快页全流量溯源取证系统

全流量威胁取证系统具备完备的流量采集解析能力，可将采集到的网络流量解析并以元数据和PCAP的形式存储，通过系统内置的多个检测引擎进行交叉检测交叉验证，结合高效便捷的数据检索能力，对流量中存在的网络威胁进行有效的溯源取证。

产品功能

多场景溯源取证

持多场景溯源取证，用户基于检测探针告警和其他来源告警进行溯源取证，从告警、事件、元数据到原始流量PCAP文件，可按照数据粒度进行全链条追溯，真实还原黑客入侵的全过程，从而对网络安全事件进行精准的分析。
全流量威胁取证

通过多级索引的方式，对原始流量进行追溯，实现威胁快速取证能力。TFS具备快速取证能力，基于五元组检索亿级数据，可秒级返回元数据。
全流量回溯分析

具备对全流量进行快速数据挖掘和多维回溯分析能力，支持对网络流量根据会话进行关键字段的提取和展示，同时还可以完整还原数据交互的过程，并以可视化的形式展示交互过程及会话信息。
全流量存储

具备高可靠、高性能数据包捕获及记录能力，将采集到的网络流量进行协议解析后并以元数据/PCAP的形式存储，可根据需要进行正筛、反筛过滤流量内容，实现元数据/PCAP的高性能采集和预处理。
流量采集

通过旁路镜像、高性能采集网络流量，并对网络协议进行实时解码，提取元数据，建立完整的日志、协议、数据包全字段索引库。

产品特点

在线PCAP深度分析

内置与Wireshark兼容的数据包分析工具，能够对用户定位的会话PCAP包进行类Wireshark在线分析。
原始流量超快检索

流量存储量级可达PB级别的数据，能够做到在PB级别的原始流量或者百亿级的会话量级中，快速检索到会话级原始流量，并提供下载。
基于内容快速取证

支持基于内容进行取证，对于未解析为元数据的内容支持对原始流量进行取证，支持根据关键字、正则表达式进行检索，可通过元数据检索缩小内容取证范围，提高检索效率。

客户价值

高性能全流量留存：高可靠、高性能的数据包捕获及记录，高磁盘数据存储压缩比。支持抓包策略灵活配置，基于五元组、域名、BPF规则和应用等策略的流量过滤。

高效的网络协议分析及异常行为检测能力：具备基于特征、威胁情报和AI智能检测的威胁检测分析能力，从源头快速发现网络恶意行为，有效发现高级威胁。

完善的溯源取证能力：可对任意解析后的数据字段进行快速过滤检索及对留存的PCAP包原始内容检索，基于图和智能算法进行事件追溯。

秒内超快检索：秒内检索到PB级数据（百亿会话）中的指定会话及PCAP文件。

强大的处理性能：提供强大的溯源取证能力，单台流量处理能力最高可达20Gbps，并可按需扩展处理能力和存储周期，适用于用户对业务网络高度、实时化监控保障的要求。