功能列表
架构功能
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 架构 | 是否支持横向扩展 | 支持 | 支持 | 根据流量情况,支持流量采集节点、分析节点横向扩展 |
| 架构 | 是否支持多级部署架构 | 支持 | 支持 | 流量采集节点、分析节点、服务管理节点、可视化界面多级部署 |
| 架构 | 是否支持离线策略/规则更新 | 支持 | 支持 | 1、包检测支持离线更新2、威胁情报支持离线更新 |
| 架构 | 是否支持代理服务器进行策略/规则更新 | 不支持 | 支持 | 1、包特征规则仅支持离线更新2、商业版中威胁情报特征规则支持在线更新 |
| 架构 | 是否支持IPv6 | 支持 | 支持 | |
| 架构 | 是否支持全流量存储 | 部分支持 | 部分支持 | 1、支持全流量会话日志留存;2、支持包匹配命中部分Pcap留存;3、不支持原始流量全量留存。 |
| 架构 | 是否具有沙箱模块 | 不支持 | 不支持 | 暂无沙箱 |
| 架构 | 是否具有威胁情报模块 | 支持 | 支持 | 1、集成自建威胁情报查询功能2、支持外部跳转VT查询威胁情报3、支持基于威胁情报的攻击检测 |
| 架构 | 是否支持软件部署? | 支持 | 支持 | 本系统是纯软件安装部署方式 |
性能指标
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 性能 | 支持流量的峰值大小 | - | - | 采集节点峰值为10Gbps |
| 性能 | 丢包率多少 | - | - | 在1Gbps平均流量下,丢包率%1 |
| 性能 | 在1Gbps平均流量下,全包存储时长? | - | - | 1. 不支持全包留存2. 全流量会话日志及相关特征占用存储资源约100GB/天 |
数据处理
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 数据 | 是否支持对流量的监测及可视化展示 | 部分支持 | 部分支持 | 1. 支持对指定目标流量的持续检测2. 只有正在研发的专业版支持对流量数据的可视化展示。 |
| 数据 | 是否支持加密流量检测 | 不支持 | 不支持 | |
| 数据 | 是否支持加载加密流量私钥 | 不支持 | 不支持 | |
| 数据 | 是否支持基于IP、端口、域名流量的筛选 | 部分支持 | 部分支持 | 探针支持BPF语法筛选IP、网段、端口流量,不支持筛选域名。 |
| 数据 | 是否支持PCAP包的导入导出 | 支持 | 支持 | 1. 后台支持手动导入、导出2. 界面不支持导入,仅支持特征PCAP包导出 |
| 数据 | 能否区分流量数据和离线PCAP包数据 | 不支持 | 不支持 | |
| 数据 | 是否支持基于IP、端口进行抓包 | 不支持 | 不支持 | |
| 数据 | 支持哪些协议解析 | - | - | 1. 完整解析支持HTTP、DNS、ICMP2. 非完整解析支持100+协议的识别 |
| 数据 | 是否支持针对未知协议(私有协议)的编写自定义解析规则 | 支持 | 支持 | 支持自定义插件形式 |
| 数据 | 是否支持原始数据包展示?如果支持,查询性能如何?(GB/秒) | 部分支持 | 部分支持 | 仅支持包特征命中的原始数据包。 |
| 数据 | 数据包留存,遇到存储空间不足时,如何处理?是否循环覆盖? | - | - | 存储空间超出阈值时,自动清理历史数据。 |
| 数据 | 保留原始数据包元信息有哪些 | - | - | 五元组、TCP flag、可解析的HTTP/DNS/ICMP协议信息 |
| 数据 | 是否支持通过RST包进行旁路阻断 | 不支持 | 不支持 | |
| 数据 | 内置多少特征检测规则? | 50+ | 1000+ | |
| 数据 | 内置多少威胁情报? | 40万+每月更新离线更新 | 40万+每日更新在线/离线更新 | 1、情报数据每日根据更新情况,提取高可信IOC用于识别威胁2、另外用于检索的在线情报信誉库数据规模如下:(1)域名:3千万+(2)IP:1千万+ |
可视化界面
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 可视化界面 | 是否支持多级安全运营管理视图,如安全技术人员、管理者、高层管理者。 | 支持 | 支持 | 1. 管理员:全部权限2. 分析员:配置权限中,仅有告警配置权限3. 观察员:无配置权限4. 支持限制数据资源。 |
| 可视化界面 | 是否支持安全态势概览?能够呈现哪些概览要素? | 部分支持 | 部分支持 | 暂无态势大屏,可根据需求定制 仅支持安全告警事件统计分布态势,呈现如下要素:1. 告警类型及数量2. 受害目标的TOP10攻击分布:告警类型、威胁源、受害资产组。3. 24h攻击时序变化4. 威胁源TOP55. 受害目标TOP56. 受害资产组TOP5 |
| 可视化界面 | 是否支持集中化展示告警威胁?是否支持时间范围查询 | 支持 | 支持 | |
| 可视化界面 | 能展示几元组信息?是否支持时间范围? | - | - | 五元组信息,支持时间范围查询。 |
| 可视化界面 | 能否支持自定义增加元组信息? | 不支持 | 不支持 | |
| 可视化界面 | 是否支持高亮标注数据包内的攻击信息 | 不支持 | 支持 | |
| 可视化界面 | 是否支持将告警映射到ATT&CK并可视化呈现 | 不支持 | 支持 | 商业2.0版支持,还在内测中。 |
| 可视化界面 | 是否支持溯源分析可视化 | 不支持 | 支持 | |
| 可视化界面 | 是否支持可视化关联分析?基于某个告警下钻出哪些信息?下钻几维?可视化承载下钻内容的最大渲染量是多少? | 不支持 | 不支持 | 正在研发的专业版,支持关于IP、端口等通讯关系的关联分析。在通过关系维度,不限制下钻层数。最大渲染量1000个元素。 |
| 可视化界面 | 是否内置安全大屏?能否自定义修改? | 不支持 | 可定制 | 大屏一般根据实际需求进行定制 |
| 可视化界面 | 是否支持黑客画像可视化 | 不支持 | 可定制 | 有相关数据,商业版可集成定制 |
| 可视化界面 | 是否支持将可视化视图以pdf、jpg等格式导出 | 支持 | 支持 | 1、支持导出报告pdf2、支持图表导出 |
| 可视化界面 | 是否支持以资产重要程度视角展示攻击威胁 | 不支持 | 不支持 | 平台资产功能主要以识别、梳理、打标签为主,无资产分级、资产管理功能,可通过API将识别结果接入资产管理平台 |
| 可视化界面 | 是否支持网络资产梳理和可视化呈现 | 不支持 | 支持 | 商业版提供被动资产测绘功能 |
| 可视化界面 | 是否支持针对恶意木马病毒的沙箱结果可视化呈现 | 不支持 | 不支持 | 暂不支持沙箱模块 |
| 可视化界面 | 是否支持可视化呈现系统配置、系统操作审计等功能 | 部分支持 | 部分支持 | 支持可视化系统配置;暂无操作审计 |
| 可视化界面 | 是否支持自定义系统名称、logo和载入界面 | 不支持 | 不支持 | OEM可定制替换相关信息 |
相关功能
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 相关功能 | 是否支持第三方威胁情报接入 | 不支持 | 不支持 | 暂不支持,商业版支持定制化 |
| 相关功能 | 是否支持对接企业的信息资产管理系统 | 不支持 | 不支持 | 暂不支持,商业版支持定制化 |
| 相关功能 | 是否支持告警日志syslog导出?自定义格式? | 部分支持 | 部分支持 | 1、界面支持导出数据到文件,支持导出字段选择。2、支持导出事件报告3. 支持告警日志推送到syslog,遵循syslog日志格式,不支持自定义格式 |
| 相关功能 | 是否支持流量原始日志syslog导出?自定义格式? | 不支持 | 不支持 | 1、支持以Netflow格式导出流量原始日志2、不支持syslog |
| 相关功能 | 是否支持国密算法 | 不支持 | 不支持 | 仅用户密码涉及加密,可支持国密改造 |
| 相关功能 | 是否支持使用加密协议进行设备登录管理和通讯 | 支持 | 支持 | 支持https |
| 相关功能 | 是否支持NTP同步 | 支持 | 支持 | |
| 相关功能 | 是否支持多用户同时登录使用 | 支持 | 支持 | |
| 相关功能 | 是否支持离线版本升级、代理模式版本升级、云端更新升级? | 仅支持离线升级 | 支持离线升级 | |
| 相关功能 | 是否支持云查杀联动 | 不支持 | 不支持 | |
| 相关功能 | 是否支持检测黑白名单 | 支持 | 支持 |
沙箱功能
| 类别 | 详细类别 | 开源版 | 商业版 | 说明 |
|---|---|---|---|---|
| 沙箱 | 沙箱检测功能 | 无 | 无 |
大纲