的数据分类方法。解码器能以千兆线速注入并缓存数据包，然后传递给处理引擎。通过利用开放源代码的软件、驱动优化以及利用更新计算机平台的多核处理器等方法加速数据的存储。捕捉之后， 解码器会预处理全部数据包搞清数据的含义。然而，它不是传统数据包分析，也不仅是流技术（数据包头） 或网络层统计监视。解码器集中处理应用层信息，使网络监视适合更为广阔的商业需求。它处理会话而不仅仅是数据包。这种转变更为完全、更易于管理并更加围绕网络行为的相互关系。比如， 平均每天， 一个链路可能会每秒处理90000 个数据包，而通过解码器可以转换成每秒 7000 个会话。这种数据量的减少正

29、是相对数据包而言以会话查看网络行为最为吸引人的原因。解码器的处理包括三个阶段：数据包重组 是将数据包重组成会话、进行全部数据流评估的过程，同时消除了数据包检查方法的分析缺陷。浏览会话的有效载荷为当今威胁和网络挑战提供了全景画卷。应用分析 通过灵活的分析模块使任何人都可定义的解码器如何处理、分类和组织网络流量。分析可以最终识别会话服务类型，并定义针对所存储的数据提取什么样的元数据，此外还有全部数据包的内容。自定义剖析器允许应用分析器操作者以XML语言配置系统如何识别应用和提出什么数据用于分析。系统的用户可以随时定制和扩展的解码器处理和建模的行为。 这种处理的灵活性对伊承载繁重应用的网络、私有协议

30、和无法被一般的入侵检测系统所探测的威胁至关重要。内容提取 是基于剖析器的指令。元数据与全部会话内容被提取出来并存储。元数据被构建成一种共同的语言，它跨越了各种应用标准化所有网络实体行为。应用分析器的元数据与其本身的全包存储相结合，提供的网络记录架构可以提供每个网络事件的洞察能力和行为细节，包括内部、外部、恶意或善意。2.集中器网络取证系统的集中器是一个基于Linux 的网络硬件设备，它可以跨越多个网络数据捕捉地点合并全面的网络和应用层细节。为使网络监视解决方案变得有效，需要跨越所有捕捉地点进行同步。 一个点的捕捉解决方案是不充分的并且局限了分析效力。一批基础系统缺乏多数企业所要求的实时前后关联

31、功能。的集中器有能力汇聚元数据为逻辑视图并提供全球的可视性和分析。 这种能够跨越海量的网络流量产生全球化报告并作出事件响应的能力，是先前的任何网络技术所无法做到的。另一方面， 集中器还扮演着创建索引的角色，这是提供快速访问海量存储数据的基础。数据库技术的挑战主要集中在如何快速装入海量数据并能立即读取上。这两个概念是相互矛盾的。系统具有私有的数据库系统来管理其数据并使网络会话索引达到了极高的性能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 12 页 - - - - -

32、- - - - 3.应用分析器的 应 用 分 析 器是基于 Windows 的应用软件， 针对 网络取证架构捕捉和重组的原始数据， 提供快速、高效的自由形态的前后关联分析。应用分析器可以让您以全新的 方 式 审 视 您 的 网络。不同于一些产品以使人混乱的网络专门用语显示网络流量的前后关系，应用数据分析器在会话重组过程中使用名词、动词和形容词等词汇解析实际应用层协议的特征。无论是初学者还是专家级用户都可以轻松使用网络应用数据分析器， 处理几个 T、甚至上百个T 字节的网络流量，实时深入到网络会话的前后关系和内容中，使曾经需要花费几天时间完成的网络威胁分析，现在只要几分钟。网络应用分析系统除了内

33、嵌了标准的45 个剖析器外，同时还提供给用户若干个可自定义的专用剖析器。其中地址剖析器可捕获IP 地址并转换成实际的地理位置并可通过Google Earth 显示。搜索剖析器可以在重组会话的有效载荷中搜索定义的关键词或规则表达式并产生报警信息。 而自定义剖析器是网络应用分析系统交给用户的最为强大的应用工具，是“元数据流”引擎的关键部件。拥有了这个工具，任何用户都可以通过XML 语言动态配置如何识别新的应用以及提取什么数据用于分析。这使网络应用分析系统的用户可以立即定制和扩展其分析能力。这种处理的灵活性对于承载繁重应用的网络、私有协议和无法被一般的入侵检测系统所探测的威胁至关重要。4.报告通知器

34、的报告通知器是一款革命性的网络报告和报警软件。 它超越了市场上传统的网络报告和报警产品，因为它不仅仅简单地依赖日志文件、 netflow （网络流） 或其他有限的数据集产生报告。 报告通知器使用系统捕捉和重组的全面的网络流量，来提供针对网络上的事件、威胁、异常、混乱配置、违反法律法规要求以及其他恶意的或善意行为的实时浏览。报告通知器是一款全交互式的、直观的、基于web 的报告引擎，其结构特点可以使任何水平的用户不借助专家程序或外部帮助即可创建想要的报告。这种详细的信息是交互式的并且在报告和实时图表中随时可用。每一条元数据都可任意组合，用于报告、报警、随时间绘图并实时呈现。包括威胁情报的反馈、特

35、定HTTP下载或输入、明文认证、非标准端口使用、用户行为、应用或加密配置文件、或P2P应用，所有这些都可通名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 12 页 - - - - - - - - - 过简单的点击直接访问全部内容。六、方案配置基础的系统配置一般是由至少4 台高性能硬件服务器和专用应用软件组成的分布式系统，完全实施前期的资金投入较大。考虑到客户的具体需求、预算费用、应用条件和扩充计划后，我们推荐客户一期的系统启动可以采用如下配置：1.系统配置说明a)带索引

36、功能的100M 解码器网络取证系统的解码器是网络数据的采集器，一般放置在网络对外的出口处，捕捉进出网络的所有数据，并进行存储和数据的预处理。通常情况下， 为提高整个网络取证系统数据分析的实时性，解码器预处理后提取的元数据需要通过集中器进行汇聚（当解码器分布部署， 数量超过一个时） 并建立高速索引系统后，后续的应用分析器和报告通知器才能在此索引的基础上进行关联分析处理、搜索查询和报警等操作。而上述配置中我们用一台带有创建索引功能的100M 解码器替代标准100M 解码器 +集中器的方案，一方面可以大幅降低采购费用并实现与基础配置方案基本相同的分析功能，另一方面则不影响未来的系统扩展性。由于解码器

37、首先要保证的是数据的采集、存储、预处理、 元数据提取等工作的性能， 而此索引的创建需要在解码器空闲的时候进行，因此当采集的数据量较大时，索引的创建会滞后，后续分析的实时性能会有所下降。b)应用分析器网络取证系统的应用分析器是基于Windows 的软件包， 负责对从索引过来的数据进行关联性分析。 为提供分析的速度，应用分析器应安装在一个高性能服务器上。通过网络与解码器100M 连接即可。c)提供数据源的方式根据用户提出的数据源数量较多，且极为分散的特点，如果采用在每个数据源处均放置一个解码器进行数据采集的方案，会因为硬件投资过大而变得不现实。因此我们建议采用方案示意图中给出的两种数据源的提供方式

38、，将数据引入到解码器。带索引功能的100M 解码器应用分析器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 12 页 - - - - - - - - - 方式一：交换机镜像在智能交换机上一般都具有端口镜像功能，可以将被监测的端口流量（发送、 接收或双向） 拷贝至镜像端口，供分析设备采集流量数据。因此如果用户的数据源虽然较多，但相对集中在某地 （如服务商的数据机房）时，可以采用此种方式，在交换机上进行相应设置，将多个低带宽端口 （如 2M、4M 、 8M 或 10M）的流

39、量合并镜像至一个100M 或 1000M镜像端口上，再引入给解码器。方式二：汇聚TAP 方式在线汇聚TAP（分路器）是一种有源（适用于双绞线连接）或无源（适用于光纤连接）硬件设备， 可以串接入两个连接设备之间，取得发送和接收线对的数据并汇聚成完整的全双工流量， 提供给数据采集设备。由于数据输出端采用旁路设计，不会因为断电或自身原因中断被测链路的正常通信。如果用户数据源较多，可以使用多级汇聚的方式，将多个低带宽端口（如2M、4M 、8M 或 10M ）的流量汇聚至一个100M 或 1000M 的 TAP 上输出给解码器。交换机去路由器镜像端口连接解码器交换机路由器连接解码器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 12 页 - - - - - - - - -