分析要全面
——科來(lái)提供流量分析

成都科來(lái)軟件有限公司是一家專注全流量安全分析的企業(yè)，網(wǎng)絡(luò)流量分析被Gartner評(píng)為2017年十大頂級(jí)安全技術(shù)之一，憑借在流量分析領(lǐng)域的突出貢獻(xiàn)，榮獲“2017中國(guó)網(wǎng)絡(luò)主管論壇最具影響力品牌”獎(jiǎng)，圖1為科來(lái)在論壇現(xiàn)場(chǎng)演講。

科來(lái)全流量安全分析系統(tǒng)（簡(jiǎn)稱“TSA”）提供網(wǎng)絡(luò)鏈路全流量存儲(chǔ)、全數(shù)據(jù)分析能力?？梢詫?duì)流量進(jìn)行鑒別，識(shí)別流量中有什么，實(shí)現(xiàn)L2-L7層流量可視，同時(shí)可以對(duì)流量進(jìn)行解析、數(shù)據(jù)包進(jìn)行解碼，無(wú)死角透視網(wǎng)絡(luò)流量的每一個(gè)細(xì)節(jié)，從而識(shí)別網(wǎng)絡(luò)中可能存在的異常行為、潛在風(fēng)險(xiǎn)。借助全流量存儲(chǔ)分析，安全分析人員可以對(duì)已經(jīng)發(fā)生的攻擊行為進(jìn)行多角度、全方位、可反復(fù)回溯的深度檢測(cè)，從而更容易檢測(cè)出潛在的入侵行為，發(fā)現(xiàn)被其他工具漏掉的攻擊。

圖1 科來(lái) 謝博文

圖2 系統(tǒng)部署圖

全流量安全分析系統(tǒng)可以為用戶識(shí)別和發(fā)現(xiàn)失陷主機(jī)、漏洞利用、高級(jí)木馬通訊、APT攻擊、數(shù)據(jù)竊密等已知和未知的安全威脅，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行定位和取證。幫助安全分析人員從海量的數(shù)據(jù)中聚焦真正的入侵行為，從而縮短對(duì)APT攻擊的響應(yīng)時(shí)間，幫助用戶提升安全分析能力和響應(yīng)能力，最終降低安全損失。

科來(lái)全流量安全分析系統(tǒng)通過(guò)全天候?qū)崟r(shí)智能分析網(wǎng)絡(luò)通訊，及時(shí)發(fā)現(xiàn)主動(dòng)外聯(lián)、木馬通訊、隱蔽信道、異常DNS解析、違規(guī)操作等行為，并通過(guò)預(yù)定義行為模型主動(dòng)發(fā)現(xiàn)潛在未知網(wǎng)絡(luò)威脅，幫助用戶建立靈敏的網(wǎng)絡(luò)威脅感知能力。

同時(shí)針對(duì)可疑事件進(jìn)行定性分析，高效精準(zhǔn)定位安全事件問(wèn)題點(diǎn)，通過(guò)事件關(guān)聯(lián)分析對(duì)安全事件影響進(jìn)行有效評(píng)估，幫助用戶及時(shí)阻斷事態(tài)繼續(xù)惡化，杜絕類似事件再次發(fā)生。

對(duì)網(wǎng)絡(luò)原始通訊數(shù)據(jù)進(jìn)行全流量完整保存，通過(guò)數(shù)據(jù)分析與挖掘幫助用戶對(duì)事件進(jìn)行原始數(shù)據(jù)取證；同時(shí)可對(duì)通訊數(shù)據(jù)流內(nèi)容和安全事件的發(fā)生過(guò)程再現(xiàn)還原，幫助用戶進(jìn)行責(zé)任判定。