Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

加密流量洞察概述和优势

监控>加密流量菜单访问此页面。

加密流量洞察可帮助您检测隐藏在加密流量中的恶意威胁,而无需拦截和解密流量。

加密流量洞察的优势

  • 在不破坏流量加密的情况下监控网络流量是否存在威胁,从而遵守数据隐私法。

  • 无需额外更改硬件或网络即可设置和管理网络:

    • SRX 系列防火墙向 ATP 云提供所需的元数据(例如已知恶意证书和连接详细信息)和连接模式。

    • ATP 云提供行为分析和机器学习功能。

  • 提高对加密流量的可见性和策略实施,而无需进行资源密集型 SSL 解密:

    • 根据ATP云分析的网络行为,网络连接分为恶意连接或良性连接。

  • 在传统信息安全解决方案之外增加一层保护,帮助组织降低和管理风险。

  • 确保无延迟,因为我们不解密流量。

表 1 列出了“加密流量洞察”页面上提供的信息。

表 1:加密流量洞察

领域

指引

外部服务器 IP

外部服务器的 IP 地址。

外部服务器主机名

外部服务器的主机名。

最高威胁级别

基于加密流量洞察的外部服务器上的威胁级别。

计数

网络上的主机尝试与此服务器联系的次数。

国家

外部服务器所在的国家/地区。

上次出现时间

最近外部服务器命中的日期和时间。

类别

有关此服务器的已知其他类别信息,例如僵尸网络、恶意软件等。

加密流量洞察和检测

加密流量洞察结合了快速响应和网络分析(静态和动态),以检测和修复隐藏在加密会话中的恶意活动。 图 1 显示了加密流量洞察的分阶段方法。

图 1:加密流量洞察和检测 Encrypted Traffic Insights and Detection

流程

本部分提供用于执行加密流量洞察的拓扑和工作流。

图 2 显示了加密流量洞察工作流的逻辑拓扑。

图 2:用于加密流量洞察 Topology for encrypted traffic insights的拓扑
表 2:加密流量洞察工作流

描述

1

位于 SRX 系列防火墙后面的客户端主机请求从互联网下载文件。

2

SRX 系列防火墙接收来自互联网的响应。SRX 系列防火墙从会话中提取服务器证书,并将其签名与阻止列表证书签名进行比较。如果发生匹配,则会阻止连接。

注意:

瞻博网络 ATP 云源可通过与已知恶意软件站点关联的证书源使 SRX 系列防火墙保持最新状态。

3

SRX 系列防火墙收集元数据和连接统计信息,并将其发送到 ATP 云进行分析。

4

ATP 云执行行为分析,将流量分类为良性或恶意。

5

如果检测到恶意连接,则会重新计算主机的威胁分数。如果新分数高于阈值,则会将客户端主机添加到受感染主机列表中,根据 SRX 系列防火墙上的策略配置,客户端主机可能会被阻止。

有关在 SRX 系列防火墙上启用加密流量洞察的信息,请参阅 《瞻博网络高级威胁防御云管理指南》。