康乔网络应用性能检测系统KQ-NAPD支持对网络中发生的安全事件进行回溯分析及数据包级取证。
全球网络攻击事件频发,网络安全风险日益加剧,网络攻击事件主要和个人用户、利益诉求和物理世界相关,但现在网络攻击的目标升级到了企业、政府,开始影响物理世界,甚至影响国家政治;网络攻击技术由简单粗暴向复杂精细转变,攻击者使用的工具相对单一,现在黑客开始使用植入后门、网络钓鱼、勒索攻击等多种复杂技术结合的攻击手段;网络攻击形式从通用型向APT攻击转变,以前网络攻击主要是为了获利,没有固定目标,但2015年以后,APT攻击成为主流,攻击几乎全部都是定向的、并且是长期潜伏的。
康乔网络应用性能检测系统KQ-NAPD通过安全告警规则模板和自定义规则设置,可实现对安全攻击事件的及时发现,通过对告警事件逐层挖掘,结合数据包搜索引擎,依据IP地址、时间、端口等信息,从历史数据中快速搜索定位到目标数据包,在指定时间范围内,基于IP地址、会话、协议等信息对安全事件全过程进行回溯分析,必要时可将原始流量数据锁定及导出,实现数据包级的安全取证。