网络运维技术交流

网络运维技术交流

——科来网络回溯分析系统

一、网络安全检测

1.木马的检测

近年来，网络中的木马和蠕虫病毒危害日益严重，而科来网络分析系统也大幅增加了对木马的支持，系统内置了数十种已知木马，包括木偶、ZXShell等前两年流行的木马，也有黑太阳、毒葛Poison Ivv等后起之秀，并且有专人负责不断研究和更新木马库。同时系统允许用户自定义添加自己分析出的木马特征，可根据特征类型（ASCII码和16进制）、特征码、协议、数据包长度等多个条件，进行木马的自定义操作，从而提高准确性。

当系统检测到与内置木马库相匹配的网络通讯行为时，系统会自动报警，并在系统的警报视图中显示详细信息。

2.网络攻击行为的检测

科来网络分析系统根据网络攻击行为的特征，形成完善的网络安全分析机制，可以自动分析捕获的网络数据包中的TCP端口扫描、ARP攻击、拒绝服务、蠕虫病毒等常见的网络攻击。如图示：

3.信息泄密行为的检测

目前网络中的信息泄密行为，大多通过邮件、FTP、IM即时通讯等方式进行；而科来网络分析系统邮件敏感字警报功能，可以对基于SMTP和POP3协议传输的邮件标题和内容进行检测，当发现有这些敏感字时，系统会自动报警。

并且系统可以将网络中的邮件、FTP、MSN、YAHOO等通讯的内容进行重组和还原，通过查看邮件的正文和附件，以及FTP、IM通讯的内容，我们可以知道到这些通讯的详细信息，从而了解网络中是否有信息泄密行为。

（邮件内容还原）

（IM即时通讯内容还原）

二、网络故障诊断

科来网络分析系统是一个让网络管理者，能够在各种网络问题中，对症下药的网络管理方案，它对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络事故。

网络故障稍纵即逝，单靠故障发生瞬间找到根源非常困难；而科来网络系统可以长期不间断的对网络进行监控和数据采集存储，并且通过专家诊断功能快速查找网络中的故障（如网络丢包、延迟，网络访问慢，以及网络环路等等），还可以对数据进行重现，对网络中的每一个IP会话、TCP会话、UDP会话以及每一个应用进行还原分析，并且可以对数据流进行重组还原及数据包解码分析，从而可以查看网络通讯的详细内容；这样就可以准确分析出产生网络故障的原因。

（专家诊断）

（详细TCP会话及数据流还原内容）

三、网络性能评估

科来网络分析系统通过大量的数据存储与回溯分析，及对网络的长期监控，从而建立图形化的全景信息，进而掌握网络长期运行的整体情况，识别和追踪定位网络问题，获得网络管理策略升级实施的决策依据，提高网络管理的整体技术水平与解决复杂网络问题的能力。

通过对网络的长期监控，我们可以了解到网络总体带宽的使用情况，为提升带宽提供依据，也可以理解各个网络应用的带宽使用情况（如P2P、HTTP以及OA、ERP等），从而为防火墙或流控设备提供策略依据。