全流量威胁溯源系统简介

天融信全流量威胁溯源系统TopTTT是一款高性能的，对全量流量进行采集存储和解析检索的软硬件一体化平台。产品提供全流量的数据留存、会话分析、协议解析、通联分析、统计分析等功能。在捕获流量的同时，对数据报文进行深度解析，将解析结果与流量数据关联存储，为后续检索分析提供数据支撑。

产品优势

全流量留存-滴水不漏

具备数据全流量存储的能力，7*24小时实时抓取流量，将所有数据以PCAP文件的形式留存于本地，无论是正常包，还是异常包，滴水不漏，全部留存，提供了具有法律效力的流量会话记录，供用户随时调取。

全流量回溯-识包寻踪

支持对流量中所有字段的通联关系进行分析，以通联关系图的形式，通过不同的颜色和连接线的粗细大小，清晰展示网络环境中的源目关系及会话情况，进而精准锁定数据流在网络中的传输踪迹。

全流量检索-快如闪电

运用Elasticsearch技术，基于Lucene的倒排索引机制，具备快速的数据检索能力，提供千万级数据秒级查询。系统提供了视图检索模块，使检索方式更加便捷，同时支持标签功能，用户可以为关注的流量数据打上标签，通过检索标签，使得流量回溯更快更高效。

应用场景

旁路镜像溯源应用

旁路部署是最常见的部署方式，系统通过镜像目标网络区域交换机的双向网络流量，将区域内所有的网络通讯流量镜像到产品上，从而实现全流量数据采集。

解决的问题

• 无需改变用户原有的网络拓扑结构，系统上线方便快捷。

• 支持完整记录原始流量数据采集，并长期保存。

• 对获取的流量包进行深度解析，直观展示关键字段。

• 以通联关系图的形式，精准锁定数据流在网络中的传输踪迹。

• 能够提供高级检索，快速查询网络通信数据。

客户价值

灵活部署，满足合规要求

无需对网络结构做任何更改，即可实现全流量留存和原始数据包随时调用，帮助用户满足等保合规要求；减少企业负责人因不采取对网络攻击特别是新型网络攻击行为的分析措施而引发的被动法律责任与政治风险。

完整溯源取证

通过全流量留存功能，进行完整的回溯分析，提取具有法律效益的证据。在HW期间，及时发现攻击威胁，溯源完整的数据包，提高护网评分。

高效检索，精准定位

通过二十多种检索机制，在海量数据中快速找到具体的攻击包，展示包载荷的具体内容，准确定位问题，并进一步分析和控制影响范围，及时止损。同时能够完整记录网络传输，为安全事件追查取证提供数据支撑。