天眼-流量传感器

1. 设备简介

• 天眼流量传感器采用旁路部署模式对网络镜像流量进行采集，解码还原转换为流量日志并加密传输给天眼分析平台，镜像流量中的文件还原后加密传输给天眼文件威胁鉴定器进行检测。传感器中应用的自主知识产权的协议分析模块，可以在IPv4/IPv6网络环境下，支持HTTP/HTTPS 、FTP、TFTP、SMB、NFS.
  SMTP/POP3/IMAP/WEBMAIL等主流协议的高性能分析。
• 天眼传感器内置的威胁检测引擎，可检测多种网络协议中的攻击行为，提供网页漏洞利用、webshell上传、网络攻击、威胁情报四种维度的告警展示

2. 部署拓扑

3. 标品

• 三个型号：S52(工控机)、S53(服务器)、S56(服务器)

3.1 S52产品配置

• S52支持扩展网卡、默认出厂监听口两种配置：

  1、4电口（GE1-GE4）

  2、4电口（GE1-GE4）+ 2万兆光口（XG1/XG2）

• 硬件前置面板（4电口 + 2万兆光口）：

  万兆向下兼容千兆模块，插拔扩展槽需要关机后拔掉电源进行操作，带电操作可能会烧坏主板

4. 一体化

• 天眼一体化版本共4个节点，其中根据不同的节点组合，提供了3个产品系列:

  1系：仅包含全流量威胁发现模块

  2系：包含全流量威胁发现模块 + 威胁分析模块

  3系：包含全流量威胁发现模块 + 威胁分析模块 + 高级文件样本检测模块

一体化的流量传感器可以作为分析平台的扩展节点来使用。

4.1 一体化硬件配置

5. 功能介绍

5.1 状态监听

• 设备连接状态：用于展示当前传感器与日志外发平台的连接状态及信息。
• 系统信息：展示当前传感器硬件的CPU，内存及数据磁盘的状态信息.以及传感器设备的相关信息.
• 情报信息：主要是与威胁情报有关的信息展示。
• 网络流量：展示设备上所有接口对应的流量。
• 应用流量：展示了系统在过去时间内，所解析的主要应用协议对应的流量曲线。
• 文件数量：展示了系统在过去时间内，所还原的主要文件类型对应的文件数量。
• 日志外发统计：展示了系统在过去时间内,发向连接设备的日志数量曲线。支持分析平台、文件威胁鉴定器、Hadoop平台、syslog服务器。

5.2 网页漏洞利用

• 网页漏洞利用：告警页面提供了告警事件统计展示，并提供了对告警的快速查询和高级查询功能，按照告警时间．威胁等级对告警进行排序功能以及查看每条告警详情的功能。也可使用高级搜索功能,按照不同的搜索条件对告警信息进行筛选。可点击"查看"按钮查看告警详情。

5.3 规则配置

• 规则配置:界画提供了规则展示。查询。启停功能。可使用高级搜索功能,按胜规则编号、规则名称、威胁等级，确信度。规则分类。是香启用为条件查询。可使用开关对规则的启/停进行控制。

5.4 自定义威胁情报

• 自定义威胁情报：界面提供新增、编辑、删除、启停、导入、导出及查询规则的功能，用户可添加自定义威胁情报，匹配产生的告警可在威胁告警-威胁情报告警页面查看，也可以使用导入/导出按键对规则进行增删操作，也可使用高级搜索功能对相关规则进行筛选。

5.5 威胁检测

• 威胁检测：模块提供了对网页漏洞利用、webshell上传、网络攻击检测以及威胁情报检测的开启/关闭功能。

5.6 流量记录

• 【启用流量负载记录】控制向分析平台发送数据中是否带payload数据
• 【启用流量过滤】提供网络流量筛选功能以及自定义协议相关功能
• 自定义协议：用户自定义协议名称和端口，可对定义的端口进行流量监控，可以检测默认流量记录端口外的端口流量。

5.7 文件还原

• 文件还原：按照选择的需要还原的文件类型，还原流量中的文件并传送给文件威胁鉴定器。默认所有按钮全部开启。

5.8 抓包检测

• PCAP文件检测：提供用户手动导入pcap包进行检测的功能，系统会分析pcap中的协议，还原协议传输中的文件，检测是否存在网络攻击，将产生的网页漏涮利用. webshell上传．网络攻击、威胁情报告警在威胁告警页面进行展示。
• 抓包检测：根据配置的抓包规则对全部监听口的流量进行抓取，提供抓包任务的新建、编辑、清除、删除、下载功能。

5.9 常规配置

• 常规配置:支持用户编辑设备名称，设备位置.厂商，联系方式等信息,设备IP和厂商信息信息会写入外发日志告
• 警数据库存储管理;用来展示数据库所用存储空间，用户可自定义设置数据库存储告警值、效据库存储上限、超限存储删除后余量以及存储日志时间。每隔6小时会进行一次检查，超过容量上限时会删除部分过期的日志内容，达到存储日志时间后会对超时的日志进行全部删除。

5.10 网络管理

• 管理接口∶提供了两个千兆电口作为系统的管理口，管理员可以根据实际的场景选择使用一个或两个口作为管

• 监口进行配置.监听接口﹑传感器提供了两个千兆电口、两个万兆光口作为系统的监听口，管理员可以根据实际的应用场景选择使用一个或多个口作为监听口，用于监听交换机镜像过来的网络流量。

• 静态路由。提供IPV4、IPV6路由配置功能。

• DNS配置。提供首选DNS。备用DNS配置功能

• 代理配置。在没有网络环境下.E够提供设备升级的局部网络代理,代理类型固定为HTTPS,丁选择是否使用密码.

• 主机静态查询配量置:主要在传感器服务器无法通过IP地址与Hadoop集群通信时，需要配置Hadoop集群的ip地址与域名的映射写入本机的hosts文件.

5.11 传输设置

• 数据传输设置。可以配置与分析平台．文件威胁鉴定器、sYSLOG服务器、Hadoop平台的传输规则,配置传输的日志类型。
• 日志白名单设置。中可以配置与分析平台.sYSLOG服务器、Hadoop平台的传输日志白名单，匹配白名单的日志将不再外发给相应平台。
• 数据传输加密。提供与分析平台、Hadoop平台．文件威胁鉴定器联动时的数据加密功能及相关配置，可配置加密算法、加密密钥。对端的平台也需要配置相同的加密算法和密钥、不然无法解密传输的效据。

告警只能发送给分析平台的主节点，网络日志会发送给分析平台的主节点和从节点。

5.12 SNMP管理

snmp默认端口161，SNMP trap默认端口162

• SNMP服务配置：SNMP用于网络设备管理，支持SNMPv1、SNMPv2c、SNMPv3三个版本
• SNMP trap：可编辑SNMP trap,打开SNMP trap监控项配置页面.配置消息内容，包括发送间隔。发送条件。达到相关监控项内容要求时主动向探针发送日志

分析平台通过SNMP去读取流量传感器的存活状态。要确保两边能正常通信，需要分析平台和传感器的SNMP配置一致。

5.13 操作审计

• 操作审计:模块主要用于对用户操作信息进行查询和导出．管理员可按照开始时间.结束时间、用户、登录IP、功能、操作类型等信息进行条件查询。可使用高级搜索功能,按照不同的需求筛选日志信息.

5.14 系统日志

• 系统日志:模块主要用于对系统日志信息进行查询和导出。管理员可按照开始时间、结束时间、日志类型、日志级别等信息进行条件查询。点击导出按钮，可将当前查询条件下过滤后的日志进行导出，当查询后的日志条数大于10万时，最多导出10万条日志，导出文件为xlsx格式.

5.15 版本升级

• 版本信息:显示系统．引擎规则、威胁情报版本信息。
• 系统升级、规则升级。可以采用手动升级或自动升级的方式更新软件版本，手动升级也可通过上传升级包进行本地升级或直接网络升级，自动升级通过配置系统在特定时间自动进行版本检查并执行升级动作。注:规则本地升级需获取小钥匙导入公有云下载升级包

5.16 设备操作

• 设备操作:可根据需要对设备内部服务或系统进行开/关操作
• 调试日志:记录系统引擎工作状态相关日志，便于定位
• 字段配置。包含传输日志的字段，将字段导出的文件交由分析平台等处理,确保与对接平台的解析字段相匹配
• kafka配置:包含kafka配置内容，导出后可验证配置的正确性。
• 蓝信扫码。扫码上传设备序列号、类型、地址和软件版本．引擎规则版本、威胁情报版本以及引擎规则更新授权有效期、威胁情报授权有效期、证书有效期，并检测有无新版本

5.17 受限shell

• 受限shell:

1、使用list命令可查看可执行的全部命令，标“1”的部分为对网络连通性进行调试和使用的命令．标“2”的部分是对系统信息查看的命令，可查看当前系统的状态.
2、使用configure terminal切换视图后，使用list命令可查看对网卡进行的全部操作，包括对IP地址, hostname等进行操作.
3、使用versiont看当前系统的版本信息

• 受限shell-shpass:

Shpass账号只能通过串口登录，提供以下三个功能：

1、重置受限shell的admin用户密码，重置后的密码为skyeye360_admin

2、重置web登录的admin用户密码,重置后的密码为admin
3、恢复出厂设置

命令如下：

1、Reset password of user "admin"            重置受限shell的admin用户密码
2、Reset password of WEB user "admin"        重置web登录的admin用户密码
3、Factory reset                             恢复出厂设置
4、Quit

6. 注意事项

6.1 传输设置注意事项

1、流量传感器最多支持10个分析平台传输规则，分析平台IP组间流量日志和威胁告警复制分发。
2、同一条传输规则，支持流量日志负载均衡分发给同组内最多16个分析平台及扩展节点。
3、仅主节点可接收威胁告警日志，扩展节点只能接收网络日志，可单独配置传输规则:仅发送告警日志给主节点。
4、同种类型的网络日志最多只能配置两条发往分析平台的传输规则
5、同种类型的网络日志不能同时发送到两个分析平台地址的相同IP

传输加密密钥：组件之间的密钥需要一致，否则无法解密

6.2 告警数据管理

• 数据库存储告警值:数据库存储占用率达到告警值后，进度条显示为红色，提示管理员．默认值为80%;
  数据库存储上限:数据库存储占用率达到存储上限后，为保证设备稳定运行．将采用超限存储删除策略．默认值为90%;
• 超限存储删除后余量:数据库存储占用率达到上限后，设备自动删除最早的告警数据，直到告警数据在效据库的占用率低于该设定值．默认值为70%;
• 存储日志时间,数据库存储现在时刻向过去跨度所设定时间范围内的告警，超过则删除超时告警，默认值为180天.用户可以自定义这三种阈值，但需要注意:“`数据库存储告警值”，“数据库存储上限”、“超限存储删除后余量·三个值的女小关系为:“数据库存储上限”大于“数据库存储告警值”大于‘超限存储删除后余量”.一般建议客户保留默认配置。

6.3 确认镜像流量

• 抓包的方式确认传感器接收的流量是双方向的，单向流量影响协议解析和威胁告警。登录系统，“策略配置”-“抓包检测”选择双向流量，开启抓包任务，检查抓取报文。

6.4 组件开放端口

• 确认用户环境中防火墙开放端口:确保组件之间防火墙对应端口放开。
• 注意:传感器与分析平台、kafka、snmp、snmp trap. syslog联动的端口可以配置，下图展示默认或者常规的端口。

端口	用途
22	SSH访问
443	HTTPS访问
161	SNMP访问
162	SNMP TRAP
7755	分析平台接收传感器日志
6666	沙箱接收传感器文件和日志
9092	Kafka接收传感器日志
514	Syslog接收传感器日志

6.5 后台进程

进程名	用途	进程日志查看
serverids:analysis_platf	把告警从数据库发送分析平台	/var/skyeye/analysis_platform.std
serverids:ids_alert	负责传送ids告警，发往insert_db	/var/skyeye/ids_alert.std
serverids:insert_db	负责监听告警,并将告警入库	/var/skyeye/insert_db.std
serverids:ioc_alert	负责传送ioc告警，发往insert_db	/var/skyeye/ioc_alert.std
serverids:monitor_db	监控数据库，比如告警条数	/var/skyeye/serverids-monitor.std
serverids:serverids-engine-dna-	解网、检测报文，产生告警	/var/skyeye/serverids-engine.std
pcluster	汇聚分流负载均衡软件模块	/var/skyeye/pcluster.std
pflow:dna	对dna0设备流量进行协议分析，日志发送，文件还原	/var/skyeye/pflow.log
pflow:pcaps	对pcap包进行协议分析，日志发送，文件还原	/var/skyeye/pcaps.log
pcap_dump	pcap抓包进程	/var/skyeye/pcap_dump.std
filetrans	还原文件外发模块	/var/skyeye/filetrans.std

天眼-流量传感器（使用部署）相关推荐

1. 天眼的使用指南--流量传感器

   分以下几类讲,天眼的功能,日志分析字段,常见的烂分析,告警分析.两个实例:ngsoc的简单实用和告警分析. #天眼功能 分为,分析平台,流量传感器,文件威胁鉴定器 #部署架构 高级危险检测,溯源的产品 ...

2. 单片机涡轮流量传感器_暖通慧教你一文读懂流量传感器

   下面我们来说说以上各种传感器的不同之处: 即:体积流量qv与流体流速v的关系:可得: 二. 容积式流量传感器 三. 涡街流量传感器 涡街流量传感器主要用于工业管道介质流体的流量测量,如气体.液体.蒸汽 ...

3. 单片机涡轮流量传感器_关于涡轮流量计传感器的维护保养

   涡轮流量计是一种精密流量测量仪表,与相应的流量积算仪表配套可用于测量液体的流量和总量.广泛用于石油.化工.冶金.科研等领域的计量.控制系统.配备有卫生接头的涡轮流量计传感器可以应用于制药.食品等行业. ...

4. 传感器系列之4.3流量传感器

   4.3 流量数据采集实验 一.实验目的 掌握水流量计的结构与工作原理 掌握霍尔传感器的使用 二.实验材料 具有USB 串口通讯的PC 机1 台 ADS1.2 集成开发软件1 套 J-Link-ARM ...

5. STM32使用模拟I2C读取硒翔30mL流量传感器

   使用模拟I2C读取硒翔30mL/min流量传感器 该工程使用某些采样次数和时间不同会采集到的报文有问题. 我建议是可以换个次数和时间调下. 如果报文有问题的话 就修改延时就好了,延时指的是I2C每发送 ...

6. 加油站油气回收自动监测系统中的流量传感器

   说起油气回收改造工作,人们首先想到的是2010年嘉兴南湖区加油站油气回收改造,那时嘉兴南湖区全区所辖油库和加油站均已安装了一级.二级油气回收系统.近期,在此基础上,南湖区对一级.二级油气回收系统再升级 ...

7. 单片机涡轮流量传感器_基于单片机的智能涡轮流量计显示仪的设计

   基于单片机的智能涡轮流量计显示仪的设计 前言 基于单片机的智能涡轮流量计, 以轴向型涡轮流量计作为测量系 统, 采用智能流量显示仪并利用汽车电源供电. 阐述流量显示仪表的 设计,在硬件设计方面,采用了 ...

8. STM32基于流量传感器对步进电机转速进行PID闭环控制

   1.什么是PID PID控制是一种经典的控制算法,它被广泛应用于工业.机械.电子.自动化等领域中的控制系统中.PID控制是指通过对系统输出值与期望值之间的误差进行实时反馈,调节控制器的输出值,以达到控 ...

9. 流量传感器的全球与中国市场2022-2028年：技术、参与者、趋势、市场规模及占有率研究报告

   报告页数: 150 图表数: 100 报告价格:¥16800 本文研究全球与中国市场流量传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析流量传感器的主要生产地区.主要消费地区以及主要的生产商 ...

最新文章

1. 【iOS】iOS10.3新增API:应用内评分
2. 为什么执行自己的程序要在前面加./
3. Linux中常见命令和单词的缩写全称
4. 为什么谐振时电抗为0_220KV/110KVCVT互感器串联谐振试验装置技术方案
5. getcwd()函数用法
6. 判断使用设备是PC还是phone
7. Android笔记之自定义Editext
8. python机器学习库sklearn——线性回归
9. Linux之vim常用扩展操作
10. python微信加人_真的有专门给微信加人的软件吗？
11. 值得学习17个C/C++ 超经典开源项目，面试加分
12. 线下商家卖货难、拓客难、引流难，不如学习一下怎么结合O2O电商
13. 自动化测试效率提升方案
14. matlab在读取或者导入excel时，服务器出现意外情况
15. BBQ 回退使用实例
16. 01.精益敏捷项目管理——敏捷开发者指南笔记
17. 滑动窗口算法用法及实题详解
18. OpenCV入门系列 —— cv::minEnclosingCircle 随机生成点坐标并计算最小包围圆
19. 《炬丰科技-半导体工艺》硅的低温表面清洗及其在硅MBE中的应用
20. 中国公司商标在美国被抢注的对策与防范

热门文章

1. 【Gale Shapley 婚姻稳定匹配算法实现】
2. 魔兽世界服务器显示排队中,《魔兽世界》怀旧服正式上线 多个服务器出现排队...
3. Vue中created和mounted详解
4. 〖编程初学者的自我修养 - 精炼面试篇③〗- 如何通过「自我介绍」更好的推销自己
5. win10自动更新0x8024002E解决
6. 小鹏汽车为什么取名为小鹏？何小鹏亲自会答：最初叫“橙子” 原因非常凑巧
7. CF1474A Puzzle From the Future （模拟
8. 拆解一款29元包邮的“超声波”清洗机，体验一下智商税
9. 动态代理、CGlib、AOP原理分析与实现
10. 微信小程序毕业设计 基于微信技师预约小程序系统开题报告