全流量分析_网络流量监测_新一代NDR产品_斗象智能安全-PRS-NTA安全计算分析平台

产品亮点

大数据存算架构、PB级元数据存储与秒级检索

PRS-NTA Ent版采用“流量采集探针+大数据计算集群”部署模式，数据处理和计算组件均采用高可用架构设计，具备百G以上大规模网络流量处理需求下的主机节点平滑扩展能力；支持百万级EPS数据存储，帮助用户实现高性能、低开销、低成本的原始数据完整留存需求；基于高速全文索引技术，满足PB级数据量级下的秒级检索，不仅可以实现无延迟的实时安全检测，还可以高效完成非实时性的跨周期深度调查和溯源取证工作。

全流量实时采集、全协议字段日志解析

基于多NUMA包处理分析框架，实时对网络双向通信报文全文会话级采集、解析和存储，性能达到100Gbps；支持包括全量HTTP日志、DNS查询日志、MySQL操作日志、登录日志、邮件日志等50多种协议日志数据，日志具备结构化、轻量化、可机读等特性，更适合安全检测、调查分析和合规要求。

开箱即用的安全模型、主流业务场景全覆盖

平台拥有灵活的计算引擎管理、场景构建能力。提供网络建联行为分析模型，优化企业ACL策略，提升安全防护能力；提供URL基线检测模型，解决企业专线环境中业务系统接口非法使用的问题。

自定义扩展安全模型、用户可自主建模

支持自定义扩展安全模型，丰富数据挖掘安全分析场景。可基于数据湖进行自定义建模分析，以SMAI-模型运营平台为基座，实现数据集选取、特征工程、算法选择、模型运行管理等功能。

灵活的威胁狩猎工具箱

支持以数据图谱描绘TCP/ICMP/HTTP协议的访问关系和成分占比情况，发现异常攻击活动；支持通过调查画布方式对IOC信标进行探索分析，以便回溯攻击关系；支持PCAP包数据进行重放分析并产生风险事件评估；支持网络会话进行在线分析，了解攻击上下文细节。

网络文件还原&沙箱分析

针对网络中传输的文件进行提取，还原文件及文件元信息，并以时序进行滚动留存，支持用户查询及下载查看；可灵活对接斗象MAC（恶意软件分析）平台，对文件进行安全检测分析。

技术优势

高性能流量采集技术

自研高性能网络深度包解析技术，基于应用场景的轮询与中断处理机制、多核多线程编程等技术，解决了传统网络设备驱动包处理技术面临的频繁的硬件中断请求问题、内存拷贝耗时长、上下文切换开销大等问题，进一步提升至100Gbps流量解析处理性能。

海量全协议日志存储与检索技术，对历史数据低开销存储&长周期回溯

自研高性能存储架构，对PCAP数据进行块状压缩存储，通过会话标记、文件偏移量计算等方式实现PCAP数据微秒级的快速解压读取；自研高级分析语法和安全算子应用至数据湖，有效解决了PB级数据下的快速检索和EDA数据分析的性能瓶颈。

弹性集群水平扩容，无限储存扩展，极速穿透PCAP扫描

可进行水平扩容，数据存储时长满足6个月合规要求，支撑3000多亿条数据存储和计算。对海量全包存储数据进行极速穿透扫描，精准锁定关键信息，大幅提升全包回溯、安全监控与故障排查效率。

历史流量日志，打造安全模型工厂

利用数据湖储存的全流量协议日志，构建分析模型，进行样本数据训练，为AI的检测提供丰富数据支持。

实战攻防专家与AI专家，确保检测规则库、签名库、情报库，模型库的及时性和准确性

综合应用机器学习、统计分析、图计算等技术，联合使用多种检测方法，将安全场景分析、样本构建、数据分析、特征工程、模型训练、模型预测与优化等多个阶段进行相互协作，支持插入第三方威胁情报库。

APT安全威胁检测，多场景数据安全分析

面临日益变化的攻击手段，传统的检测手段已经无法满足企业的安全需求。PRS系统融合多种安全检测与智能分析技术，实现传统入侵检测准以识别的高级威胁攻击检测，如隐蔽隧道通信行为、低频探活行为、邮件钓鱼行为、内网异常行为、数据安全风险等；通过引入机器学习与大数据技术，通过对历史数据进行分析建模，根据多样化的数据样本不断地进行模型学习与优化，帮助企业实现未知威胁的高效识别与预防。

网络流量资产识别，异常行为敏感字段、流动风险监测

资产是企业安全的核心，能否第一时间获取到企业资产信息变更动态，是企业安全运维的一大难题。PRS通过主被动手段联合第三方平台对企业资产进行全方位梳理，帮助企业建立资产全生命周期的可视化管理，企业可通过可视化实时查看资产的所有动态，第一时间获取资产不同时间段的所有动态；能够实现敏感字段(包括身份证、银行卡等信息)和流动风险的监测。