科来网络回溯产品介绍

合集下载

科来回溯分析系统功能介绍

科来回溯分析系统功能介绍

科来回溯分析系统功能介绍之数据挖掘1. 数据挖掘技术简介 (1)1.1数据挖掘的背景 (1)1.2 什么是数据挖掘 (1)1.3 数据挖掘的功能 (2)1.4 数据挖掘技术 (2)1.5 数据挖掘的对象 (2)1.6 数据挖掘的处理流程 (2)2. 科来回溯系分析统的数据挖掘功能 (3)2.1 按时间挖掘 (3)2.2 按数据类型挖掘 (4)2.3 按端点、应用及会话挖掘 (5)2.4 总结 (6)1. 数据挖掘技术简介1.1数据挖掘的背景随着网络应用和规模的不断发展,网络随时都在产生海量数据,这些数据方便了网络管理者了解、管理网络。

但也带来了一些问题,如信息过量,难以消化;无法快速从海量数据中找到有用的信息等。

面对网络海量数据,如何理解、发现数据之间的关系和规则,快速对数据进行抽取、转换,并进行综合分析,从中挖掘岀有价值的信息,为管理者及时、准确的提供决策数据支撑已成为网络管理的重点。

所以,将数据挖掘技术引入到网络管理,并构建全局、智能、高效的网络管理解决方案已成为一个必然的趋势。

1.2什么是数据挖掘数据挖掘(Data Mining,DM)是指从数据库的大量数据中揭示岀隐含的、先前未知的并有潜在价值的信息的非平凡过程。

数据挖掘是一种决策支持过程,它主要基于人工智能、机器学习、模式识别、统计学、数据库、可视化技术等。

数据挖掘技术是面向应用的,它不仅对数据库进行检索、查询、调用,而且要对这些数据进行深入的统计、分析和推理,发掘数据问的相互关系,完成从业务数据到决策信息的转换。

在人工智能领域,数据挖掘又被称为数据库中知识发现(Knowledge Discovery in Database, KDD),通常把数据挖掘视为数据库中知识发现过程的一个基本步骤。

1.3数据挖掘的功能常见的数据挖掘的功能包括分类( Classification)、估值(Estimation )、预言(Prediction)、相关性分组或关联规则(Affinity grouping or association rules)、聚集(Clustering)、描述和可视化(Description and Visualization八复杂数据类型挖掘仃ext, Web周形图像,视频,音频等)等七种。

科来网络介绍.

科来网络介绍.

辽宁省气象台 河北电视台 河南电视台 河南省广播电影电视局 四川江油广播电视局 苏州日报社
能源
• • • • • • • •
教育

企业
• • • • • • •
中国石油天然气股份有限公司 中国石油化工股份有限公司 中国石化报社 华北石油通信公司 河南南阳油田 中国石化润滑油公司 河南焦作电厂 安徽淮南矿业集团
内网安全产品的不足

安防投入不断增加,病毒、木马、攻击不断产生…… 硬件和带宽投入持续增长,网络却时断时续,关键应用性能无法得到保障……

* 《2006年全国信息网络安全状况调查分析报告》
科来网络通讯分析系统介绍
通过对协议数据包的解码分析,透视网络全景信息,从而全面监测和分析,快速 排查全网的网络故障和单一的应用故障,精确并快速定位恶意攻击行为。同时快速诊 断网络错误,准确发现潜在隐患,及时判断危害等级,为网络安全防御做好分析和支 持。有效评估网络性能,查找网络瓶颈,保障网络通讯质量和网络运营健康。
随时都在发生变化
• 各种现象出现稍纵即逝,很难捕捉/重现

故障影响不断升级,企业损失不断增加
现有工具不能满足全面管理要求
• 完全被动的防御模式,很难防御未知问题


现有网络管理工具只能解决局部的问题,缺乏整体解决方案
网络软、硬件配置种类繁多,现有网络管理工具很难全面适应
网络现状
据调查*
• 54% 的被调查单位发生过网络安全事故 • 62% 的用户在网络事故中直接受到损失 • 80% 以上的网络安全问题都源自内网
分布式
硬件版分布式
无线网, VoIP
2008
2009.6
2009.9

科来网络回溯分析系统前端节点技术指标

科来网络回溯分析系统前端节点技术指标

科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点,长期实时分析并捕获流量,发现网络中存在的窃密行为,同时对捕获到的网络通讯数据包进行长期存储,从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档,要求提供全中文的分析界面,要求提供全中文的文档资料。

3.系统部署1.分布式部署,要求能够部署在远程网络中进行长期实时分析,通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时,能够通过设定本地网络,区分内部和外部地址,并分别统计上行和下行流量。

4.能够实现链路聚合功能,能将多网卡的流量聚合捕获分析。

5.支持多任务分析,能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用,针对自定义的应用进行流量监测分析。

7.可根据端口或端口范围、端口组自定义应用。

8.可根据地址、地址组、地址范围自定义应用。

9.可根据地址端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存,设备的存储容量不低于。

13.数据包以专用格式存储,只能采用专用的控制台软件读取和导出,不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现线速保存能力,数据包处理性能不低于。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率(上下行)、数据包率(上下行)、网络中数量、数量、数量。

16.能实时分析并长期保存网络中的所有数据流统计数据,包括详细的会话流、会话流、会话流数据,数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获,包括根据地址、地址段、通讯协议、端口等条件过滤捕获。

6.数据检索分析要求18.能够和原有的科来网络回溯分析系统控制台配合,通过控制台方便的检索捕获的任意时间范围的网络通讯数据。

科来产品体系介绍

科来产品体系介绍

企业
• • • • 广东省电信 中国电信广州分公司 浙江省农业银行 中信国安集团公司
文化/ 文化/事业
• • • • • • • 国家图书馆 辽宁省气象台 河北电视台 河南电视台 河南省广播电影电视局 四川江油广播电视局 苏州日报社
能源
• • • • • • • • • 中国石油勘探开发研究院 中国石化济南分公司 国家电网 开滦煤矿集团 华北石油通信公司 河南南阳油田 中国石化润滑油公司 河南焦作电厂 安徽淮南矿业集团

面向业务的网络回溯分析系统平台
• • •
强大的网络故障分析 强大的网络性能和业务性能分析 强有力的安全分析
培训和服务
科来软件 – 专业的认证培训计划
• 推广更有效的网络管理技术 • 提高用户网络故障解决能力
• 网络分析技术交流 • CSNA技术培训 • CSNA认证培训 • CSNA001局域网网络分析技术 • CSNA101高级网络分析技术 • CSNA201网络安全分析技术
81个国家和地区有我们的客户
科来海外成功客户
产品部署
• • •
100,000 + 技术交流版 5,000+ 专家版企业部署 财富500强公司 强公司 财富
部分成功客户
• • •
• • • • • • • •
IBM Siemens Golder Associates Nissan Loxam Philips Kraft Adobe Motorola Dell Citizen
• 当时网络有没有问题? • 当时谁在访问?有没有攻击? • 逐级快速挖掘
为什要回溯分析?
• 网络很慢
• 当时谁在占用带宽? • 在做什么?有没有其他异常? • 逐级快速挖掘

科来网络回溯分析技术解决方案

科来网络回溯分析技术解决方案

科来网络回溯分析技术解决方案2015年6月目录1项目背景随着信息化建设步伐的不断加快,信息网络技术在的应用日趋广泛,这些先进的技术给的管理带来了前所未有的便利,也提升了的管理质量和服务水平,同时对行业网络信息和数据的依赖程度也越来越高,因此也带来了不可忽视的网络系统安全问题。

例如:网络规模的不断扩大,网络越来越复杂,应用环境也越来越复杂,网络中的数据流量越来越大,如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。

在这种情况下,网络运行维护人员必须对网络的流量占用、应用分布、通讯连接、数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握,才能在网络出现性能和安全问题时,能够快速准确的分析问题原因,定位故障点和攻击点并将其排除,从而实现网络价值最大化。

2需求分析根据目前的应用及网络状况,需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断,帮助管理员排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。

使不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。

在网络日常运维中主要存在如下几个困扰:1) 信息网中运行着大量的服务和设备,一旦业务应用出现问题,需要快速区分是网络问题还是应用问题,而当前对网络和应用问题的分析手段相对缺乏,导致运维团队之间互相推诿责任,问题解决效率迟缓,如何快速定位问题已成为网络管理的迫切需求。

2) 需要掌握重要业务应用链路的流量趋势,流量利用率等情况。

针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。

另外还需要对网络通讯按业务类型进行归类和分析,帮助管理人员有效地掌握业务通讯状态,提高管理策略依据。

3) 对影响网络安全的攻击或异常行为,无法及时发现与监控,避免网络出现重大故障甚至瘫痪。

4) 及时发现网络中存在的安全隐患(扫描攻击),以便网络管理人员及时加固和消除。

地铁-科来网络回溯分析解决方案建议书

地铁-科来网络回溯分析解决方案建议书

地铁-科来网络回溯分析解决方案建议书目录1.目前网络运维难点 (2)2.网络回溯分析实现运维目标 (2)3.网络回溯分析应用价值 (4)3.1.安全分析功能 (4)1.1.故障诊断 (5)1.2.网络预警 (5)1.3.决策依据 (5)1.4.责任界定 (6)1.5.业务梳理 (6)1.6.应用监控 (6)1.7.数字取证 (6)4.解决方案 (7)4.1.方案介绍 (7)4.2.网络回溯系统部署方案 (7)4.2.1.全网部署示意图(实现全网监控) (8)4.2.2.车站部署示意图 (10)4.2.3.中心部署示意图 (11)1.目前网络运维难点随着IT的高速发展,网络结构日新月异,云环境已经成为逐渐替换传统网络,成为网络中重要的一部分,但同样也带来了新的运维挑战、云环境的复杂性及未知性、传统网络网元的多样性(路由器、防火墙、WAF、负载均衡、IPS等等),给网络提供高效的传输和管理途径外,也带来了更多的运维难度;据统计,网络故障中75%是间歇性故障,在管理员响应后故障现象已经不再了,而这个故障隐患却一直潜伏着,同时据统计,目前网络故障定位平均时间为2天以上,而故障解决只需要2小时,而这里面还不包含无法定位而不了了之的故障,因此,快速定位故障是一项极为重要的事情。

众所周知,不论是传统物理网络还是云虚拟环境,只要存在网络活动、一定会产生网络行为,而网络行为的基本元素就是数据包,因此网络抓包是网络运维管理的终极手段,无论是网络故障、应用系统故障、安全威胁都能够通过抓包分析得到最终定位,而科来则将数据包“可视化”做到了极致效果,使运维的终极手段能够直接运用到网络管理中。

网络回溯分析系统是一款集网络七层协议分析技术、高性能数据存储和智能数据挖据技术、分布式数据处理技术的高性能硬件平台,实现全天候7*24小时不间断抓包监控,能够为用户提供其他网络和安全产品所不可替代的价值。

2.网络回溯分析实现运维目标主动性网络管理,减少网络瘫痪和性能下降的时间减少网络故障,缩短网络系统宕机时间,避免无法估量的经济损失;减少解决网络故障的时间通过使用全流量分析系统监控可以更快捷、更有效的诊断网络故障,大幅度减少解决网络故障的时间。

科来网络安全分析

科来网络安全分析

科来网络安全分析
科来网络安全是一家专注于网络安全领域的企业,致力于为客户提供全方位的网络安全解决方案。

通过深入分析网络威胁和风险,科来网络安全帮助客户发现和防御各种网络攻击,并确保其网络系统和数据的安全。

为了满足客户的不同需求,科来网络安全提供了多种服务和产品。

其服务包括网络安全评估与威胁情报分析、漏洞扫描与修复、网络流量监测与分析、安全事件响应等。

从网络安全评估开始,科来网络安全会通过对客户的网络系统进行深入分析,识别潜在的风险和漏洞,并提供相应的解决方案。

其威胁情报分析团队会时刻关注全球网络威胁动态,及时提供最新的威胁情报,帮助客户做好威胁预防和应对工作。

此外,科来网络安全还提供了高效可靠的漏洞扫描与修复服务。

通过对客户的网络系统进行全面扫描,科来网络安全能够及时发现和修复潜在的漏洞,减少潜在的攻击威胁。

网络流量监测与分析是科来网络安全的另一个核心服务,通过对客户网络的流量进行实时监测和分析,科来网络安全能够帮助客户快速发现异常行为和潜在威胁,并采取相应的措施进行防御。

最后,科来网络安全还提供安全事件响应服务,通过快速响应和处理网络安全事件,科来网络安全能够帮助客户减少损失和恢复网络系统的正常运行。

科来网络安全拥有一支专业的安全团队,具备丰富的经验和深厚的技术实力,能够有效应对各种网络安全挑战。

总之,科来网络安全通过提供全方位的网络安全解决方案,帮助客户保护其网络系统和数据的安全。

无论是网络安全评估、威胁情报分析、漏洞扫描与修复、网络流量监测与分析,还是安全事件响应,科来网络安全都能够为客户提供专业的支持和服务。

客户可以放心地将网络安全交给科来网络安全,专注于自身的核心业务发展。

科来网络分析系统6.0使用说明书

科来网络分析系统6.0使用说明书

开始使用选择网卡网络数据包是通过网卡进行转发的,对数据包的捕获需要利用网卡进行采集,在进行工程运行之前,需要选择分析的网卡。

科来网络分析系统支持多网卡进行数据采集,同时也支持拨号的上网和本地环回。

本地环回是指客户端和访问的服务器端都是本机,此时的网络数据并不经过网卡,科来网络分析系统同样支持以类数据的监测分析。

在工程设置中,科来网络分析系统会自动列出所有可用到的网卡类型,用户可以根据实际情况进行选择。

设置显示选项科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段,为了适合查看,并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据,右键点击每个视图字段标题,将可以打开显示选项。

软件界面菜单下面的表格是菜单命令以及相应说明:节点浏览器节点浏览器最大的用途,就是能快速的选择需要查看的节点,通过选择节点,用户可以查看该节点对应的网络数据。

节点浏览器由三个类组成,分别是协议节点,物理节点,IP 节点。

用户可以很方便的定位到整个网络,也可以定位到某个 IP段,或是某个 IP。

而右边的数据会根据选择的节点显示相关的数据。

工程状态栏我们为每个工程都提供一个状态栏,用户可以查看当前工程的执行情况和配置状态。

包括使用的过滤器,捕获到的数据包,数据包缓存的占用情况等。

缓存使用率的颜色条默认情况下是蓝色,超过 80%,将变为橙色,超过 90%,则显示为红色。

主视图区网络分析的主要数据结果,都放置在主视图区。

科来网络分析系统 5.0 包含以下视图,每个视图都包含不同的分析结果。

数据排序功能是一个对数据查看很有用的功能,用户对于想查看的数据排序,只需要单击一下列表的字段,就可以进行正序或倒序的排列,如下图所示。

查找带宽占用最大的 IP,或查找数据包发送最多的 IP,利用数据排序将是非常容易的方法。

科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段,为了适合查看,并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据,右键点击每个视图字段标题,将可以打开显示选项。

科来网络分析简介

科来网络分析简介

科来网络分析简介科来网络分析系统通过还原网络原始数据包,并进行从网络链路层到网络应用层的全面解析分析,透视网络运行内容,建立可视化的网络全景信息,帮助网络管理者打造安全高效的网络。

科来网络分析系统2010是一个集数据包采集、解码、协议分析、统计、图表、报表等多种功能为一体的综合网络分析平台。

它可以帮助网络管理员排查网络安全隐患、网络流量监控、定位网络故障。

主要功能数据采集∙实时捕捉以太网数据包∙捕捉本机自循环IP数据包∙从拨号适配器捕捉数据包∙支持同时从多个网卡捕捉数据包∙支持多个工程同时使用一个网卡∙从多种格式的文件导入数据包数据过滤∙简单过滤器可设置地址、端口、协议等参数∙高级过滤器支持更强大的过滤规则和条件∙图形化地表现高级过滤器内部逻辑关系∙设定新建工程确省过滤器列表∙支持过滤器导入导出∙同时启用接受过滤器和拒绝过滤器协议分析∙采用基于CSPAE分析引擎地实时网络数据包和协议分析∙实时的分析和重组TCP数据流∙HTTP高级分析模块∙Email高级分析模块∙FTP高级分析模块∙HTTP请求、邮件以及FTP传输日志∙图形显示分析结果数据统计∙概要统计∙端点统计∙协议统计∙图形化统计数据和历史采样∙支持分析模块动态注册统计计数器专家诊断∙智能化的故障分析∙实时提供诊断结果∙按照OSI七层协议对错误信息进行分组∙诊断结果按照安全级别提醒用户∙提供事件的解释,起因,以及可能采用的解决方法实时监控∙实时监测TCP链接状态∙提供2D/3D图表化实时监测∙实时监测网络流量和利用率∙实时监测错误数据包∙实时监测网络数据包大小分布数据包解码∙采用CSPDE解码引擎实时解码∙数据包概要解码∙数据包详细解码∙解码器管理(启用、禁用解码器)∙数据包十六进制解码(HEX, ASCII,.EBCDIC)数据输出∙生成统计报表∙生成日志文件∙保存工程文件∙导出数据包为多种格式的数据包文件∙打印及打印预览λ故障诊断:自动诊断40多种网络故障,自动定位故障点,科来网络分析系统自动分析故障产生的原因并推荐解决方法;λ流量分析:多达42种的流量分析数据,能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析;λ安全分析:查找网络中存在的安全风险;λ性能分析:查找网络性能瓶颈;λ协议分析:深入分析网络中的所有应用;λ网络连接和通讯监视:直观反映网络中机器的连接情况,监视网络活动。

科来网络回溯产品介绍

科来网络回溯产品介绍

电力/电网
能源/矿业
广东电信 湖南电信 湖北电信 广州电信 桂林电信 汕头电信 深圳电信 清远电信
运营商
广东移动 浙江移动 四川移动 江苏移动 湛江电信 梅州电信 阳江电信 肇庆电信
公安
信息产业部电信研究院 中国空间技术研究院 中国科学院信息中心 中国社科院台湾研究所 中国电子科学研究院 煤炭科学研究总院 四川省农业科学院 重庆电力科学研究院 国网电力科学研究院 海南汽车试验研究所 北京信息技术研究所
25
确保网络安全
• 网络行为分析 • 发现和预警网络异常行为 • 安全事件回溯&取证&告警
26
主要应用价值
主动分析网络中通信、 关键业务系统的访问
• 有效降低故障发生率 • 有效降低信息系统非计
划停运次数
保存故障原始数据包, 实现数据包级智能故 障分析
• 快速定位分析故障的发 生原因,快速解决问题
• 拥有一支近百人的专业客户服务技术团队,提供产品售后服务与技术支 持。
• 完善的售后服务
• 全国统一服务热线 • 售后产品免费培训 • 量身定制的分析服务 • 现场技术支持服务 • 远程技术支持服务
7
科来产品
网络分析系统软件
• 实时抓包 • 解码分析 • 定位故障点
回溯分析系统硬件
• 长期数据包采集 • 实时分析与预警 • 应用访问质量 • 回溯分析取证
36
案例:快速发现异常主机_用量异常
南上其基述中公每HT众个TP云客的网户数络端据中的均出应是现用大偶构量发成的性均单的是向流H流T量T量P突和,发S这S现H些象:流,量如均下是图无所意示义:的填充数据:
37
案例:快速发现异常主机_安全异常

科来网络回溯分析系统-回溯追踪ARP扫描攻击

科来网络回溯分析系统-回溯追踪ARP扫描攻击

回溯追踪ARP扫描攻击----------科来网络回溯分析系统1. 科来网络回溯分析系统产品概述科来网络回溯分析系统是能够长期记录网络通讯数据,并提供基于时间的数据挖掘分析系统。

它拥有独特的网络管理能力,实现了数据的海量存储及快速的历史数据回溯分析功能,使网络分析突破时间的限制,在数据挖掘、追踪定位以及安全取证等方面更精确、高效,从而帮助用户解决当今最困难的网络问题。

科来网络回溯分析系统由分析服务器、分析控制台和分析管理控制中心组成,实现了从庞大的本地网到跨地域跨分支的广域网的方便、快捷的数据采集、分析和解码,快速完成网络故障诊断、网络应用分析、性能分析以及协议分析等功能。

科来网络回溯分析系统(部署图示)2. ARP扫描攻击追踪性分析上面介绍了科来网络回溯分析系统,有些回溯产品的用户在反馈说科来的回溯产品很强大,但在查找、定位起来感觉有些困难。

其实科来网络回溯分析系统已经充分考虑了这些问题,并提供了相应的解决办法。

由于之前大家都习惯了使用科来便携式分析系统的分析模式,感觉通过诊断和安全分析方案即可很方便的对网络问题进行发现并定位,其实回溯的产品更加准确、方便、实用。

下面我来说一下上周一个客户遇到的问题。

该用户在网络中部署了科来网络回溯分析系统,监控的内容包括:DMZ区应用服务器、分支机构VPN流量、内网的上网流量。

该用户在一些设备上报出了Arp攻击的错误信息,最终去没有找到相关的异常设备。

其实目前对ARP的问题存在两个问题:1、故障产生,并且有大量机器能显示报错,但是没有保存下有效数据,进行定位分析及取证2、数据太多,无法快速查找、定位,并且进行追溯性分析。

现在就来介绍一些如何通过科来网络回溯分析系统进行ARP故障的诊断、定位。

1、选择分析的时间,回溯数据至故障时间段。

2、选择窗口的显示单位,由于我们尽量多的去查找ARP,在这里我们选择10天窗口。

3、选择数据的呈现方式。

虽然科来能提供多种呈现方式,在这里我们选择根据物理地址进行显示。

科来网络分析软件说明

科来网络分析软件说明

安装部署科来网络分析系统可以进行内网以及内网与外网的数据检测分析,甚至可以跨VLAN进行数据监测。

只安装在一台管理机器上即可,不用安装到局域网的每台机器。

管理人员可以根据需要,来决定网络的安装位置,安装位置的不同,捕获到的网络数据也差异很大。

为了更全面的监测网络数据,我们建议最好将产品部署的设备直接连接到中心交换设备上,这样可以更多的数据信息;您也可利用网络分接器,来分析任意网段的数据。

下面我们介绍几种常见产品部署。

1. 共享网络- 通过Hub连接上网2. 交换式网络- 交换机具备管理功能(端口镜像)3. 交换式网络- 交换机不具备管理功能(无端口镜像)- 使用网络分接器(Taps)- 使用集线器(Hub)4. 定点分析某个网段共享网络- 通过Hub连接上网使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。

如果您局域网的中心交换设备是集线器(Hub),可将科来网络分析系统可安装在局域网中任意一台主机上,此时科来网络分析系统可以捕获整个网络中所有的数据通讯。

交换式网络- 交换机具备管理功能(端口镜像)使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。

交换机(Switch)工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。

大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络分析系统可安装在连接镜像端口的主机上即可,此时科来网络分析系统可以捕获整个网络中所有的数据通讯。

交换式网络- 交换机不具备管理功能(无端口镜像)一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。

如果您的中心交换或网段的交换没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap)的方法进行部署。

科来APT解决方案

科来APT解决方案

恶意文件分析系统
• 多环境虚拟化分析引擎 • 样本文件动态行为实时分析 • 反分析、反虚拟化对抗 • 支持集群化部署 • C/S架构
2.2、产品部署 产品部署示意图
2.3、产品关键技术
样本文件
虚拟化分析环境
操作系统
样本文件
分析引擎
关联
关键技术1:基于硬件模拟的虚拟化
分 中析心动态分析技术 硬件模拟器
• 2011年3月17日,EMC公司宣布遭受 APT攻击,攻击者已获得其RSA SecurID的一次性密码(OTP)认证产 品的有关信息
• 2013年3月20日,新韩银行、农协银行 等韩国金融机构的信息系统遭到APT攻 击,信息系统瘫痪,服务几近中断
• 攻击策划时间长达8个月,成功潜入韩 国金融机构1500次,共使用了76个定制 的恶意软件,受害计算机总数达48000 台,攻击路径涉及韩国25个地点、海外 24个地点。
夹杂着各种目的的APT攻击,2013年是最不平凡的一年
1 、斯诺A登P爆T料背称美景国政与府入需侵求中国分网络析多年
棱镜门牵出“上游”监控项目 利用WPS 2012/2013 0day针对中国政府部门的定向攻击 3684个中国政府站点遭黑客入侵 .cn根域名服务器遭遇有史最大的DDOS攻击 利用热点的新型APT攻击 针对Adobe Flash漏洞的APT攻击 如家、锦江之星等酒店的用户信息泄露 梭子鱼多个产品惊现SSH后门账户 HP D2D/StorOnce备份服务器被爆发现后门 DLink路由器固件后门 腾达Tenda 路由器后门 黑客向NSA出售0day漏洞 Apache Struts2框架漏洞
APT攻击的网络解决方案 检测、追踪、取证与防护
大纲
1 背景与需求分析 2 产品与关键技术 3 案例分析 4 关于我们

回溯分析案例-某电信IDC机房-服务器异常行为监控

回溯分析案例-某电信IDC机房-服务器异常行为监控

某电信IDC机房——托管服务器异常行为监控一、案例背景某电信IDC机房为数千家政企用户提供服务器托管业务,有些用户却利用托管服务器为跳板从事一些非业务流量,比如代理上网、视频或下载,这不仅增加了IDC出口的负担,也为IDC内部网络的安全带来了隐患。

而IDC机房现有的网管及分析工具,对用户的这种用户非业务行为往往是事后才能发现,而且缺乏足够的历史数据对过去发生的网络事件进行回溯,无法快速的通过量化的证据对这些用户的行为进行通告和规范。

科来网络分析系统通过数据包层面的分析,能够对用户的网络行为进行的可视化的监控、分析,并支持7*24小时不间断的长期分析,掌握接入流量的负载及每日、每周的流量基准、变化趋势,为用户异常行为发现提供基准,从而及时的发现网络的流量突发与拥塞,快速的定位到造成异常流量的IP源头,并对其行为进行深入分析,提供历史事件的证据,及时发现危害网络的病毒、攻击行为,避免网络瘫痪。

二、设备部署在交换机上启动镜像功能,由科来网络回溯分析服务器采集用户接入IDC机房网络的流量,部署示意图如下:通过网络分析对网络进行可视性分析和专家级的诊断,对VPN接入用户的网络行为进行7*24小时不间断的实时监控与分析,快速的发现异常行为的用户,并对潜在的安全隐患进行预警,并将关键的网络参数指标及原始数据包保存、记录,同时提供方便快捷的数据挖掘功能快速的对历史事件进行追溯,并能够通过智能专家诊断系统,快速的发现问题.三、托管服务器异常行为监控IDC机房主要业务为托管web服务器等业务,其他代理上网、P2P下载都是非业务行为,而且将消耗出口带宽资源,影响正常业务的效率。

通过科来网络回溯分析系统,我们可以快速的定位异常主机,通过其流量行为特征判断是否在从事非业务行为;通过一段时间的流量监控后,可以获取各种网络参数的监控基准,从而设置合理的告警阀值,实现对网络异常主动预警。

快速的发现异常主机我们可以找出任意时间段所有主机的流量统计,统计参数包括流量大小、数据包量、收发流量及TCP层关键参数,如下图所示:通过上图,我们把流量最大的四台机器几个关键参数提取出来,如下所示:关键参数解读:流量:传输数据的大小,直接影响到总出口带宽,通过该参数,我们能够快速的发现对IDC出口影响最大的IP主机流量发收比:上传流量和下载流量的比值,托管机房里的服务器,一般都是提供网络服务供他人下载,正常情况下,上传流量应该大于下载流量,而“流量发收比”=上传流量/下载流量,该比值应该大于1。

科来网络回溯分析系统前端节点技术指标

科来网络回溯分析系统前端节点技术指标

科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点,长期实时分析并捕获流量,发现网络中存在的窃密行为,同时对捕获到的网络通讯数据包进行长期存储,从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档,要求提供全中文的分析界面,要求提供全中文的文档资料。

3.系统部署1.分布式部署,要求能够部署在远程网络中进行长期实时分析,通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时,能够通过设定本地网络,区分内部和外部IP地址,并分别统计上行和下行流量。

4.能够实现链路聚合功能,能将多网卡的流量聚合捕获分析。

5.支持多任务分析,能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用,针对自定义的应用进行流量监测分析。

7.可根据TCP/UDP端口或端口范围、端口组自定义应用。

8.可根据IP地址、地址组、地址范围自定义应用。

9.可根据IP地址+端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存,设备的存储容量不低于4Tbytes。

13.数据包以专用格式存储,只能采用专用的控制台软件读取和导出,不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现1000Mbps线速保存能力,数据包处理性能不低于200,000pps。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率(上下行)、数据包率(上下行)、网络中TCP SYN数量、TCP SYN ACK数量、TCP SYN RST数量。

16.能实时分析并长期保存网络中的所有数据流统计数据,包括详细的IP会话流、TCP会话流、UDP会话流数据,数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获,包括根据IP地址、地址段、通讯协议、TCP/UDP端口等条件过滤捕获。

网络流量收集与分析流量回溯分析系统-Moloch-科来

网络流量收集与分析流量回溯分析系统-Moloch-科来

⽹络流量收集与分析流量回溯分析系统-Moloch-科来⽹络流量收集与分析/回溯分析系统2019/10/14 ChenxinMoloch简介MolochMoloch is a large scale, open source, indexed packet capture and search system.谈及 Moloch, 想必⼤家都知道” moloch 是⼀个开源的、⼤规模的 IPv4 数据包捕获(PCAP),索引数据库系统。

“ 它以标准 pcap 格式存储和索引⽹络流量提供快速的索引访问,从⽽减少可疑事件的分析时间。

收集所有⽹络流量信息,存储,分析,图标展⽰.有点类似sniffer的统计预览功能.存储的PCAP⽂件,进⾏分析,图形化展⽰源于⽬的的访问关系.展⽰流量图等.节选:在⼯作中,我使⽤的是国内某家公司的全流量分析系统,相⽐之下,我认为 Moloch 作为⼀款开源系统,其对流量数据的解析功能⾮常强⼤,可以花式构造过滤语句。

但毕竟以流量为主,不具备基于⾏为或特征之类的常见检测机制,如果需要,可以配合 Snort、Bro、Suricata 等检测系统。

(Moloch 可将 Suricata作为插件结合,有兴趣的朋友可以试试)流量回溯系统通常都会⾯临这样⼏个问题:1、数据包的存取和协议的分析;2、数据量很⼤的时候检索的速度。

我们设想⼀下使⽤ tshark 、Wireshark 对⼀个⼏⼗ GB 的数据包进⾏分析时,包的加载都会是⼀个很头疼的问题,更不⽤说过滤表达式的应⽤。

⽽ Moloch 在这⽅⾯就具备了独特的优势安装部署数据的来源是交换机的镜像端⼝,moloch 系统主要涉及三个组件 Capture,elasticsearch 和 Viewer .Capture (绑定 interface 运⾏的单线程 C 语⾔应⽤)⽤来抓取流量并以 pcap 的格式存储到硬盘上⾯,还会存⼀份对应关系到elasticsearch (moloch 的数据检索驱动)中,Viewer(运⾏在 capture 主机上的 node.js web应⽤)提供 web 界⾯,以下为 Moloch 的单个主机部署架构图。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对于短暂或间歇性发生的问题, 缺乏有效的事件回溯方法,因而 难以进行有效的事后分析
13
科来优势
可视化网络 管理
信息数据 应用交易处理情况
数据流 数据包 数据帧
网络服务质量情况 网络总体运行情况
发 送
0100010001011…………0100010111 接收
14
以数据包分析为基础,最真实、完整的
科来回溯分析解决方案
运浙营江移商动
四川移动 江苏移动 湛江电信 梅州电信 阳江电信 肇庆电信
公安
公安部等保中心 吉林省公安厅 辽宁省公安厅 南阳市公安局 吉林市公安局 郑州市公安局 焦作市公安局 许昌市公安局 南通市公安局 安阳市公安局 鹤壁市公安局
服务能力
• 客户服务中心
• 建有北京、成都、上海、广州4个技术支持中心,同 时提供产品售前、售后技术支持服务;
• 拥有一支近百人的专业客户服务技术团队,提供产 品售后服务与技术支持。
• 完善的售后服务
• 全国统一服务热线 • 售后产品免费培训 • 量身定制的分析服务 • 现场技术支持服务 • 远程技术支持服务
7
科来产品
8
科来产品
面向APT攻击 的多维网络 监测平台
• 高速流量数据采集引擎 • 海量协议模糊识别 • 快速流量会话重建 • 实时数据分析上报 支持分布式部署 C/S架构
15
科来产品部署
• 重点区域旁路部署 • 分布式部署 • 不影响原有网络架构
16
回溯分析的核心作用
17
网络及业务系统性能分析
• 流量监控、带宽占用、流量构成分析 • 业务流量梳理、透视业务应用 • 关键业务通信各环节的响应时间、掌握影
响用户感受的关键因素
网络延时分析 用户响应时间分析(用户体验值)
4
科来产品在全球的销售
• 科来在全球
• 全球5000多商业客户,87个世界500强用户 • 国内营销和技术支持中心:北京、上海、广
州、成都、南京 • 海外市场:北美区、欧洲区、亚太区
5
国内典型客户
科技部
外交部
农业部
海关总署
国家统计局
国家工商总局
国家会议中心
国家电监会
国家证监会
政国家府图书馆

国防科工总局 融
电力贵/州电乌网江水电 能源/矿业
河南焦作电厂 河南栾川供中电石油集团 漯河市供电中石化集团 青州市供电华北石油通信公司 寿光市供电长庆油田 中电临河发中电海油泰州石化
中石化润滑油 中石油勘探院 洛阳炼化 济南炼化 河南濮阳油田 新疆石河子油田
广东电信 湖南电信 湖北电信 广州电信 桂林电信 汕头电信 深圳电信 清远电信 广东移动
“跟我无关” CPU 是正常的 内存的使用率很低 磁盘 Disk I/O 一 切正常
网络部门
“没问题啊”
网络流量不多 Ping延迟都正常 Traceroute 也 沒问题
10
网络分析需求
11
网络服务质量要求在不断提高
文件共享 邮件和信息浏览
OA系统 ERP CRM ……
电子商务 物联网 网络金融业务
……
12
传统网络运维管理的局限性
缺乏对故障、安全问题发生前的 异常征兆的分析发现能力,不能 及时发现网络、应用或安全方面 的隐患
注重资源、设备监控管理,缺乏 对网络中通讯流量的透视分析
信国息家产测业评部中电心信研究院
中深国圳空海间关技术研究院
中四国川科省学政院府信息中心
中山国东社省科测院评台中湾心研究所
中河国南电省子委科办学公研厅究院
煤河炭北科省学国研税究局总院
四山川西省省农政业协科学院
重庆电力科学研究院
国网电力科学研究院
海南汽车试验研究所 北6 京信息技术研究所
国家电网(IIS) 河南省电力 安徽省电力 江西省电力 四川省电力 天津市电力 重庆市电力 北京华电 贵州市电网
9
• 数据深度关联分析引擎 • 可疑流量识别 • 安全事件智能分析 • 产品集中管理配置 • 前端服务器管理 • B/S架构
• 多环境虚拟化分析引擎 • 样本文件动态行为实时分析 • 反分析、反虚拟化对抗 • 支持集群化部署 C/S架构
科来软件 – 产品资质
公安销售许可认证 军用信息安全产品认证 国家信息安全认证 国家保密局安全认证
服务器传输 数据时间
22
网络及业务系统性能分析
关键业务应用性能 指标监控
23
故障快速定位
运维管理的普遍现状
整体业务系统 性能
IT部门需要处 理客户投诉…
End User 用户
“唉,今天系统又很 慢!”
“是网络问题"
Log都很正常 沒有任何异常 应用程序部门 我们已经压力测 试网络时延
服务器时延
局域网时 广域网时延 响应时延 传输数据时


21
业务_A 166 毫秒
3毫秒
120毫秒
3毫秒 40毫秒
网络及业务系统性能分析
应用性能监控
通过10.254.245.141在该时间段的应用语句回放,我们发现其 中一个请求 “GET /Rmweb/view.do?func=attach:download……”的语句, 服务器响应了超过34MB字节的流量,总处理时间为10分钟 52秒
• 科来网络回溯分析系统
拓展网络视野 精细网络管理
Network Forensic Analysis Application
1
一、关于科来 二、网络分析需求 三、科来回溯分析解决
方案 四、应用案例
2
关于科来
3
关于科来
成立于2003年4月,是一家专注于网络分析技术和产品 研发的高新技术企业。在网络协议分析、应用性能分析、 高级木马检测与分析等技术方面有10多年的技术积累。 国家认定的高新技术企业和双软企业,在网络协议分析 等方面拥有多项核心技术和完全的自主知识产权产品。 科来软件的全球商用客户超过5000家,遍布全球97个国 家,87个世界500强企业客户。 2011年获得“中国网络分析行业最佳产品奖”; 2012年科来网络分析系统获“全球最佳科技产品奖” (PC Magazine);2013年度最具影响力品牌奖。
18
网络及业务系统性能分析
网络性能监控
网络利用 率、丢包、 重传
19
网络及业务系统性能分析
网络性能监控
网络流量趋 势变化
网络流量成 分(谁?做 什么?影 响?)
网络时延(客 户端时延、服 务器端时延)
20
网络及业务系统性能分析
应用性能监控
应用响应时间 分析
用户体验时间=网络时延+服务器响应时延+服务 器传输数据时延
相关文档
最新文档