《雷盾网络异常行为分析管控平台》是一款基于网络流量大数据的威胁实时分析管控平台，通过对上下行流量大数据进行分析，实现以在线方式为大型及复杂网络环境，提供异常行为实时监控与分析、脆弱性端口监控与分析、安全态势分析、攻击溯源、风险预测等多种功能，通过在网络核心层对全网络流量数据构建一个顶层的“网络安全大数据在线实时分析管控平台”，可帮助用户实时洞悉全网攻击动向，能够大幅提升防御敏捷性以及网络攻击处置工作效率，事前对网络异常情况及网络安全风险进行有效控制，从而保障关键业务/应用的正常稳定安全运行，事前规避安全事件等带来的经济损失及社会影响。

一、异常行为监控

　　异常行为监控模块可以从多角度精确监控网络中的异常活动或可疑行为，帮助用户及时识别潜在的安全威胁。该模块通过分析网络流量的异常模式，如异常高的流量、频繁的扫描行为、异常的端口访问等来检测可能的攻击或滥用行为（如DDoS攻击、暴力破解、端口扫描等）。通过异常行为监控，用户可以快速做出响应，采取适当的防御措施，防止网络继续受到攻击或数据泄露。

1、异常行为态势监控

　　异常行为态势监控功能通过持续监控网络中的异常活动和行为，提供对整个网络安全态势的实时分析。该功能通过对异常行为进行不同维度的分析，展示当前网络的安全状态。用户可以看到异常行为的威胁指数、频率、攻击源和目标，实时掌握网络中的威胁动态，帮助安全团队及时响应并采取防护措施。

图1  异常行为态势监控

2、异常行为监控（攻击视角）

　　异常行为监控（攻击视角）功能从潜在攻击者的角度监控网络中的可疑行为，识别常见攻击方式，捕捉并分析不同阶段的网络入侵行为，发现攻击者在网络中的具体活动轨迹如扫描、高频访问、脆弱性端口等，从而精准定位网络中的威胁源头。
　　同时该功能还能够对威胁源头按照威胁类别、威胁频率、影响范围等维度进行威胁指数评分并对威胁程度进行评级，从而可按照威胁等级的高低判断威胁事件的轻重缓急，从而对威胁源头及事件进行有序处置。

图2  异常行为监控（攻击视角）

3、异常行为监控（防御视角）

　　异常行为监控（防御视角）从网络防御的角度，监控系统对潜在威胁的应对情况，检测扫描、探测、访问等多种规则下的反应效果。通过分析防御系统在应对异常行为时的情况，用户可以评估现有安全措施的有效性，优化防御策略，提升整体网络安全性。

图3  异常行为监控（防御视角）

4、异常行为监控（脆弱性端口）

　　监控网络中外部与内部的脆弱性端口活动，如数据库、远程登录、WEB等容易成为攻击目标的脆弱性端口。通过监控这些端口的异常行为，用户可以及时发现并阻止潜在的攻击，保护系统免受端口漏洞的利用。
　　针对威胁端口的检测，传统方案只能通过漏扫产品定期进行扫描检测，存在时间空窗、可能影响网络及应用等问题。该功能可在不对监测目标及网络进行任何交互的情况下，即可实现对对此类端口的实时监测，并可对端口的交互记录进行溯源。

图4  异常行为监控（脆弱性端口）

二、异常行为分析

　　通过深入分析网络中的异常活动模式，帮助用户识别潜在的安全威胁或系统异常。该模块不仅能发现异常行为（如数据泄露、恶意扫描、异常登录等），还可以通过历史数据和趋势分析来判断异常的严重程度、发生频率。通过综合评估异常行为，用户可以确定威胁的根本原因，并采取相应的安全防护措施或修复方案。

1、IP威胁诊断报告

　　通过分析特定IP地址的风险类次、流数与行为，生成关于该IP的全面诊断分析。该功能会识别与该IP相关的威胁活动，如各类异常行为与具体触发次数等。页面还包含了该IP的历史威胁行为、风险等级评估以及风险的总结说明，帮助用户及时应对来自特定IP的威胁。

图5  IP威胁诊断报告

2、威胁协议分析

　　威胁协议分析功能聚焦于网络中使用的各类传输协议，如TCP、UDP、ICMP等，分析协议层的威胁态势。通过检测使用特定协议的流量异常、协议滥用或漏洞利用行为，用户可以识别出通过协议发起的攻击或未授权行为，优化协议使用策略，防止攻击者利用协议弱点进行威胁活动。

图6  威胁协议分析

3、异常行为区域分析

　　异常行为区域分析功能通过地理位置和网络区域划分，分析网络中异常行为的来源。该功能可以帮助用户识别来自特定区域或国家的威胁，分析攻击活动是否集中在某些地理位置，或特定网络分段中是否存在异常活动。通过区域分析，用户可以加强对特定地区或网络段的防护，及时应对区域性威胁。

图7  异常行为区域分析

4、异常行为趋势分析

　　异常行为趋势分析通过对历史数据的深入挖掘和分析，识别网络中异常行为的长期变化趋势。用户可以观察到某种异常行为是否随着时间的推移变得更加频繁，或某些威胁是否在特定时间段内激增。通过这种趋势分析，用户可以预测未来的安全威胁，并提前采取防御措施，提升网络安全态势。

图８  异常行为趋势分析

三、异常行为溯源追踪

　　异常行为溯源追踪模块用于追踪网络中异常行为的源头，帮助用户确定可疑活动的起始点。通过分析异常流量的的详细信息，该模块能够识别发起异常行为的IP地址或地理位置，揭示攻击来源和攻击手段。这对于深入了解攻击模式、应对复杂的多阶段攻击（如APT攻击）以及制定有效的应对措施至关重要。

1、潜在风险事件追踪（威胁）

　　潜在风险事件追踪（威胁）功能用于持续监控和追踪网络中的潜在风险或威胁事件，帮助用户跟进网络中的异常活动。该功能以开始与结束时间为切入点，跟踪已识别的安全威胁，并提供实时更新，展示威胁的动态演变过程。通过对潜在威胁的持续跟踪，用户能够在威胁进一步发展为重大安全事件之前采取防御措施。

图９　潜在风险事件追踪（威胁）

2、风险事件明细（威胁）

　　风险事件明细（威胁）功能提供对已识别威胁或安全事件的详细记录和分析，帮助用户深入了解每个安全事件的具体信息。该功能展示每个风险事件的时间、来源IP、目标IP、涉及的协议和端口、攻击类型及影响范围等详细数据。通过这些明细，用户可以全面掌握威胁的规模和潜在影响，并根据威胁的具体细节采取相应的应对措施，如封锁IP、强化防御策略或更新安全规则。

图10  风险事件明细（威胁）

3、风险事件明细（脆弱性）

　　风险事件明细（脆弱性）功能专注于与网络中已识别脆弱性相关的安全事件，详细记录每个事件的具体脆弱性端口等数据。展示了事件的发生时间、涉及、受影响的端口或协议及其可能造成的安全影响。

图11  风险事件明细（脆弱性）