回溯分析洞悉一切
——科來全流量分析監控異常

隨著互聯網+的不斷推進，單位業務與網絡深度融合，單位對網絡服務質量及運維要求，尤其是對網絡穩定、高效、安全運行的需求在不斷提高。

然而，另一方面令單位困惑的是，網絡防御在不斷的投入，為何有些問題依然沒有感知。其歸根到底是因為傳統的防御措施諸如防火墻、IDS等缺乏對未知攻擊的檢測能力和對流量的深度分析能力。

現有威脅發現與追蹤技術存在這樣那樣的死角：基于簽名的檢測方式易被繞過、缺乏必要的數據對異常事件進行識別以及缺乏看全看得見的能力。

既然黑客知道如何夠繞過防御，那應當如何改進現有的防御架構？科來公司的齊宇飛（如圖1）表示，再高級的攻擊，都會留下網絡痕跡，唯一萬無一失的辦法是監測全流量、全行為。

圖1 科來 齊宇飛

圖2 現有安全防御體系面臨的挑戰

圖3 全行為、全流量分析

由于網絡安全法條款要求單位采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月。這使得全流量回溯分析技術對單位網絡運維有著非常重要的意義，做到對網絡原始流量數據的完整記錄、安全事件追溯以及會話文件還原等。

另外，在安全合規性要求上，抗APT攻擊和網絡回溯等系統或設備可以滿足要求。

業務性能保障方面，全流量回溯分析實施對IT基礎設施的網絡性能、業務性能、負載和可用性的持續監控。

在應急響應方面，完整記錄網絡原始數據包，并且通過回溯分析，實現是否需要處置，如何處置，以及處置效果提供充足的數據依據。

科來的全流量回溯分析，首先定位異常流量，然后發現并檢索異常流量，最終提取異常流量的攻擊模型。

因在全流量回溯分析檢測安全威脅，感知并保障單位IT運維管理上的成績，科來在“2017中國IT運維大會”上榮獲“2017中國IT運維服務優秀企業”獎。