流影概览

引言

流影开源发布已经过去两个月，陆陆续续有小伙伴已经进行了安装部署和试用反馈。 在这里首先对大家的参与表示欢迎，对安装使用中给出的反馈建议表示感谢。 为了让大家对流影有一个总体的认识和了解， 撰写此文，对流影进行系统全面的概括性介绍。

简介

流影是面向全行业用户的下一代网络安全威胁检测与分析产品， 其定位是一个轻量级的网络安全态势感知与可视化分析平台。 该系统集成了流量探针、网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块， 实现了对网络流量全方位监测、网络行为多维度特征提取留存、 网络资产被动测绘画像和网络威胁行为实时告警等基本功能。 流影适用于各种网络安全防护场景，包括不限于入侵检测、威胁狩猎、攻防演练、网络证据留存、网络行为调查分析、态势感知等。

开源版流影功能已经比较全面，基本能够满足中小型用户的网络安全防护需求。 流影开源版本功能丰富且灵活可拓展；可视化界面图表丰富，易于使用；部署高效，运维成本低。 使用流影，能够有效避免以往多种网络安全产品堆砌带来的高成本、运维难度大等方面问题。 不仅能显著提升各位用户的网络安全防护水平，还能够降低用户安装部署、运维等方面的成本。

需要说明的是，流影也有商业版本，商业版可以满足用户的高阶定制化网络安全防护需求。 商业版本流影已经可供交付使用，能够提供更丰富的功能，并且集成了更全面的威胁行为指纹特征库及威胁情报数据。大家如果有商务合作需求，可以联系我们。

核心技术概览

• 数据可视化：数据时序、地理位置、聚类呈现，支持交互式探索、追溯与挖掘
• 机器学习：支持基于tensorflow的检测模型
• 基于统计的经验模型：统计分析结合专家经验
• 威胁情报：集成威胁情报支持
• 网络流量采集与解析：流量定制采集与Netflow支持
• 深度包检测与网络流分析：支持指纹规则匹配、会话特征提取留存

主要功能概览

1. 安全告警检测

• 内置多种场景，包括扫描、风险访问、威胁访问、C&C 通 讯、挖矿行为、后门利用、隧道通信、服务器异常、注入等。 场景内部包含近 40 种识别模型
• 支持自定义业务安全场景

2. 安全告警研判

• 关键证据留存
• 相关设备分析
• 攻击模式分析

3. 安全告警溯源

• 威胁情报查询
• 多维设备画像
• 历史行为检索

4. 被动资产识别

• 活跃IP：活跃时间、流量
• 活跃端口：服务类型、中间件、设备类型、应用系统、操作系统等信息
• 活跃网址：活跃时间、流量、响应码
• 资产关联分布图

5. 其他功能

• 威胁态势概览
• 重点目标监控
• 常规网络行为识别

系统特性概览

• 基于行为识别威胁：有效发现已知威胁、N-day、未知威胁、APT、内部威胁
• 精准、精简的告警：从识别层、验证层、分析层、业务层自主进行去重、去伪
• 人脑 & 机器结合：在高级威胁的检测分析中，人的参与则是必不可少的，机器是扮演辅助工具的角色，为用户提供证据线索，提升威胁检测分析效率
• 提升认知，快速响应：系统中的每一次告警都能解释清楚，并且有据可依，让安全运营人员“知其然，亦知其所以然”

应用场景

流影应用场景包括不限于以下方面：

• 网络攻击威胁检测
• 网络安全攻防演练
• 重点目标网络流量监测
• 数字加密货币挖矿检测
• 网络隐蔽隧道通信发现
• 网络异常服务发现
• 异常数据流动：数据定向流动、跨境传输
• 网络行为监测与调查
• 高价值网络行为痕迹证据留存

结语

本文从架构、技术、功能、应用等方面，对流影进行了概要性介绍，帮助读者对流影有一个整体认识。 本文并没有深入相关细节，如需深入了解，请查看流影文档。同时我们提供了线上演示Demo，便于您快速上手试用，您可以通过以下链接和演示账号登录试用：

• 流影Demo
• Demo账号：demo
• Demo口令：demo@2022

欢迎大家使用反馈，并且积极参与项目贡献。