模块介绍

SiCAP-流量分析，通过采集、存储和分析全量网络流量，并结合SiCAP的其他功能模块，基于回溯分析数据包特征、异常访问行为、异常网络行为及关联分析，鉴别异常访问行为，识别漏洞、木马、APT攻击等已知和未知的安全威胁行为，具备多维的数据分析及深度挖掘能力，提供端到端的全流量行为、性能的可视化分析能力，帮助用户从海量数据中聚焦真正的安全风险，有效降低风险影响，助力用户建立可视、可控、性能优化的自适应网络安全架构。

功能介绍

• 全流量采集与解析

  支持网络数据包、Netflow流数据等多种数据源流量实时采集；支持TCP/IP、HTTP、ICMP、SSL等上千种网络协议识别与实时解码，可提取网络元数据进行分析。
• 全流量回溯与统计

  提供原始全流量数据完整记录，可实现完整的攻击溯源、取证分析，在责任界定时提供真实可靠的证据依据；支持全流量数据的实时统计与分析，可视化展示流量大小、丢包率、重传率、网络延时、链路堵塞等网络质量情况。
• 流量预测

  基于历史流量数据，形成流量基线，预测流量趋势，对超出预测趋势的情况进行异常事件提醒，同时可运用智能算法进行多维主因分析，分析异常原因。
• 异常流量分析与告警

  异常访问行为分析，可分析网络访问行为，输出会话级指标，对比行为基线，发现异常访问行为。
• 威胁性分析，可通过深度分析流量行为特征以及网络指标，与异常行为模型进行对比，及时发现网络中存在的威胁行为。
  关联分析，可与SiCAP平台的各类安全事件进行关联分析，辅助定位根因，缩减影响范围。
  风险告警，支持客户端、邮件、短信、微信多种告警方式，确保异常事件及时响应。
• 流量应用与可视化展示

  基于流量数据，可进行广泛的应用，包括：形成网络流量拓扑、自动发现IT资产、自动发现资产协议等。
  可视化展示，多维度数据以各类图标样式进行丰富多样的可视化展现，方便进行数据分析。