一、什么是应用安全监测系统？

应用安全监测系统就是分析业务系统（应用）安全的设备，它通过对采集的网络流量进行挖掘、关联性分析；将网络流量、访问行为和业务系统（应用）的安全结合起来，是帮助管理人员掌握网络资源使用情况、分析业务系统异常情况，保障业务系统的安全、稳定和高效运行的有力手段。

application（应用）、security（安全）、monitor（监测），合起来就是应用安全监测与异常流量分析系统（Topwalk-ASM）。

ASM采用旁路监听方式从网络中心节点采集流量信息，对网络设备和节点的流量信息和网络行为进行持续性统计和对比分析，快速发现流量和连接数的异常变化、网络行为中的异常访问操作和攻击操作，追踪和审计异常网络行为，为管理员提供报警通知和处理功能，并通过联动对网络异常行为采取阻断等进一步处理。

ASM便于管理员了解网络运行状况、核心服务器的访问情况、网络异常情况等，是网络规划、网络管理和安全运营等工作的重要工具。功能包括：

1. 全网流量统计与对比分析

持续统计并保存全网流量、最高流量、平均流量等。根据需要查看当前和历史统计数据。

2. 应用系统流量监测

针对关键应用系统进行流量重点监测。包括流量累计、流量阶跃、连接数、连接持续时间和访问数五大类监测项目。

3. 应用系统网络行为监测

针对关键应用系统进行网络行为重点监测。包括数据库操作行为监测和指定协议操作行为监测两大类。

4. 异常行为追踪审计

针对可疑或异常的网络行为，系统对其进行解析、重现和记录，形成安全审计，供取证和备查。记录并重现数据库访问、邮件发送接收、文件传输以及WEB访问等网络行为。

5. 报警和处理

针对异常流量和异常网络行为，系统产生报警，并提供报警的审核、归类、处理和记录工具。紧急情况下的报警，系统通过邮件和短信实时发送给管理员。

6. 网络攻击检测防范和联动处理

通过扩展入侵监测模块，系统可以根据策略库对网络上的数据模式和行为模式进行实时报警；通过与“基础信息库”和“终端管理系统”等联动处理，进行节点定位、连接阻断、控制可疑主机等高级功能。

二、传统的流量分析产品

ASM与当前市场上的流量分析产品不一样，主要区别在于ASM是专注应用安全的，而其他流量分析产品定位为网络安全。具体的区别如下：

a）采用的技术不一样，ASM采用的是端口镜像技术（SPAN），该技术可以收集网络上2-7层数据信息，而其他厂家采用的是netflow、netscream、sflow、snmp等技术采集信息，上述技术采集的多为2-4层信息，无法做应用层的分析，无法实现对业务安全的监测。

b）ASM关注的是业务系统的安全性问题，而其他厂家产品关注的是网络上的安全问题，如网络中是否有DDOS攻击、FLOOD工具、P2P大量下载、蠕虫攻击等问题，关注点不一样导致产品的用途不一样。

c）ASM收集信息来源于三层交换机的镜像端口，而其他产品多数采集信息来自路由器设备，且需要支持专门的技术如（netflow），对网络设备有要求。相比之下，ASM有更好的适用性。

d）其他厂家产品只分析数据包包头信息，很少对数据包的内容进行聚合分析，而ASM不仅分析包头，更能用先进的数据挖掘技术和协议分析技术对内容进行深入分析。

e）ASM产品关注的是业务对象，而不是其他流量产品的网络对象。通过特有的技术将网络对象和业务系统进行映射实现业务系统的定义和监控。

三、应用安全监测系统的典型应用

ASM应当挂接在所有关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在交换式网络中的位置一般选择服务器区域的交换机上或重点保护网段的局域网交换机上。基本部署方式如下：

实际应用中，根据用户使用需求不同，ASM设备可部署于不同的节点位置：

l 如需对网络内部所有用户的外网访问行为以及服务器的对外提供服务情况进行监控，可将ASM部署在网络出口处的防火墙设备镜像端口上，以此对所有网络出口流量进行监控分析；

l 如需对内部网络中应用系统的服务情况进行监控，可将ASM部署在服务器区前端的交换机镜像端口上，对所有外部用户与服务器之间的数据通信进行监控分析；

l 如需对内部网络所有用户以及服务器的数据访问行为进行监控，可将ASM部署在内部网络核心交换机镜像端口上，实现对所有内外网网络通信的监控分析。

部署ASM后起到的作用有：

监测核心资源系统的带宽使用情况。通过ASM设备的流量识别，对应用系统的流量信息进行分类归并，使流量带宽使用情况一目了然。

通过对核心资源系统进行持续性访问统计和对比分析，描绘出核心资源系统的正常流量轮廓，快速发现流量异常变化情况。其中包括：各业务应用的流量细节；连接数、吞吐量、连接时间等按客户端节点排名情况；各业务应用系统的协议分布、节点分布、时间分布等。

通过对网络访问行为进行针对性监测，及时发现网络中的对核心资源库的异常访问和攻击行为，确保针对业务系统的网络使用和访问操作的合规性。如针对数据库操作、WEB访问、文件传输等行为进行检测。

追踪和记录异常网络行为，提供报警处理、报表等功能，对异常事件进行深入分析。如异常数据操作的时间、节点位置、负责人等情况的追踪和报警，当月应用系统的总体运行情况报告和健康状况评估报告等。

四、产品特点

1.高性能

具有海量事件处理和存储的能力。高端设备可实时处理1.4Gbps的流量，能够在线存储2.5T事件记录

2.节省IT投入

ASM能够实行7*24小时的实时监测，自动分析各种应用安全异常情况。通过该智能的功能减少了人员方面的投入，节省了IT的安全投入成本

3.低拥有成本

得益于对数据存储算法进行了充分优化，使用内置的小型数据库满足处理需求。用户在使用ASM时，无需购买额外的数据库管理系统和许可，也不必花费专门的精力去维护数据库，大大降低了用户的总拥有成本。

4.零风险部署

ASM可在不改变现有的网络体系结构（包括：路由器、防火墙、应用层负载均衡设备、应用服务器等）的情况下快速部署，不影响现有的业务应用系统，无法造成单点故障，实现零风险部署。

5.完备的自身安全

物理保护:关键部件采用冗余配置（如：冗余电源、内置硬盘RAID等）。

系统故障保护：内置监测模块准实时地监测设备自身的健康状况。

不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。

6.全方位、细粒度监测分析

实时监测来自各个层面的所有网络行为，包括数据库操作、WEB操作、FTP操作、端口操作；提供对潜在危险活动（如：数据盗取、批量查询等）的快速检测分析；其中数据库可精细到表、字段、记录内容的细粒度监测策略，实现对敏感信息的精细监控.

天行网安公司安全服务各行业以逾十年，一直致力于为用户提供应用安全解决方案。从安全隔离网闸、DTP边界接入平台、到现在的ASM都是为了提高用户的业务安全，保障业务系统高效、安全、稳定的运行。ASM将秉承“安全深化应用、服务源自沟通”理念，继承网闸、接入平台产品积累的良好口碑，为各行业用户提供更好的应用服务。