科来网络回溯分析技术解决方案

科来网络回溯分析技术

解决方案2015年6月1项目背景随着信息化建设步伐的不断加快，信息网络技术在的应用日趋广泛，这些先进的技术给的管理带来了前所未有的便利，也提升了的管理质量和服务水平同时对行业网络信息和数据的依赖程度也越来越高，因此也带来了不可忽视的网络系统安全问题。例如:网络规模的不断扩大，网络越来越复杂，应用环境也越来越复杂，网络中的数据流量越来越大，如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。在这种情况下，网络运行维护人员必须对网络的流量占用、应用分布、通讯连接、数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握，才能在网络出现性能和安全问题时，能够快速准确的分析问题原因，定位故障点和攻击点并将其排除，从而实现网络价值最大化。2需求分析根据目前的应用及网络状况，需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断，帮助管理员排除网络事故，规避安全风险，提高网络性能,增大网络可用性价值。使不用再担心网络事故难以解决，网络分析系统可以把网络故障和安全风险会降到最低，找到网络瓶颈逐步提升网络性能。在网络日常运维中主要存在如下几个困扰：1）信息网中运行着大量的服务和设备，一旦业务应用出现问题，需要快速区分是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，导致运维团队之间互相推诿责任，问题解决效率迟缓，如何快速定位问题已成为网络管理的迫切需求。2）需要掌握重要业务应用链路的流量趋势，流量利用率等情况。针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。另外还需要对网络通讯按业务类型进行归类和分析，帮助管理人员有效地掌握业务通讯状态，提高管理策略依据。3）对影响网络安全的攻击或异常行为，无法及时发现与监控，避免网络出现重大故障甚至瘫痪。4）及时发现网络中存在的安全隐患（扫描攻击），以便网络管理人员及时加固和消除。5）对一些突发的网络故障，稍纵即逝并且发生周期不定，不能及时重现网络故障现象，定位故障原因，将故障排除，避免相同故障的再次发生。6）降低网络管理成本，提高网络管理的服务质量。基于以上的分析，网络安全分析技术能较好的解决目前出现的问题。3网络分析技术解决方案根据目前的需求，现以网络分析技术方案来构建信息网络的安全分析系统，针对日常运维中棘手的网络故障、安全威胁隐患、网络性能隐患等方面的问题，提供一套高效处理与分析的工具，保障信息网的稳定与可靠。下面对网络的安全分析制定如下方案：3.1科来产品部署原理端口镜像（），是为了方便对一个或多个网络接口的流量进行分析（如产品、网络分析仪等），可以通过配置来把一个或多个端口（）的数据转发到某一个端口来实现对网络的监听，目前大多数三层或三层以上的交换机及部分二层交换机都支持该功能。如上图所示，可以通过在出口交换机上做配置，将出口流量完全复制到交换机的另一个端口给科来网络分析系统做数据的监控、分析。端口镜像是相当成熟的技术，对交换机本身的开销很小，而且这种旁路的方式可以保证科来网络分析系统对原有网络不造成任何影响。（分路器）的方式旁路部署，该部署方式是为了节省核心设备端口及运行开销资源的部署方式，可以通过在已有的镜像链路进行数据复制分发到科来网络回溯分析系统进行数据的采集分析。这样不会影响网络原有的架构及核心网络设备本身的资源开销。目前广韶高速营运中心有收费网、监控网、2.5G通讯网、网和网多张网络，但是都是在同一机房，如果流量不大可通过一台设备多个采集口的方式同时监控，或者通过的方式接入都可以。3.2方案概述为了能够全面监视网络的健康状况，将网络安全分析系统以旁路的方式部署在网络的关键链路上，实现对重要链路的实时监控分析。安装部署后不会改变原有的网络结构和网络速度。通过网络分析对网络进行可视性透视和专家级的诊断，全方位的监控网络、评估网络、应用性能，快速定位网络故障，并对潜在的安全隐患进行预警，从而保障网络的持续稳定高效运行。3.3网络运维管理的应用价值基于科来回溯分析系统解决方案能够帮助信息系统管理人员透视网络关键节点的通讯数据，实现分布式、全方位的网络可视化运维，从而进一步完善信息系统〃稳定、安全、高效”的管理目标。科来网络运维管理解决方案能够有效的提高用户的信息系统运行水平并为信息系统提供更高级别的安全保障，主要表现在以下几个方面：实现网络精细化管理，提供网络运行、应用运行的可视化分析通过网络通讯分析技术，网络协议分析技术，端口分析技术，数据包解码技术等网络分析技术，能够对网络系统存在的瓶颈进行有效评估，避免盲目的升级硬件、扩容带宽。帮助节约高昂的运维成本。通过对底层数据包进行全面、系统的解码、分析、诊断，并将结果体现于直观、易懂的界面或报表中，让网络、应用不再是〃黑匣子”。网络管理者通过这些数据可以掌握网络、应用运行的趋势、各种性能参数如利用率、流量、数据包大小等，为网络升级规划、资源合理分配提供夯实的数据基础。科来网络应用安全回溯分析系统提供从全局到节点、会话再到数据包的分析过程。＞全天候关键网络、业务的网络流量监控•系统提供对关键链路的全天候图形化的流量监控功能，通过对流量的长期监控，以图形化的方式直观展现网络行为及运行规律，从而帮助用户建立网络基线，并通过用户自定义的在线实时告警功能，及时提醒用户以避免网络问题的发生。•通过对业务应用系统及各个分支机构网段的定义，实现对各个分支机构访问各个业务系统流量情况形成常态化监控，并实时掌握每个业务每日/周/月总的流量趋势，及与各个分支机构的流量趋势。也为我们以后业务流量扩容提供客观、科学的依据。＞网络和应用故障快速定位诊断分析，减少网络和应用非正常中断时间•科来回溯分析系统具有强大的数据包级回溯分析能力，当信息系统出现非计划停运时能够迅速提取异常前后的通信数据进行故障分析，对于间歇性故障通过数据包回溯能够完整的展现故障发生时刻的原始通信状况；•7x24小时实时应用监控指标分析和专家分析系统原始数据流还原功能，能够快速帮助技术人员判断故障层次，区分故障是由网络原因导致的还是应用系统原因导致的；•专家分析系统的智能诊断模块可以自动分析定位网络中7个层次的常见异常，帮助技术人员快速诊断问题。忐1蛆牛％£-SltSffS-J5jSH-J*S5：tEsmtiRtsttwr?i2L8J的0爻i^LE-6Efl7;5BaD2LB2t9.94.3i"2L3J44.iM.k.L>XkLEiSD7:i[>3D2L&244.M.L144中g三3脸LE：雀£P占既网箱HTTPb2L9J44.M.?3iXLLEE££l7：S&a«RWHTTFfljaPS!2£LW伞.&LL?(ffi^LEKIlTSD.SDZLEZj^.W.LTZ9=HTTP1ZLU^MiL!MhLEjKOVfilDJMiZLBZ^.WdZ胡1222Z7ilL«J!ZWiLAi^9iTDiBZ3CL2Z2Z3.LL41ZZZUTCP堂Z柜地BZLU<894.14QChLEjBEiCITfllDJMiZLB2^9.94.101911lL31DSl?iJOCkLi^&T&B^aC1LS1&51743M452L3J44.M.S3iXhLEE£n?:5[>^2L&2^.W3SH菟7ua.L篮i^-LA^A7D:B2：aCU&l晚上曲HIL3*7■XhLEEfQ?否口曲MiU新#4.7。1012MLW_2纹.B翼^LtE££l7^Q3£lZLEl^.MJE10O|PTTL±小11II7.LD413B.LDOOiLAiA9in>iB23C11T.1M.L3B.1010翌|匚协=■LL*【zimegigj次lOOUEiEEijmilDdaOMLEL3的鼻_0kdL.-S-*1FMSSCE1KUtea慢股gtjTS也胃血忸成］#虎的也*利车RhEtl1LS.1K.174L3KtULAQ：7D：3J：Btl2LBJ4Q.M.L7Mtd£：BE：D7：5£!：&a11■ipe圈虹的「3左番怔臣*：|ILilDa.mSKtUtAQ：7D：BJ：&l2LBJ^.M.LTMtl£:BE：D7:5O:&Z大瞰73钮普为』|幄阳L绑扫|ILilDn.mS(KtlAJ.fl:7D：a2:&l2LBJ44.iM.L70ftl£:BE7:5£k流叩EFHbS±t^jr邙反帏电1L3HD5.1743D&]AAQ：7□:£2:KSLEJ^.M.LTIHZE:HE;口F:汨:阈*E太[麴FJTCF匠■超花[ms]乓罚SS：?Y2|布隘LES曜SU3.1D5A7t3KXlAJU.7D.5JiKZLEJiS.MITIKllE出EDT.SOlBG一■4MF«虐芯*l9B0rbEZ膏giQ[L易呵Efi&「AZ2|rER5L胺*・i1L3.1P5.17<3IHIAMTCISJiKZLBJi^W.LTIKIEiBBD^KJiK■4MF«EX±1lffifrCTEZ番Hffla[LT3HEJEfi£：LM3ZjfiP5M9Wfc，lL3.lU5.17a3KilAiWi7D[S2iBCZLBJi9rM.LTIM)IEiBEjDTIKIiK!■frW闻料郴皈02£»切』1罚蛇jjKHSWLM拧拒电69*i1说1(6如岫OOiMii■卯D可虻216MWl?(M)lGiBED7i50iK—＞网络异常流量的及时发现和分析，防止网络非正常中断•科来回溯分析系统能够及时发现链路或应用流量异常变化，结合科来回溯分析系统的故障分析能力快速查找问题根源，避免流量拥塞导致通信质量下降甚至发生中断；•科来回溯分析系统能够实现针对用户关键应用的各项性能指标监控，包括：应用流量、数据包量、会话数量、网络延时、服务响应时间、丢包重传量等等。通过这些关键指标实现对业务应用和网络通信质量的主动监控与分析；用（如门户网站等）的各板块交易量、交易处理状态、交易成功率等用户交互信息进行深入分析，使应用管理人员能够了解网站的访问量和访问状况，同时通过交易分析发现网站无效链接避免不必要的资源消耗。1u.Le3j.aiM»■胳9m3：LM.iea.iaio?3i*u.ida.ia.]hi3观遢园1WW彼问状况，同时通过交易分析发现网站无效链接避免不必要的资源消耗。1u.Le3j.aiM»■胳9m3：LM.iea.iaio?3i*u.ida.ia.]hi3观遢园1WW彼JflmmM速找a加LM等19214IJC!1LQ＞安全威胁的及时发现和分析处理，避免和减少造成实际危害＞隐患的发现和排查，避免故障发生•科来强大的实时分析和报警功能可以实现对关键业务应用性能指标的7/147/14阈值预警，及时发现信息系统性能异常变化，从而提前采取措施有效降低非计划停运事件的发生概率；•科来回溯分析系统能够提供5大类全方位的网络异常行为预警。流量警报rh!7*品命»特征值警报可疑域名警报应用监控警报•流量异常邮件敏感子•蠕虫/木马•挂马网站访问•应用流量异常•蠕虫活动•邮件蠕虫•应用错误代码•反弹型木马•网络RTT异常•扫描/攻击•信息泄密•信息泄密•僵尸网络•应用响应时间异•DoS/DDoS•DNS欺骗常•科来丰富的警报功能，能够及时发现最新型的网络攻击行为，网络管理人员可以随时根据网络链路流量特点和当今安全形势调整各种警报的参数以发现最新的安全隐患。4科来回溯分析系统简介科来网络回溯分析系统是能够长时间记录网络通讯数据，并提供基于时间的数据挖掘分析系统。4.1功能概要•7X24小时的关键网络通讯数据的实时分析与收集保存通过长期捕获关键网络的网络通讯数据，实时分析并分类记录所有的网络用户的网络行为数据，网络通讯数据和应用访问数据，从而为网络问题分析、网络行为分析、网络性能和应用性能分析提供最完整，最有力的数据基础。!3t*=UrG*-Uk2<>E-Mrn2<>E-MrnMKtt'RHidfl'BWU'ttEJttttMSMT<R*«LO^MMSwiflW卜HriKZI卜■»日对用豆邮*虹IMTft|ULI皿汶卜HriKZI卜■»日对用豆邮*虹IMTft|ULI皿汶跖・O^MlH|师崎|al些赤■-也出用理ng更5J%|D42S|■fllTEi4<aTB|*ir事有ClOO%IDXfflftIULI皿8务.眦|WW括|S1BIAan皿础MbpiUZ-3MbphL2&.UVbph34JZMbps4USMb|H：L代部岫f冲LT3.7*Kbps，b阵LZ4LTBZZ.I17MbpiZZJ.7Mb^h2Z17Ufc^hLdLtqIL.TSMbps1L71Mbp$ILTlWfcp?ZLUJ&NB1ft}bpsLl»b^D.N%■flTTEL5uBa*CDi.99朋•基于时间的网络通讯数据回溯分析能够快速追溯到任意时间范围内的重点分析目标的通讯数据，包括与其关联的通讯数据的快速挖掘和全面分析，帮助用户快速定位分析网络和应用问题，发现和分析安全攻击，对网络用户的网络行为进行深入有效的高精度分析。4.2功能特点•高性能的数据捕获和存储千兆性能的网络流量实时处理能力，能够线速的保存骨干链路上的所有通讯数据，包括所有的数据流信息和数据包。•长期的数据保存能力集成的大容量存储系统，可提供从2至72的专用网络回溯分析系统硬件，同时可根据用户的需求提供更大容量存储系统的定制硬件，提供关键链路网络通讯数据的长期存储。•高效快速的数据挖掘和检索

提供任意时间范围的网络通讯数据挖掘能力，能够快速的检索到主机、应用的通讯信息，同时对数据流信息进行检索和挖掘，直到相关数据包的快速挖掘，帮助用户快速定位挖掘特定分析目标的网络通讯数据。.lowslEmti陷;■口4蓬察1瞄二当.:!-□,|P#£TB*tSUOP^fisaz=布ETTE-saSiiL^csma1Acvna«?TTE，*16?jLfi.j4£i.M.L7|4h2JE；6B0364125^河.LE的43272uSJJ*ElOP.M|础£础51,712.2404&.MKBgZLB.Z4K94JT5fl2.353.M3JiT9OS2M.735UmigEffi1Z2加如39.IH61Z3S27.^2KB5gw翌小涸加即2I7.L河NX羽国,&5zazXGSimjzEUHTF1|17^7CBNR眄"润2LDHKB□J2LL24AMdi127^.756B1，5^ja.rxrJrfHPPr口叩515(SB瓦身&浏苣目炯SZU34A9MZ2TO.WGBUhups|315^MH町L倒3B2BV2LB.j4d.M31|阪佃印湖映用■mW!>j<a|SH7LueJbdB里ZLPiZdSLMdD1Jfil.WGS3AL.4时.圳JRffJ*TCP*tS|ZL^HMB邳.冲2MB零|HL&前厘ITMEG-HftjcitUDt呼a!JX-Wnd&wi-心ua珀EIL&SZLB.2d^EMJE!2ETI.LDGB泗耶LUJl"Ft=%Ej也L归G§L23.32?931MB据BGTnb3H&AAEM瞿|JMdZtiEi23a.5i2JETdGSL2A47EId^ZDW657MB?B|L皿追佃W17.77GdS：17&bLQS15754=日AIMEDLMB7.&S27BgZLBLZ4汹m|gM郁ZT7.OM.91LIdEG®17M5LM.dS别取TmsiZ3MMB2LW53B耳2LELj4£i.&4JS|：L&4.'H6B湍QTL都LH.L5■曲17175Liaj2LUM174MB屿辨72BgZLRZ4鸟哭疽M|1^1SBZfl-3.CKZ.GW1MTG6LlQ.Ilt履|知A5L55MBLB331B彳2LB.j4£>.M.L^|g抬dBM2.L2S^23IL.LBGdS：拓LtMaSL,以ftidwhi£27MBg11B•ZLBZ45MJ=-1_Z253M30d乳”G®S2.7K：JVihooMcssenae*:LU梆LEB1_1B■-■fmEri!■•全面深入的网络通讯分析能力提供科来网络分析系统的对网络通讯的各种全面深入分析功能，包括强大的专家系统智能分析、数据包详细解码分析、节点分析、数据流分析、安全分析、应用层日志分析等对网络通讯的多种精细分析能