科来
做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php
安全防御的能力取决于安全感知能力
随着互联网的飞速发展,IT基础架构、移动互联网等技术的发展和变化,外部网络安全状况日趋严峻,传统安全防御技术手段和思路面临着诸多挑战。攻击数量越来越多,攻击方式越来越复杂,安全防御容易被绕过;具有针对性的高级攻击(如0-Day攻击、APT攻击等未知攻击)越来越多,传统安全防御设备无法识别防御。
科来的理念
- 只要是网络攻击必定会产生网络流量
- 网络攻击的流量和正常网络流量是不同的
只要是网络攻击就必定会产生网络通讯数据!
科来全流量安全分析系统(简称“TSA”)提供网络链路全流量存储、全数据分析能力。借助全流量存储分析,安全分析人员可以对已经发生的攻击行为进行多角度、全方位、可反复回溯的深度检测,从而更容易检测出潜在的入侵行为,发现被其他工具漏掉的攻击。
为用户识别和发现失陷主机、漏洞利用、高级木马通讯、APT攻击、数据窃密等已知和未知的安全威胁,对网络攻击进行定位和取证。帮助安全分析人员从海量的数据中聚焦真正的入侵行为,从而缩短对APT攻击的响应时间,帮助用户提升安全分析能力和响应能力,最终降低安全损失。
价值与应用
科来网络全流量分析系统(TSA)
即时感知网络威胁
全天候实时智能分析网络通讯,及时发现主动外联、木马通讯、隐蔽信道、异常DNS解析、违规操作等行为,并通过预定义行为模型主动发现潜在未知网络威胁,帮助用户建立灵敏的网络威胁感知能力。
帮助用户及时止损
针对可疑事件进行定性分析,高效精准定位安全事件问题点,通过事件关联分析对安全事件影响进行有效评估,帮助用户及时阻断事态继续恶化,杜绝类似事件再次发生。
数据取证与责任判定
对网络原始通讯数据进行全流量完整保存,通过数据分析与挖掘帮助用户对事件进行原始数据取证;同时可对通讯数据流内容和安全事件的发生过程再现还原,帮助用户进行责任判定。
如何找出内网主机被控
这是一个非常重要的问题,内网哪些主机被控了。我们知道,入侵者对服务器的攻击几乎都是从扫描开始的。攻击者首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通常防火墙等安全设备,会拦截来自外部的扫描攻击,但是内部主机被控并对外进行扫描而进行渗透攻击,传统安全手段往往不能及时发现,也就起不到防护作用。
这时,如果拥有网络回溯分析技术的支持,通过对底层数据包的回溯分析,攻击的来龙去脉,便可一目了然。
如何发现内网主机被植入后门
在某政府单位进行的一次网络安全分析测试工作中,科来网络全流量分析系统 (简称“TSA”)通过对前段事件的网络流量进行全流量回溯分析,发现了内网主机/服务器被植入后门程序,在内网进扩散的行为。黑客通过技术手段绕过了防火墙、IPS等网络防御边界设备,主机服务器被控后黑客窃取了大量资料。如果不及时发现、阻断黑客窃密行为,那将造成难以估计的损失。值得思考的是为什么这些传统的网络安全设备无法发现黑客的攻击窃密行为?
如何找出伪造数据的内网主机
内网的主机一旦被黑客控制,就可以伪造网络数据进行攻击,扰乱安全管理人员,如果只是通过安全日志分析,是很难定位问题主机的。对于网页访问速度缓慢或断断续续无法访问的情况,我们短时间内无法确定是网络故障、网络性能还是网络安全问题,如果排查网络问题的方向出现偏差,往往耗时费力。网络分析技术帮助用户透过现象看到本质,达到事半功倍的效用。
如何发现内部服务器被Struts2漏洞攻击
新的系统漏洞出现,必然会有存在漏洞利用的情况。在没有进行系统升级和打补丁的情况下,如何判断网络中的主机被攻击了呢?
我们来看看,Struts2是Apache项目下的一个Web框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站等。2016年4月,攻击者利用Struts2漏洞远程执行任意命令导致网站被安全入侵控制。这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模的Struts2安全漏洞。乌云平台收到100多家网站的相关漏洞报告,其中银行占了很大比例。
如何发现利用DNS放大攻击服务器
很多网络服务异常,往往都是攻击造成的,但原因有很多种,如何分析定位,则是解决问题的关键。DNS放大攻击是一种拒绝服务攻击。攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点,连续向多个允许递归查询的DNS服务器,发送大量DNS服务请求,迫使其提供应答服务。经DNS服务器放大后的大量应答数据,再发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。
科来荣获Gartner 2018 NPMD魔力象限“远见者”称号
2018年新春伊始传来佳讯,科来入围Gartner 2018年度 NPMD(网络性能监测与诊断)魔力象限并荣获“远见者”称号。NPMD领域一直是欧美大牌厂商的天下,今天科来能代表中国厂商获此殊荣,说明我们已得到国际高水准的认可,代表“中国造”的自主研发技术已处于世界领先地位。
GARTNER 2018年“网络性能监测与诊断”魔力象限
简单来说,评估标准就是两个大方向,企业技术够不够潮!企业自虐够不够狠!通过科来的站位我们可以看出,科来对技术的深挖虽在众多厂商之上还不够狠,但科来的技术一定够潮,而且很潮。当然,这是Gartner首次在该领域将科来列入魔力象限报告中,其实第一次入选就进入“远见者”象限已经很酷。为什么酷?因为此区域表示该企业的产品及技术具备极佳的前瞻性也顺应未来市场发展方向,可以说,“远见者”就是“领导者”的储备军,等到企业持续深入挖掘技术潜能完善、服务能力的时候, 我们将会是“领导者”!
以下来自Gartner2018年NPMD魔力象限报告,定义科来为“通过数据包分析技术实现网络关键性能指标可视化来简化网络运维”
“科来NPMD整体解决方案由UPM,科来网络回溯分析系统,科来网络分析系统三部分组成。UPM基于科来网络回溯分析系统的性能分析结果数据,提供以业务和应用服务为中心的性能可视化视图,实现全业务、全网络路径性能可视化分析,主动的性能异常发现功能。科来网络回溯分析系统提供数据包级的实时捕获和回溯分析能力,实时提供以应用为中心,深入到每个TCP会话的关键性能参数。科来网络分析系统提供便携式的数据包监听捕获,应用数据包解码分析以及一些更加深入的数据分析功能。科来提供功能受限的免费版Capsa Free,可供大众下载使用。
科来的产品版本更新持续且稳定,最新版本提供1800种预定义应用,并提供用户基于IP地址,端口号,协议,特征以及组合的应用自定义能力。科来网络回溯分析系统增加了NetFlow支持,并提供agent分析,支持从虚拟化环境和云平台收集流量数据。"
Gartner魔力象限可以作为一项标准来考量
Gartner评选调研采用邀请制,只有在产品、技术、市场等方面取得相当成绩的公司,才会收到Gartner的邀请。能够收到邀请已经是公司实力的很好体现,能够成功进入象限则是领域中的佼佼者最好的证明。所以,本次入选也是对科来UPM业务性能管理整体解决方案一直秉承的精细化、智能化、可视化理念的认可与肯定。
现阶段网络性能管理的难点在于缺少业务视角,同时缺少覆盖全局和第三方的视图。目前的对策是引入流量分析,可以实现端到端的业务服务质量的实时监控和管理,关联应用特点的分析,主动预警、智能化定位的运维自动化等。据此,Gartner提出了AIOps的概念,并预测到2020年,AIOps的采用率将会达到50%。简单来说,AIOps就是希望基于已有的运维数据尤其是流量数据,并通过机器学习的方式来进一步解决自动化运维没办法解决的问题。Gartner针对网络运维还专门提出了Netops2.0,化被动运维为主动运维,跳出网络看网络运维,成为下一代运维的核心思想。
这种理念与科来产品的迭代发展不谋而合,精细化分析提供下一代运维平台的全量数据源指标、智能化分析化被动为主动发现异常、可视化分析基于任意指标进行秒级监控展示。
精细化分析是基础-全面提供业务网络运行关键性能指标
“我行数据中心不仅服务于全国各网点,还服务于全球的分支机构,同时面向广大企业和个人用户提供网银、掌银等服务,7*24小时不间断地确保业务持续性和服务质量是我们的首要工作职责。通过部署科来的解决方案,不仅能够及时准确的监控众多应用的服务质量,而且能够对网络性能变化提供数据支撑并进行提前预警,更可以通过全局检索还原各种异常事件的现场。科来的解决方案为运维工作提供了十分有益的帮助,是我行数据中心运维体系中的重要组成部分。”
——来自中国农业银行数据中心网络专家评价
智能化分析是关键-主动发现业务运行异常
“科来UPM解决方案的部署极大的提高了主动分析能力,在很大程度上将传统被动事件处理模式转向了主动化,使我们向NetOps2.0体系迈进了坚实的一步。未被发现的问题,通过科来的产品主动发现后,反馈到相应的部门进行排查,都得到了非常准确的印证。这也使我们网络部门在主动问题发现方面发挥了关键的作用。”
——来自中国银联用户评价
可视化分析是直观展现-高效发现、定位、分析业务运行问题
“高效的运维体系一定要具备快速发现、定位、解决问题的能力。科来的解决方案具备了这方面的能力,并提供了很大帮助。科来的系统非常注重实用性,在多次事件定位中都起到了极其关键的作用。”
——来自中国太平洋保险集团用户评价
科来自主科技技术可以为更复杂的网络提供精细化管理,能够真正打破用户在关键业务运维保障方面的瓶颈,提供主动、高效的技术支撑,该技术得到国内外超90万用户的认可与信赖。
科来UPM业务性能管理解决方案目前已被中国工商银行、中国农业银行、中国移动,中国电信,中石油,国家电网,华为,万科等100多家世界500强企业采用,服务于全球110多个国家超10000个商业客户。
-END-
延伸阅读
科来被Gartner推荐为NPMD领域唯一的中国厂商
科来—唯一入围中国工商银行网络流量分析设备招标项目
科来作为华为联合展示解决方案合作伙伴 参加2017华为全联接大会
天旦被Gartner NPMD魔力象限报告荣誉提及
上海2017年3月7日电 /美通社/ -- 近日,在全球领先的信息技术研究和顾问公司Gartner最新公布的 2017年NPMD(网络性能监测与诊断)魔力象限(报告编号:G00301193)和NPMD关键能力(报告编号:G00301180)两份研究报告中,天旦被列入“Honorable Mentions”(荣誉提及)名单,也是唯一一家入选的中国软件产品。
Gartner的魔力象限报告是其对特定市场内的厂商所进行的分析,全面展示了各厂商的行业位置。在Gartner NPMD魔力象限所涉及的众多评选维度中,天旦在产品性能、功能、销售额、投产客户数都符合其苛刻的要求。
近日,在Gartner最新公布的 2017年NPMD(网络性能监测与诊断)魔力象限和NPMD关键能力两份研究报告中,天旦被列入“Honorable Mentions”(荣誉提及)名单,也是唯一一家入选的中国软件产品。
天旦联合创始人、董事长兼CEO杨光辉表示:“在大数据蓬勃发展、云计算不断进化的过程中,网络与应用性能成为了弹性与敏捷的基础,NPMD领域的产品呈现了多姿多彩的发展新可能,被赋予了更多意义。很高兴Gartner与我们在网络与应用性能管理领域拥有类似的见解,我们会借着市场快速发展的机会迅速扩展全球更多的地域,为更多客户提供产品与服务。”
NPMD正在成为大型网络管理领域中成长最快的细分市场,根据《2015全球IT运维管理软件市场份额分析》,Gartner预计NPMD工具市场规模为16亿美元,并以20.7%的复合年增长率快速增加。该机构的研究显示,组织机构迫切需要比传统可用性工具更强大的能力,来应对激增的网络环境监测需求,而NPMD助力基础设施与运营(I&O)部门积极主动地做出网络管理规划的战略部署。
NPMD工具在IT系统中扮演者多种角色,并逐渐地对企业业务起到支持作用。它能够改善网络容量管理,从而降低企业对网络设备和服务的资金投入。在2017年NPMD魔力象限报告中,Gartner进一步指出:“NPMD工具允许IT运维通过网络数据来了解应用性能、网络以及基础设施组件的情况。同时,NPMD工具还可以深入了解终端用户体验的质量。部署NPMD产品的目的,不仅仅是对网络流量以及基础设施进行监测并提供针对宕机/运行不佳情况下的解决方案,还能够识别出性能优化的时机。这些功能是通过诊断、分析以及根本原因分析能力来实现的,进而对当今复杂的IT环境实现补充监测。”
天旦的NPM是以服务为导向的网络性能管理系统,通过直接体现网络设施对业务应用的支撑能力,为评估、判定网络服务质量提供可以信赖的数据依据,让IT运维变得简单。具体来说,NPM帮助企业构建以数据为中心的IT运维管理方式,广泛适用于在广域网边界、局域网或者是弹性扩缩的云环境下采集数据,在数据包捕获、存储方面能达到零遗漏,在按规则提取的效率方面超越其他同类NPMD工具的两倍以上。同时,NPM在进行复杂的数据包检测计算时表现出极高的稳定性。在同等存储的情况下,提供数倍于同类产品的原始数据报文保存时间。其会话存储、多维度统计、检索性能也达到同业领跑水平。
天旦NPM产品-链路仪表台
天旦NPM产品-服务路径图
Gartner在今年2月发布的关于NetOps(网络管理员)2.0的定义和指引中指出,随着数字化业务的不断推进和新技术的引入与发展,当前网络管理员正在经历从1.0向2.0转型的过程。最明显的变化就是从实用主义转向战略思考,从单纯专注于技术转向业务感知,从被动问题解决到主动预防,从风险厌恶转向敏捷应对,从着眼于细节到面向全局。天旦联合创始人,产品管理副总裁贺晓麟表示:“天旦的NPM产品自2012年推向市场,就率先提出了面向服务的网络性能管理。构建了网络与数据中心其它部门,网络与业务沟通的桥梁。天旦NPM能够将网络性能管理中纷繁复杂的指标,迅速帮助网络部门判定问题节点,并立即转换成对业务的影响。有效地帮助网络部门对数据中心输出网络数据分析能力。同时通过完整的Restful API提供,让天旦的NPM能够成为网络部门和数据中心自动化运维中重要的组成部分。天旦作为一家高科技企业通过对最新CPU技术、SDN网络技术、深度学习、神经网络技术的研究储备及实际应用,产品在协议识别准确率和性能上都有质的飞跃。天旦NPM能够在标准X86服务器上提供单台20Gbps的采集处理能力,颠覆了网络管理员对软件产品的固有认识。此外不断和领先的厂商如思科、IBM、VMware、Docker等组成战略合作伙伴,帮助NPM的部署和适配从传统网络拓展到SDN、SD-WAN、云以及容器环境。帮助网络管理员在NetOPS2.0年代里从容应对。”
去年,在Gartner的 IT Infrastructure Availability and Performance Management 、Hype Cycle for Networking and Communications和 IT Market Clock 三份研究报告中,天旦与华为、中兴两家中国公司一同成为“入选供应商”(Selected Vendor)和“样品供应商”(Sample Vendor)。今年的NPMD魔力象限报告中,又荣列Honorable Mention。天旦相信,在信息技术不断推动的过程中,越来越多中国IT公司参与全球竞争,在各自领域达到技术领先水平并积累了丰富的经验,更多“中国创造”将服务于全球市场。
关于天旦:
上海天旦网络科技发展有限公司成立于2005年,总部位于上海,是国际领先的业务与网络性能管理领域的软件产品企业,针对关键业务保障、交易分析、大数据采集和挖掘等方面提供专业的产品和解决方案。