科来网络回溯产品设备介绍

网络时延
服务器时延
局域网时延 广域网时延
响应时延 传输数据时延
业务_A 166毫秒 3毫秒
120毫秒
3毫秒
40毫秒
业务_B 309毫秒 3毫秒
200毫秒
6毫秒
100毫秒
21
网络及业务系统性能分析
应用性能监控
通过10.254.245.141在该时间段的应用语句回放，我们发现其中一个请求 “GET /Rmweb/view.do?func=attach:download……”的语句，服务器响应了超过 34MB字节的流量，总处理时间为10分钟52秒
关键业务应用性能指标监控
回溯分析系统功能展现
7层协议解码分析
• 7层协议解码分析
下载选中时段及对象数据包
数据包解码
回溯分析系统功能展现
数据流重组分析
• 数据流重组分析
交易会智过话能程交精问易细统题分计诊析 断
回溯分析系统功能展现
• 5大类全面的实时预警机制 • 异常行为、异常征兆发现和排查 • 提前采取措施有效降低非计划停运事件的发生概率
企业级分析与管理能力 7*24小时网络流量采集 强大数据存储 (up to 72 TB) 实时专家分析与事后分析 网络安全征兆深度挖掘 自定义应用识别 易用的图形化人机界面
RAS1000
RAS2000
RAS3000
︰ ︰
高端RAS5000 RAS6000
34
案例分析
案例：中国移动南方基地公众云的应用
13
科来优势
可视化网络管理
信息数据 应用交易处理情况
数据流 数据包 数据帧
网络服务质量情况 网络总体运行情况
发送
0100010001011…………0100010111
接收
以数据包分析为基础，最真实、完整的网络状态展现
14
科来回溯分析解决方案
科来产品部署
重点区域旁路部署 分布式部署 不影响原有网络架构
UPM业务性能管理系统
• 面向业务网络 • 业务应用关联分析 • 业务性能监控 • 快速定位问题环节
科来产品
面向APT攻击 的多维网络 监测平台
前端
• 高速流量数据采集引擎 • 海量协议模糊识别 • 快速流量会话重建 • 实时数据分析上报 支持分布式部署 C/S架构
分析中心
• 数据深度关联分析引擎 • 可疑流量识别 • 安全事件智能分析 • 产品集中管理配置 • 前端服务器管理 • B/S架构
国家图书馆 国防科工总局 国家测评中心 深圳海关 四川省政府 山东省测评中心 河南省委办公厅 河北省国税局 山西省政协
金融
国家电网（IIS） 河南省电力 安徽省电力 江西省电力 四川省电力 天津市电力 重庆市电力 北京华电
贵州市电网 贵州乌江水电 河南焦作电厂 河南栾川供电 漯河市供电 青州市供电 寿光市供电 中电临河发电
27
回溯分析系统功能展现
掌握网络链路流量状况
• 掌握网络链路流量状况
掌握网络链路流量状况
流量趋势
网络应用，IP地址，物理地分类址统，计网分析段统计以及警报精细分析
回溯分析系统功能展现
梳理业务服务端口与访问关系
• 梳理业务服务端口与访问关系
服务访问关系梳理
主机服务端口统计和梳理
回溯分析系统功能展现
电力/电网
能源/矿业
广东电信 湖南电信 湖北电信 广州电信 桂林电信 汕头电信 深圳电信 清远电信
运营商
广东移动 浙江移动 四川移动 江苏移动 湛江电信 梅州电信 阳江电信 肇庆电信
公安
信息产业部电信研究院 中国空间技术研究院 中国科学院信息中心 中国社科院台湾研究所 中国电子科学研究院 煤炭科学研究总院 四川省农业科学院 重庆电力科学研究院 国网电力科学研究院 海南汽车试验研究所 北京信息技术研究所
4
科来产品在全球的销售
• 科来在全球
• 全球5000多商业客户，87个世界500强用户 • 国内营销和技术支持中心：北京、上海、广州、成都、南京 • 海外市场：北美区、欧洲区、亚太区
5
国内典型客户
科技部 外交部 农业部 海关总署 国家统计局 国家工商总局 国家会议中心 国家电监会 国家证监会
政府
• 拥有一支近百人的专业客户服务技术团队，提供产品售后服务与技术支 持。
• 完善的售后服务
• 全国统一服务热线 • 售后产品免费培训 • 量身定制的分析服务 • 现场技术支持服务 • 远程技术支持服务
7
科来产品
网络分析系统软件
• 实时抓包 • 解码分析 • 定位故障点
回溯分析系统硬件
• 长期数据包采集 • 实时分析与预警 • 应用访问质量 • 回溯分析取证
应用监控警报
•应用流量异常 •网络RTT异常 •应用响应时间异常
流量警报
•流量异常 •蠕虫活动 •扫描/攻击 •DoS/DDoS
邮件敏感字
•邮件蠕虫 •信息泄密
特征值警报
•蠕虫/木马 •应用错误代码 •信息泄密
可疑域名警报
•挂马网站访问 •反弹型木马 •僵尸网络 •DNS欺骗
产品型号
科来网络回溯分析系统
单个客户端15秒产生的TCP会话数接近击者的肉机，建议管理员及时进行排查；
38
案例：对内网造成的影响
无突发状态下内网性能统计：
流量突发状态下内网性能统计：
从多次的统计分析数据来看，数个异常突发用量的主机，就会让内网质量明显下降；
39
案例：优化依据
1）在南基地公众服务云四期项目中新增较多的万兆服务器；前三期项目虚拟机是千兆服务器，一台异 常的千兆服务器产生的流量如下图所示：
36
案例：快速发现异常主机_用量异常
南上其基述中公每HT众个TP云客的网户数络端据中的均出应是现用大偶构量发成的性均单的是向流H流T量T量P突和，发S这S现H些象：流，量如均下是图无所意示义：的填充数据：
37
案例：快速发现异常主机_安全异常
同这时些，SSH这的些连客接户已端经SS有H的具数体据的，数均据会交与互大：量外网IP地址进行交互：
服务器传输数据 时间
22
网络及业务系统性能分析
关键业务应用性能指标监控
链路 流量
TCP性能指标
HTTP 交易分析
总量 速率 包率
TCP会 话
TCP三 次握 手时
间
服务 器响 应时
间
ACK 时延
TCP TCP TCP SYN RESET 重传
TCP 重复 确认
TCP 分段 丢包
TCP 0 窗口 次数
重庆商业银行 安徽省农发行 浙江省农业银行 浙江绍兴银行 丹东银行 安徽农信 新疆农信 重庆农信 顺德农商银行 东莞农商银行 新疆农信 中国人保 中国人寿 人寿资产 光大银行
中石油集团
河南南阳油田
公安部等保中心
中石化集团
锦西石化公司
吉林省公安厅
华北石油通信公司
宁夏石化
辽宁省公安厅
长庆油田
中国石化报社
网络性能监控
网络利用率、 丢包、重传
19
网络及业务系统性能分析
网络性能监控
网络流量趋势变化 网络流量成分（谁？ 做什么？影响？）
网络时延（客户端时 延、服务器端时延）
20
网络及业务系统性能分析
应用性能监控
应用响应时间分析
用户体验时间=网络时延+服务器响应时延+服务器传输数据时延
业务性能分析
用户体验时间
16
回溯分析的核心作用
网络&业务 故障快速
性能分析
诊断
确保网络 安全
17
网络及业务系统性能分析
• 流量监控、带宽占用、流量构成分析 • 业务流量梳理、透视业务应用 • 关键业务通信各环节的响应时间、掌握影响用户感受的关
键因素
网络延时分析 用户响应时间分析（用户体验值）
18
网络及业务系统性能分析
42
发现问题
40
案例：设置预警，及时发现异常
南基公众云运维管理者根据历史数据，在科来系统上设置合理的组合条件，进行异常的及时告警：
通过使用科来系统，南基公众云运维部门可以及时发现异常客户端，预先处理，而非等到网络异常再进行排查， 这是主动运维的表现；
41
案例：网银系统间歇缓慢
某银行网银系统间歇性缓慢，严重影响用户感受。问题持续1个多月无法定 位，怀疑SSL加密设备问题，但没有有力的证据与厂商交涉。
故障快速定位
运维管理的普遍现状
整体业务系统性能
IT部门需要处理客户 投诉…
End User 用户
“唉，今天系统又很慢!”
应用程序部门
“是网络问题"
Log都很正常 沒有任何异常 我们已经压力测试过了!
Server部门
“跟我无关” CPU 是正常的 内存的使用率很低 磁盘 Disk I/O 一切正常
网络部门 DBA
业务支撑
OA系统 ERP CRM ……
网络业务
电子商务 物联网 网络金融业务 ……
对网络稳定、高效、安全运行的需求
12
传统网络运维管理的局限性
缺乏对故障、安全问题发生前的异常征兆的 分析发现能力，不能及时发现网络、应用或 安全方面的隐患
注重资源、设备监控管理，缺乏对网络中通 讯流量的透视分析
对于短暂或间歇性发生的问题，缺乏有效 的事件回溯方法，因而难以进行有效的事 后分析
• 缩短信息系统非计划停 运时间
主动分析，及时发现 危害网络安全的行为， 避免安全损失
• 蠕虫、木马、僵尸网络 • ARP攻击、DoS攻击、
渗透攻击
通过主动分析和预警， 发现网络系统、应用 系统以及安全方面的 运行隐患
• 有效避免隐患变成事故 • 提高信息系统健康运行
水平
网络的高安全性、高效性、高可用性是我们一直以来的的追求
应用 响应 时间
交易 处理 时间
总量/ 速率/ 包率 （上 下行）
三次
新 建 、 握手
保 持 、 最大/
关闭
小时
间
服务 器最 大/小 响应 时间
客户 端/服 务器 ACK 时延
上下 行 FIN
上下 行 RESET
上下 行重 传
上下 行分 段确
认
上下 行分 段丢 失
请求 传输 时间
响应 传输 时间
23
科来网络回溯分析系统
拓展网络视野 精细网络管理
Network Forensic Analysis Application

目录
Content
一、关于科来 二、网络分析需求 三、科来回溯分析解决方案 四、应用案例
关于科来
关于科来
成立于2003年4月，是一家专注于网络分析技术和产品研发的高新技术企业。 在网络协议分析、应用性能分析、高级木马检测与分析等技术方面有10多年 的技术积累。 国家认定的高新技术企业和双软企业，在网络协议分析等方面拥有多项核心 技术和完全的自主知识产权产品。科来软件的全球商用客户超过5000家，遍 布全球97个国家，87个世界500强企业客户。 2011年获得“中国网络分析行业最佳产品奖”； 2012年科来网络分析系统获“全球最佳科技产品奖”（PC Magazine）； 2013年度最具影响力品牌奖。
上述客户端经过验证是在不定期发送大量无意义的HTTP填充数据；这种异常客户端IP合法、使用的协议 端口合法（TCP80端口，HTTP应用），但是1个这样的客户端就能产生接近900Mbps，140Kpps的流量； 数个这样的客户端就能让一条10GE链路拥塞，对内网产生各环节增加不必要的负荷； 需要定期对这些异常客户端进行排查处理； 随着万兆服务器的出现，未来内网的优化需求只会愈发明显；
分析后台
• 多环境虚拟化分析引擎 • 样本文件动态行为实时分析 • 反分析、反虚拟化对抗 • 支持集群化部署 C/S架构
科来软件 – 产品资质
公安销售许可认证 军用信息安全产品认证 国家信息安全认证 国家保密局安全认证
10
网络分析需求
网络服务质量要求在不断提高
信息共享
文件共享 邮件和信息浏览
“没问题啊”
网络流量不多 Ping延迟都正常 Traceroute 也沒问题
“沒有什么异常现象” 交易次数比平时多一些， 不过这个很正常
具体问题在哪里，无从下手，最后问题无限期搁置下去了
24
故障快速定位
系统化的故障分析过程
用户
应用系统
网络层面分析：网络延时大？丢包多？ 应用层面分析：服务响应慢？客户端异常？错误码？ 安全层面分析：存在异常访问？被攻击？
25
确保网络安全
• 网络行为分析 • 发现和预警网络异常行为 • 安全事件回溯&取证&告警
26
主要应用价值
主动分析网络中通信、 关键业务系统的访问
• 有效降低故障发生率 • 有效降低信息系统非计
划停运次数
保存故障原始数据包， 实现数据包级智能故 障分析
• 快速定位分析故障的发 生原因，快速解决问题
南阳市公安局
中海油泰州石化
中海油泰州石化
吉林市公安局
中石化润滑油
宁煤集团
郑州市公安局
中石油勘探院
平煤集团
焦作市公安局
洛阳炼化
淮南矿业集团
许昌市公安局
济南炼化
淮北矿业集团
南通市公安局
河南濮阳油田
开滦煤矿集团
安阳市公安局
新疆石河子油田
山东黄金矿业集团
鹤壁市公安局
6
服务能力
• 客户服务中心
• 建有北京、成都、上海、广州4个技术支持中心，同时提供产品售前、 售后技术支持服务；