回溯分析系统介绍与产品试用情况汇报

回溯分析系统介绍

与产品试用情况汇报提纲科来简介网络运维需求分析科来回溯分析系统介绍产品试用情况汇报科来业务性能管理系统简介关于科来国家认定的高新技术企业和双软企业，在网络协议分析等方面拥有多项核心技术和完全的自主知识产权产品。科来软件的全球商用客户超过5000家，遍布全球97个国家，87个世界500强企业客户。2011年获得“中国网络分析行业最佳产品奖”；

2012年科来网络分析系统获“全球最佳科技产品奖”（PCMagazine）；2013年度最具影响力品牌奖。成立于2003年4月，是一家专注于网络安全和网络分析技术和产品研发的高新技术企业。在网络协议分析、应用性能分析、高级木马检测与分析等技术方面有10多年的技术积累。生产基础研发中心公司主要研发中心2000平方米，研发用设备100多台。安全实验室提供各种安全攻防和样本的实战实验。测试实验室提供多种网络环境，配备了多类测试设备。产品组装线具备专业严谨的产品组装平台，能为用户提供安全稳定的产品。科来产品网络分析系统软件实时抓包解码分析定位故障点回溯分析系统硬件长期数据包采集实时分析与预警应用访问质量回溯分析取证

UPM业务性能管理系统面向业务网络业务应用关联分析业务性能监控快速定位问题环节产品荣誉2013年度最具影响力品牌奖2012全球最佳科技产品奖（PCMAG）2012中国信息安全最值得信赖品牌2011年中国网络分析行业最佳产品奖2011年中国网络分析行业最佳应用突出实践奖2010年《辉煌十年网络分析领军企业奖》2010年最具影响力产品奖2009年卓越网络分析产品奖2009年网管员最喜爱网络分析软件奖2008年金软件奖2008年网络分析产品供应商品牌奖2007年网管员最喜爱网络分析软件奖……产品荣誉-BESTOFTHEYEAR2012全球著名科技杂志PCMagzine总结了2012年最好的99款科技产品和服务，这些产品在2000多个优秀产品中脱颖而出，是非常杰出的产品，同时大部分都获得了PCMAG分析师的优秀编辑奖，PCMAG分享这些信息，可供用户选择时参考。科来的网络分析产品被评更易用，更为优秀的流量分析产品，比Wireshark要更适合于分析和管理网络流量，Capsa提供了非常合理的设计，让网络流量可以得到可视化的管理。PCMAG在2000多个优秀产品中，经过整整一年在PC实验室的严格测试和比较，领域涉及台式电脑、笔记本电脑、平板电脑、电子阅读器、移动设备、PC外围设备和组件、存储、音频、相机、便携摄像机、高清电视家庭影院、移动应用、安全、软件和互联网、网络、打印机、投影仪、扫描仪、游戏等众多类目。客户基础科来在全球全球5000多商业客户，87个世界500强用户国内营销和技术支持中心：北京、上海、广州、成都海外市场：北美区、欧洲区、亚太区客户基础科技部外交部农业部教育部民政部中国信息安全测评中心中国电子十五所国家工商总局国家税务总局国家统计局国家电监会国家证监会国家科工局国务院新闻办国家体育总局电信研究院黄河水利研究院黄河水利委员会山西省商务厅全国农业展览馆安徽信息中心广东省边防局海关总署北京海关沈阳海关深圳海关成都海关宁波海关青岛海关中国移动集团中国移动设计院移动南方基地广东省移动浙江省移动四川省移动贵州省移动广东省电信湖南省电信甘肃省电信公安部等保中心吉林省公安厅辽宁省公安厅南通市公安局许昌市公安局南阳市公安局郑州市公安局山西省高法济南市中级法院安徽省检察院中石油中石化中海油中国石油勘探院长城润滑油公司昆仑润滑油公司中石油运输公司长庆油田开滦煤矿淮南矿业国家电网北京华电河南省电力四川省电力江西省电力重庆市电力天津市电力洛阳电业局四川宜宾发电安徽省电建光大银行杭州银行中国进出口银行交通银行中国农业银行中国人保中国人寿华夏银行湘财证券威海商业银行重庆商业银行安徽省农发行浙江省农业银行浙江绍兴银行丹东银行中原证券安徽农信新疆农信重庆农信顺德农商银行政府政府政府公安石油电力金融金融运营商客户服务中心建有北京、成都、上海、广州、郑州、南京多个技术支持中心，同时提供产品售前、售后技术支持服务；拥有一支近百人的专业客户服务技术团队，提供产品售后服务与技术支持。完善的售后服务全国统一服务热线售后产品免费培训量身定制的分析服务现场技术支持服务远程技术支持服务科来服务提纲科来简介网络运维需求分析科来回溯分析系统介绍产品试用情况汇报科来业务性能管理系统简介传统网络运维管理的局限性缺乏对故障、安全问题发生前的异常征兆的分析发现能力，不能及时发现网络、应用或安全方面的隐患注重资源、设备监控管理，缺乏对网络中通讯流量的透视分析对于短暂或间歇性发生的问题，缺乏有效的事件回溯方法，因而难以进行有效的事后分析网络设施核心应用业务数据高效安全稳定提升运维质量的需求需要更加主动的分析网络中的通讯、关键业务应用系统的访问有效降低故障发生率有效降低信息系统非计划停运次数出现故障时有原始通讯数据作为依据，实现数据包级智能化故障分析技术快速定位分析故障的发生原因，快速解决问题缩短信息系统非计划停运时间提升运维质量的需求通过主动分析，及时发现危害网络安全的行为，避免安全损失蠕虫、木马、僵尸网络ARP攻击、DoS攻击、渗透攻击SQL注入、跨站攻击、网站挂马……通过主动分析和预警，发现网络系统、应用系统以及安全方面的运行隐患有效避免隐患变成事故提高信息系统健康运行水平提纲科来简介网络运维需求分析科来回溯分析系统介绍产品试用情况汇报科来业务性能管理系统简介科来网络回溯分析系统

7×24小时数据包捕获及分析；专用分析系统平台，数据安全；

多角度、深入的数据挖掘；

集成科来专家分析系统；

存储空间从2TB—72TB；

支持千兆、万兆以太网络接口；科来回溯分析系统主动运维解决方案面向业务服务的分析系统业务服务分析安全分析容量规划异常监控长期监控，便于追溯本次试用设备部署于9月10日，从下面的趋势图中还能看到部署当天的统计信息，做到数据的长期保存。业务应用梳理用户利用科来回溯分析系统对网络传输的各种应用进行精细化梳理通过自定义应用精准识别各业务应用掌握各应用的流量构成及变化趋势为带宽规划和安全策略制定提供科学参考依据端口统计精准梳理内部服务通讯端口，检测异常访问深入挖掘快速定位问题根源针对多种参数进行深入挖掘，缩小问题范围，快速定位问题根源应用长期监控应用性能精细分析应用性能精细分析会话交易统计对应用系统性能问题做到数据包级精细分析故障快速诊断、定位三种智能分析方案，对各类异常行为进行针对性的智能化分析完善的记录/审计主机通讯行为主机、会话通讯记录原始数据包及访问日志报表系统可基于IP地址、网段、应用等出具自定义报表，并可与任意周期进行对比。隐患的发现和排查5大类全面预警机制异常行为、异常征兆发现和排查提前采取措施有效降低非计划停运事件的发生概率流量警报流量异常蠕虫活动扫描/攻击DoS/DDoS邮件敏感字邮件蠕虫信息泄密特征值警报蠕虫/木马应用错误代码信息泄密可疑域名警报挂马网站访问反弹型木马僵尸网络DNS欺骗应用监控警报应用流量异常网络RTT异常应用响应时间异常灵活的警报配置独特的多参数组合报警功能精准定义各类异常通讯的行为模型便捷的警报分析对警报快速分析，判断问题根源主要应用价值业务应用梳理业务应用精细化监控与分析高效业务故障分析主动安全监控可靠数字取证依据确保信息系统安全、稳定、高效运行产品技术优势国内自主研发自主知识产权10Gbps处理性能丰富的实时分析参数高效数据挖掘与数据包提取能力针对性分析方案智能解码分析强大灵活的警报功能预警各类异常API数据访问接口方便集成用户收益网络设施核心应用业务数据高效安全可靠可疑行为快速发现安全隐患分析安全告警追踪分析安全事件回溯取证链路流量分析网络服务质量监控应用访问性能监控应用性能指标预警故障隐患监控预警故障层次判定故障根源定位分析事故责任界定依据提纲科来简介网络运维需求分析科来回溯分析系统介绍产品试用情况汇报科来业务性能管理系统简介试用情况综述于9月10日在核心交换机（核心域）旁路部署截至11月18日共稳定运行近70天其间在科来技术人员与移动集团技术人员配合下，多次利用科来回溯分析系统诊断故障及安全问题，包括：9月10日，发现一台B-BOS服务器感染木马10月16日，协助排查“短信平台”故障10月20日，协助排查业支中心与平台节点机故障11月18日，发现可疑Telnet扫描行为B-BOSS服务器感染木马行为分析设备部署当日，回溯警报告警10.1.136.118，在对10.1.136.174进行Web漏洞攻击B-BOSS服务器感染木马行为分析通过解码分析确认10.1.136.118在尝试通过web漏洞攻击10.1.136.174B-BOSS服务器感染木马行为分析我们对16:40前后一段时间10.1.136.118的流量进行了排查，并没有SSH或Telnet等远程管理流量因此我们怀疑该主机系统中存在自动执行攻击行为的进程，很有可能是某种木马短信平台故障分析10月16日下午短信平台10.248.3.8、10.248.3.9访问100.1.136.113的应用出现短时间异常提取异常时段这些主机间的数据包进行回溯分析我们发现部分会话存在客户发送请求后服务器3秒钟没有数据回应的现象初步判断是100.1.136.113服务端的问题短信平台故障分析问题会话并未出现丢包、重传现象，且同一时刻仅访问100.1.136.113:8111端口的会话存在异常，访问其他端口均正常交互可以判断故障与网络通信无关怀疑为与8111端口关联的应用服务出现短时间异常或处理瓶颈一级boss生产环境故障分析10月20日晚上21点07分一级boss生产环境出现从中心到平台节点机应用日志显示超时情况（两分钟左右，极少交易超时）通过数据分析我们发现与短信平台类似的现象仅访问10.1.252.178:5555端口的会话出现服务端响应缓慢（延时1分钟）或根本没有响应的现象其间访问10.1.252.178其他的端口的会话均正常怀疑与5555端口关联的应用服务出现异常或处理瓶颈Telnet扫描分析总结科来回溯分析系统能够帮助运维人员透视网络通信、监控网络及应用运行状况发现潜在的安全威胁和故障隐患实现数据包及故障分析，判断业务问题的原因科来能够为用户提供高质量的分析服务协助用户排查隐患协助用户分析疑难问题帮助用户更好的管理网络提纲科来简介网络运维需求分析科来回溯分析系统介绍产品试用情况汇报科来业务性能管理系统简介业务和网络融合度越来越高网络越来越复杂局域网、广域网，不同类型的交换路由设备、防火墙、加密设备、负载均衡设备服务器越来越多配置不同，型号不同，用途不同，系统不同的上百台服务器应用越来越多Web、中间件、数据库、核心系统、外联应用等运维难度越来越高业务系统复杂性在增加每个应用都影响整个业务系统的性能和可用性。上百个支撑业务系统的网络设备都可能影响业务系统UPM功能特性故障分析基于业务逻辑的图形化分析视图，性能异常警报、关键性能指标、多段数据对比等图形化显示和关联挖掘。性能监控智能分析业务网络的应用响应性能、主机服务性能、网络传输性能和交易处理性能，提供集成的业务网络性能监控视图。业务梳理对支撑业务的