科来网络回溯产品介绍

科来网络回溯产品介绍第一页，共51页。二、网络分析需求三、科来回溯分析解决方案四、应用案例一、关于科来第二页，共51页。关于科来第三页，共51页。关于科来国家认定的高新技术企业和双软企业，在网络协议分析等方面拥有多项核心技术和完全的自主知识产权产品。科来软件的全球商用客户超过5000家，遍布全球97个国家，87个世界500强企业客户。2011年获得“中国网络分析行业最佳产品奖”；

2012年科来网络分析系统获“全球最佳科技产品奖”（PCMagazine）；2013年度最具影响力品牌奖。成立于2003年4月，是一家专注于网络分析技术和产品研发的高新技术企业。在网络协议分析、应用性能分析、高级木马检测与分析等技术方面有10多年的技术积累。第四页，共51页。科来产品在全球的销售科来在全球全球5000多商业客户，87个世界500强用户国内营销和技术支持中心：北京、上海、广州、成都、南京海外市场：北美区、欧洲区、亚太区第五页，共51页。国内典型客户政府金融电力/电网能源/矿业运营商公安科技部外交部农业部海关总署国家统计局国家工商总局国家会议中心国家电监会国家证监会国家图书馆国防科工总局国家测评中心深圳海关四川省政府山东省测评中心河南省委办公厅河北省国税局山西省政协公安部等保中心吉林省公安厅辽宁省公安厅南阳市公安局吉林市公安局郑州市公安局焦作市公安局许昌市公安局南通市公安局安阳市公安局鹤壁市公安局国家电网（IIS）河南省电力安徽省电力江西省电力四川省电力天津市电力重庆市电力北京华电贵州市电网贵州乌江水电河南焦作电厂河南栾川供电漯河市供电青州市供电寿光市供电中电临河发电中石油集团中石化集团华北石油通信公司长庆油田中海油泰州石化中石化润滑油中石油勘探院洛阳炼化济南炼化河南濮阳油田新疆石河子油田河南南阳油田锦西石化公司宁夏石化中国石化报社中海油泰州石化宁煤集团平煤集团淮南矿业集团淮北矿业集团开滦煤矿集团山东黄金矿业集团广东电信湖南电信湖北电信广州电信桂林电信汕头电信深圳电信清远电信广东移动浙江移动四川移动江苏移动湛江电信梅州电信阳江电信肇庆电信信息产业部电信研究院中国空间技术研究院中国科学院信息中心中国社科院台湾研究所中国电子科学研究院煤炭科学研究总院四川省农业科学院重庆电力科学研究院国网电力科学研究院海南汽车试验研究所北京信息技术研究所重庆商业银行安徽省农发行浙江省农业银行浙江绍兴银行丹东银行安徽农信新疆农信重庆农信顺德农商银行东莞农商银行新疆农信中国人保中国人寿人寿资产光大银行第六页，共51页。服务能力客户服务中心建有北京、成都、上海、广州4个技术支持中心，同时提供产品售前、售后技术支持服务；拥有一支近百人的专业客户服务技术团队，提供产品售后服务与技术支持。完善的售后服务全国统一服务热线售后产品免费培训量身定制的分析服务现场技术支持服务远程技术支持服务第七页，共51页。科来产品第八页，共51页。面向APT攻击的多维网络监测平台

分析后台多环境虚拟化分析引擎样本文件动态行为实时分析反分析、反虚拟化对抗支持集群化部署C/S架构高速流量数据采集引擎海量协议模糊识别快速流量会话重建实时数据分析上报支持分布式部署C/S架构

前端数据深度关联分析引擎可疑流量识别安全事件智能分析产品集中管理配置前端服务器管理B/S架构

分析中心科来产品第九页，共51页。科来软件–产品资质公安销售许可认证军用信息安全产品认证国家信息安全认证国家保密局安全认证第十页，共51页。网络分析需求第十一页，共51页。网络服务质量要求在不断提高文件共享邮件和信息浏览OA系统ERPCRM……电子商务物联网网络金融业务……第十二页，共51页。传统网络运维管理的局限性缺乏对故障、安全问题发生前的异常征兆的分析发现能力，不能及时发现网络、应用或安全方面的隐患注重资源、设备监控管理，缺乏对网络中通讯流量的透视分析对于短暂或间歇性发生的问题，缺乏有效的事件回溯方法，因而难以进行有效的事后分析第十三页，共51页。科来优势发送接收信息数据数据包数据流数据帧11…………0100010111网络总体运行情况网络服务质量情况应用交易处理情况以数据包分析为基础，最真实、完整的网络状态展现可视化网络管理第十四页，共51页。科来回溯分析解决方案第十五页，共51页。科来产品部署重点区域旁路部署分布式部署不影响原有网络架构第十六页，共51页。回溯分析的核心作用第十七页，共51页。网络及业务系统性能分析流量监控、带宽占用、流量构成分析业务流量梳理、透视业务应用关键业务通信各环节的响应时间、掌握影响用户感受的关键因素用户响应时间分析（用户体验值）网络延时分析第十八页，共51页。网络及业务系统性能分析网络性能监控网络利用率、丢包、重传第十九页，共51页。网络及业务系统性能分析网络性能监控网络流量趋势变化网络流量成分（谁？做什么？影响？）网络时延（客户端时延、服务器端时延）第二十页，共51页。网络及业务系统性能分析应用性能监控用户体验时间=网络时延+服务器响应时延+服务器传输数据时延业务性能分析用户体验时间网络时延服务器时延局域网时延广域网时延响应时延传输数据时延业务_A166毫秒3毫秒120毫秒3毫秒40毫秒业务_B309毫秒3毫秒200毫秒6毫秒100毫秒应用响应时间分析第二十一页，共51页。网络及业务系统性能分析应用性能监控通过41在该时间段的应用语句回放，我们发现其中一个请求“GET/Rmweb/view.do?func=attach:download……”的语句，服务器响应了超过34MB字节的流量，总处理时间为10分钟52秒服务器传输数据时间第二十二页，共51页。网络及业务系统性能分析关键业务应用性能指标监控第二十三页，共51页。故障快速定位运维管理的普遍现状“唉，今天系统又很慢!”EndUser

用户整体业务系统性能应用程序部门“是网络问题"Log都很正常沒有任何异常我们已经压力测试过了!Server部门“跟我无关”CPU是正常的内存的使用率很低磁盘DiskI/O

一切正常网络部门“没问题啊”网络流量不多Ping延迟都正常Traceroute也沒问题DBA“沒有什么异常现象”交易次数比平时多一些，不过这个很正常IT部门需要处理客户投诉…具体问题在哪里，无从下手，最后问题无限期搁置下去了第二十四页，共51页。故障快速定位系统化的故障分析过程用户应用系统网络层面分析：网络延时大？丢包多？应用层面分析：服务响应慢？客户端异常？错误码？安全层面分析：存在异常访问？被攻击？蠕虫病毒DDOS攻击第二十五页，共51页。确保网络安全网络行为分析发现和预警网络异常行为安全事件回溯&取证&告警第二十六页，共51页。主要应用价值网络的高安全性、高效性、高可用性是我们一直以来的的追求第二十七页，共51页。回溯分析系统功能展现掌握网络链路流量状况流量趋势分类统计分析网络应用，IP地址，物理地址，网段统计以及警报精细分析掌握网络链路流量状况掌握网络链路流量状况第二十八页，共51页。回溯分析系统功能展现梳理业务服务端口与访问关系主机服务端口统计和梳理服务访问关系梳理梳理业务服务端口与访问关系第二十九页，共51页。回溯分析系统功能展现关键业务应用性能指标监控第三十页，共51页。回溯分析系统功能展现7层协议解码分析下载选中时段及对象数据包数据包解码7层协议解码分析第三十一页，共51页。回溯分析系统功能展现数据流重组分析会话交易统计交易过程精细分析智能问题诊断数据流重组分析第三十二页，共51页。回溯分析系统功能展现5大类全面的实时预警机制异常行为、异常征兆发现和排查提前采取措施有效降低非计划停运事件的发生概率第三十三页，共51页。产品型号科来网络回溯分析系统企业级分析与管理能力7*24小时网络流量采集强大数据存储(upto72TB)实时专家分析与事后分析网络安全征兆深度挖掘自定义应用识别易用的图形化人机界面RAS1000RAS3000RAS2000高端RAS5000RAS6000︰︰第三十四页，共51页。案例分析第三十五页，共51页。案例：中国移动南方基地公众云的应用第三十六页，共51页。案例：快速发现异常主机_用量异常南基公众云网络中出现偶发性的流量突发现象，如下图所示：上述每个客户端的应用构成均是HTTP和SSH：其中HTTP的数据均是大量的单向流量，这些流量均是无意义的填充数据：第三十七页，共51页。案例：快速发现异常主机_安全异常同时，这些客户端SSH的数据，均会与大量外网IP地址进行交互：单个客户端15秒产生的TCP会话数接近5000个：这些SSH的连接已经有具体的数据交互：有可能这几台异常客户端已经成为攻击者的肉机，建议管理员及时进行排查；第三十八页，共51页。案例：对内网造成的影响无突发状态下内网性能统计：流量突发状态下内网性能统计：

从多次的统计分析数据来看，数个异常突发用量的主机，就会让内网质量明显下降；第三十九页，共51页。1）在南基地公众服务云四期项目中新增较多的万兆服务器；前三期项目虚拟机是千兆服务器，一台异常的千兆服务器产生的流量如下图所示：上述客户端经过验证是在不定期发送大量无意义的HTTP填充数据；这种异常客户端IP合法、使用的协议端口合法（TCP80端口，HTTP应用），但是1个这样的客户端就能产生接近900Mbps，140Kpps的流量；数个这样的客户端就能让一条10GE链路拥塞，对内网产生各环节增加不必要的负荷；需要定期对这些异常客户端进行排查处理；随着万兆服务器的出现，未来内网的优化需求只会愈发明显；案例：优化依据第四十页，共51页。案例：设置预警，及时发现异常南基公众云运维管理者根据历史数据，在科来系统上设置合理的组合条件，进行异常的及时告警：通过使用科来系统，南基公众云运维部门可以及时发现异常客户端，预先处理，而非等到网络异常再进行排查，这是主动运维的表现；第四十一页，共51页。案例：网银系统间歇缓慢某银行网银系统间歇性缓慢，严重影响用户感受。问题持续1个多月无法定位，怀疑SSL加密设备问题，但没有有力的证据与厂商交涉。第四十二页，共51页。发现问题流量趋势未发现异常变化应用性能指标发现异常三次握手延时（网络延时）丢包率重传率平均响应时间最大响应时间60.7ms0.03%1.15%140.6ms7482ms第四十三页，共51页。分析与取证客户端SSL

Hello包发送后，服务端响应缓慢第四十四页，共51页。案例：系统业务性能分析通过“服务器IP+服务端口号”方式，可梳理出网络中各个业务系统的流量，主动的对其流量、性能进行监控业务流量梳理第四十五页，共51页。系统业务性能分析业务流量监控第四十六页，共51页。系统业务性能分析

业务流量最大的分支机构依次为：南宁、百色、桂林、玉林服务器平均响应时间（下图平均响应时间）：对不同分支机构的响应时间基本在20ms左右，较为稳定各分支机构网络时延（下图的三次握手时间）：南宁最佳，只有4.1毫秒，钦州最差，达到40毫秒系统流量访问情况分析第四十七页，共51页。系统业务性能分析系统服务器响应质量分析“警综系统”TCP连接请求峰值接近750pps，一天总连接请求高达23，524，575次“警综系统”响应性能：平均响应事件为19.7毫秒，最小响应时延小于0.1毫秒，最大响应时延可高达5分钟接下来回溯挖掘响应时延最大的是哪些应用语句。第四十八页，