Netflow/IPfix网络威胁和异常分析器

Question

我正在评估各种基于Netflow/IPfix的分析器的选项，重点是识别安全威胁和异常。如果有人能提供一份工具清单，记住以下几点，我们将不胜感激。

• 窗口或基于*nix的..。不重要。
• 专有工具或开源..。不重要，但开放源码会更好。
• 价格..。不重要。

谢谢

Answer 1

思科拥有一个很好的Netflow软件列表：免费软件，商业，思科解决方案

Answer 2

以下是一些选择:思科刚刚收购了认知安全。它们只提供威胁探测。没有流量报告。价格=？

Plixer的审查人员:他们执行威胁检测，并在报告，特别是防火墙出口方面处于领先地位。它们使主机声誉查询自动化。价格=适度

Arbor网络:他们是威胁检测领域的领头羊，并且有一些流程报告。它具有大规模的可伸缩性。价格=昂贵。

我希望这能帮到你。

Answer 3

在看分析器时要考虑的一些事情：

• 您的NetFlow数据来自哪里？如果您已经拥有输出NetFlow的路由器和交换机，您可能处于良好的状态，但如果没有，则有许多自由流出口商可以作为软件使用。
• 您是想购买现成的部署盒，还是在自己提供的硬件上运行软件解决方案？
• 您需要多长时间的数据历史记录？您是在寻找一个完全忠实的存储，还是对聚合没有意见？

我工作的公司生产一种名为NetFlow分析器的FlowTraq。出于明显的原因，我是个粉丝:)

其他商业产品包括SolarWinds、Arbor网络和Lancope。我相信思科也有自己的产品。nTop和SiLK是两个很好的开源工具；即使您最终使用了一个商业工具，我还是建议您尝试它们，以便熟悉术语，并了解NetFlow工具中需要哪些特性。