科来网络回溯分析系统
科来网络回溯分析系统是能够长时间记录网络通讯数据,并提供基于时间、流量、利用率、数据包、端点等的数据挖掘分析系统。拥有独特的网络管理能力,实现了数据的海量存储及快速的历史数据回溯分析功能,使网络分析突破时间的限制,在数据挖掘、追踪定位以及安全取证等方面更精确、高效,从而帮助用户解决当今最困难的网络问题。
网络回溯分析的价值:
- 提高网络监控、管理和解决复杂网络问题的能力。
- 提高跨区域多网络的网络管理可控性。
- 有效管理用户网络管理成本。
- 提高问题解决效率,降低网络事故损失。
- 预先发现网络隐患,避免潜在的网络问题扩大。
- 降低网络安全风险,泄密事件核实取证。
千兆性能网络流量的实时采集捕获能力,提供7*24小时不间断的全线速网络数据存储,包括数据流信息和数据包,并提供从1TB至72TB的存储容量,同时可根据用户的需求提供更大容量存储系统的定制硬件,保障全部关键链路网络通讯数据的长期存储。
2、 基于时间的网络数据回溯分析能力(实时及回溯分析)
能够快速追溯到任意时间范围内的网络通讯数据,包括实时与回溯,并将与其关联的通讯数据进行快速挖掘和全面分析,帮助用户快速定位分析网络和应用问题,发现和分析安全攻击,对网络用户的网络行为进行深入有效的高精度分析,同时通过回溯分析使间歇性网络问题及短暂性网络中断问题得到有效解决。
3、 全天候关键链路的监控与告警能力
科来网络回溯分析系统提供对关键链路的全天候图形化的流量监控功能,通过对流量的长期监控,以图形化的方式直观展现网络行为及运行规律,从而帮助用户建立网络基线,并通过用户自定义的在线实时告警功能,及时提醒用户以避免网络问题的发生。
4、 全面优化的网络性能评估
系统通过大量的数据存储与回溯分析能力,及对网络的长期监控,从而建立图形化的全景信息,进而掌握网络长期运行的整体情况,识别和追踪定位网络问题,获得网络管理策略升级实施的决策依据,提高网络管理的整体技术水平与解决复杂网络问题的能力。
5、 实用深入的精细化分析能力
系统提供高性能分析、全面分析、HTTP应用分析、FTP高级分析、邮件应用分析、DNS应用分析、TCP性能分析等多项面向业务应用的分析方案,使分析更具针对性,减少MTTR(平均解决时间),提高工作效率。
6、 强大的网络安全分析能力
系统可以快速识别和定位网络攻击行为及攻击点,并对网络异常行为进行分析,在对网络安全事件进行有效识别与核实的同时,还能够对该网络安全事件进行取证,为泄密事件获得充足的数据依据。
7、 高效深入的数据挖掘与数据检索能力
提供任意时间范围的网络通讯数据挖掘能力,能够快速的检索到主机、应用的通讯信息,同时对数据流信息进行检索和挖掘,直到相关数据包的快速挖掘,帮助用户快速定位挖掘特定分析目标的网络通讯数据。
1、 提高网络监控、管理和解决复杂网络问题的能力。
系统通过大量的数据存储与回溯分析能力,及对网络的长期监控,从而建立图形化的全景信息,进而掌握网络长期运行的整体情况,识别和追踪定位网络问题,获得网络管理策略升级实施的决策依据,提高网络管理的整体技术水平与解决复杂网络问题的能力。
2、 提高跨区域多网络的网络管理可控性。
系统采用分布式部署,集中管理的方式,满足了跨区域、多网络结构的网络分析需求,通过对全网络的关键链路信息进行集中的监控与分析比对,实现从网络核心到网络边缘的全网络的网络管理可控性。
3、 有效管理用户网络管理成本。
通过长期海量存储的通讯数据分析与网络性能的全面评估,建立全网络的图景信息,从而掌握网络长期运行的整体情况,获得网络应用部署、容量规划以及运行趋势的分析数据,为用户的网络投资规划提供依据信息,是对成本管理的最为有效的管理手段。
4、 提高问题解决效率,降低网络事故损失。
系统支持的数据挖掘功能,能够引导用户从不同角度不同层次快速锁定敏感数据并可进行精细化的二次数据分析,同时系统高级的数据过滤能力能够提高分析效率,降低网络事故损失。
5、 预先发现网络隐患,避免潜在的网络问题扩大。
系统可以帮助用户建立网络基线并支持高级的报警设置,将可能发生的网络问题进行预先防范,避免其成为紧急任务,影响关键业务的正常运营;同时,通过历史数据的回溯分析,还可对间歇性网络问题与短暂性中断事件进行调查分析,避免潜在的网络问题发展扩大成严重的网络事故。
6、 降低网络安全风险,泄密事件核实取证。
系统可以对安全事件进行识别,并快速追踪定位到泄密主机,对该事件进行进一步的核实审查与数据取证,并对安全策略设置提供决策依据,同时还可以帮助用户建立安全基线,全面降低用户网络安全风险。
- 业界领先的逐级数据挖掘分析视图,可根据时间、主机、应用、会话进行逐级数据挖掘,方便高效的挖掘所需分析数据;
- 支持千兆性能网络及广域网,支持从网络核心到网络边缘的所有网段,实现全网络的可视性;
- 帮助用户建立网络基线及用户自定义的报警设置,有效避免不必要的垃圾警告;
- 实现与便携式产品的无缝结合,对挖掘数据进行精细的二次分析;
- 专用的软硬件一体化设计,支持远程部署与访问,支持对分布在不同地点的多条网络链路通讯进行集中长期监控分析;
- 多项数据加密技术与安全策略设置,保障网络数据的存储安全、传输安全与认证安全;
- 纯中文系统,操作简单易用,符合国人使用习惯。
- 数据包级的回溯分析对各种网络和安全问题提供强有力的分析取证能力。
- 专用的软硬件一体化设计,安装部署容易,支持远程部署,远程访问,支持对分布在不同地点的多条网络链路通讯进行集中长期监控分析。
- 方便高效的数据检索和数据挖掘界面,提供直观高效的数据分析和挖掘能力,业界领先的逐级数据挖掘分析视图,可根据时间、主机、应用、会话进行逐级数据挖掘,方便高效的挖掘所需分析数据。
- 支持方便快速的数据导出能力,能够提供多种格式的数据包文件,并支持数据包播放功能,方便其他分析系统进行数据分析。
- 专用的文件存储格式和方式,其他程序无法直接访问读取回溯服务器保存的网络通讯数据,同时提供用户访问认证和授权控制功能,保证系统数据的安全性。
- 采用RAID5和RAID6存储技术,保证存储数据的可靠性。
系统架构
回溯分析服务器:
回溯分析服务器主要负责目标网络的流量采集、分析和存储,同时,提供通讯口分别与回溯分析控制台与分布式网络分析中心进行数据交互,是整个系统的核心。
回溯分析控制台:
回溯分析控制台采用了全新的界面与布局,提供人机交互界面,用于连接回溯分析服务器并实时输出各类通讯数据。网络管理员通过控制台可以连接到不同支干网中的分析服务器,以查看和分析该支干网的网络通讯状况。
分布式网络分析中心:
分布式网络分析中心提供统一、集中的监控分析平台,通过定期收集与统计部署在各网络链路中的回溯分析服务器上报的数据,提供集中的数据展现,同时实现对回溯分析服务器的集中管理和配置,提供集中管理、监控、分析报表、警报等功能。
科来网络回溯分析系统采用软硬件一体化设计,由分析服务器与分析控制台组成。分析服务器作为整个产品的核心,用于网络通讯数据的实时采集和分析,它是网络回溯分析系统的部署重点,如果部署有误,将会采集不到需要的数据,影响产品的正常使用。我们建议在需要被监控和分析的网络链路上部署分析服务器,以便采集和分析关键链路的通讯数据。
1.分析服务器部署分析服务器提供4个网络接口用于数据采集。此处采用端口镜像的方式进行数据采集,因此,首先需要在交换机做端口镜像,将需要监控的网络链路流量镜像到分析服务器的数据采集口。
端口镜像配置:
按照以下步骤进行端口镜像配置操作:(以Cisco Catalyst 4000系列交换机端口镜像为例)
假如交换机的上联口为f5/48,即该端口连接路由器,为了捕获整个网络的数据通讯,因此,我们需要将该端口作为被镜像口(即被监控口),将该端口的数据复制到我们指定的监控口,此处以f5/1为例,即f5/1作为镜像端口(监控口),再将分析服务器的任意一个采集口(参加图2硬件面板图)接在f5/1端口即可。基于以上需求,端口镜像配置如下:
配置被镜像端口:
Switch(config)# monitor session 1 source interface fastethernet 5/48
配置镜像端口:
Switch(config)# monitor session 1 destination interface fastethernet 5/1
配置完成,可以查看配置:
Switch# show monitor session 1
注:不同厂家的交换机,端口镜像配置有所不同,具体操作配置可咨询厂家技术支持。
我们的官方网站提供了常见交换机的端口镜像配置方法,请访问:
http://www.colasoft.com.cn/support/port_mirroring.php
2.分析控制台
分析控制台用于连接远程分析服务器进行数据查看和分析,采用便携式软件安装包,只需安装在能够正常接入Internet的计算机上即可,如工作站或笔记本电脑。
3.产品部署示意图
产品的部署示意图如下(图1):
2010年
2010年
2009年