科来网络回溯分析系统(硬件)

TS-08-0002错误!未指定书签。

目录科来网络分析系统整体解决方案 (1)目录 (1)第1章前言 (4)第2章企业网络现状 (4)2.1企业内部网络结构模型 (4)2.2传统防御的网络风险和安全隐患 (5)2.3网络分析时代来临 (6)第3章科来网络分析系统功能简述 (6)3.1网络内部流量占用分析 (7)3.2网络出口带宽分析 (8)3.3病毒、攻击预警和快速定位 (8)3.47*24小时长期分析 (8)3.5专家诊断 (8)3.6端点分析 (9)3.7协议分析 (9)3.8数据包实时解码能力 (9)3.9TCP数据流重组 (10)3.10应用程序分析 (10)3.11网络错误检测 (11)3.12主机快速定位 (11)3.13网络故障回放 (11)3.14矩阵统计 (12)3.15报表统计 (13)3.16图表统计 (13)3.17数据过滤分析 (13)3.18基于工程的分析 (15)第4章科来网络分析系统性能指标 (15)4.1网络类型 (15)4.2网络拓扑 (16)4.3系统需求 (16)4.4支持的协议层次 (16)4.5支持的协议 (16)4.6支持的网络适配器（网卡） (17)4.7支持的数据包文件格式 (17)4.8分析精度 (18)4.9数据包级故障诊断 (18)4.10网络监控 (18)第5章科来网络分析系统安装部署 (18)5.1共享式网络 (18)5.2具备镜像功能的交换式网络 (19)5.3不具备镜像功能的交换式网络 (19)5.4定点分析一个部门或一个网段 (20)5.5代理服务器共享上网 (20)第6章服务和技术支持 (21)6.1服务理念 (21)6.2售前服务 (21)6.3售后服务 (21)6.4技术支持 (22)第7章培训 (22)7.1培训介绍 (22)7.2培训方式 (23)7.3培训地点 (23)7.4培训时间 (23)7.5培训费用 (23)7.6培训大纲 (23)第8章相关手册 (27)第9章科来软件介绍 (28)9.1公司简介 (28)9.2联系方式 (28)第10章附件 (29)9.1海外典型用户 (29)9.2国内典型用户 (30)第1章前言随着政府、企业、校园网和电子商务等一系列网络应用的蓬勃发展，网络正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。

科来回溯分析系统功能介绍之数据挖掘1. 数据挖掘技术简介 (1)1.1数据挖掘的背景 (1)1.2 什么是数据挖掘 (1)1.3 数据挖掘的功能 (2)1.4 数据挖掘技术 (2)1.5 数据挖掘的对象 (2)1.6 数据挖掘的处理流程 (2)2. 科来回溯系分析统的数据挖掘功能 (3)2.1 按时间挖掘 (3)2.2 按数据类型挖掘 (4)2.3 按端点、应用及会话挖掘 (5)2.4 总结 (6)1. 数据挖掘技术简介1.1数据挖掘的背景随着网络应用和规模的不断发展，网络随时都在产生海量数据，这些数据方便了网络管理者了解、管理网络。

但也带来了一些问题，如信息过量，难以消化；无法快速从海量数据中找到有用的信息等。

面对网络海量数据，如何理解、发现数据之间的关系和规则，快速对数据进行抽取、转换，并进行综合分析，从中挖掘岀有价值的信息，为管理者及时、准确的提供决策数据支撑已成为网络管理的重点。

所以，将数据挖掘技术引入到网络管理，并构建全局、智能、高效的网络管理解决方案已成为一个必然的趋势。

1.2什么是数据挖掘数据挖掘（Data Mining，DM）是指从数据库的大量数据中揭示岀隐含的、先前未知的并有潜在价值的信息的非平凡过程。

数据挖掘是一种决策支持过程，它主要基于人工智能、机器学习、模式识别、统计学、数据库、可视化技术等。

数据挖掘技术是面向应用的，它不仅对数据库进行检索、查询、调用，而且要对这些数据进行深入的统计、分析和推理，发掘数据问的相互关系，完成从业务数据到决策信息的转换。

在人工智能领域，数据挖掘又被称为数据库中知识发现(Knowledge Discovery in Database, KDD)，通常把数据挖掘视为数据库中知识发现过程的一个基本步骤。

1.3数据挖掘的功能常见的数据挖掘的功能包括分类( Classification)、估值(Estimation )、预言(Prediction)、相关性分组或关联规则(Affinity grouping or association rules)、聚集(Clustering)、描述和可视化(Description and Visualization八复杂数据类型挖掘仃ext, Web周形图像，视频，音频等)等七种。

产品使用手册科来网络分析系统６．０　产　品　使　用　手　册　© 2003-2006 成都科来软件有限公司 版权所有 保留所有权利Web ： /products/Email ： support@Phone ： 86-28-85120922Fax ： 86-28-85120911系统要求Expert 10/100/1000 Ethernet Network Monitor 科来网络分析系统　目录科来网络分析系统６．０ (1)一．产品概述 (4)1. 版本信息 (5)2. 使用许可协议 (6)3. 购买信息 (7)4. 服务与技术支持 (8)二．功能与特性 (9)1. 统计分析 (9)2. 图表统计 (9)3. 报表 (10)4. 打印和打印预览 (10)5. 支持更多协议 (10)6. 命令行支持 (10)7. 名字表 (10)8. 统计快照 (11)9. 数据包摘要解码 (11)10.强大的日志功能 (11)11.支持拨号上网 (11)12.强大的过滤 (11)13.定位节点 (11)14.支持多网卡同时分析 (12)15.高级分析模块 (12)16.支持本地环回 (12)17.相关数据包 (12)18.节点浏览器 (12)19.工程状态栏 (12)三．产品部署说明 (13)1. 共享网络- 通过Hub连接上网 (13)2. 交换式网络- 交换机具备管理功能（端口镜像） (14)3. 交换式网络- 交换机不具备管理功能（端口镜像） (14)4. 定点分析某个网段 (15)5. 使用代理服务器 (16)6. 使用集线器Hub、分接器TAP、交换机Switch的区别？ (16)四．安装与卸载 (17)1. 产品安装: (17)2. 产品卸载： (17)3. 系统要求 (18)4. 产品授权 (18)5. 产品激活 (19)6. 产品注册 (19)五．快速使用 (20)1. 启动方式 (21)2. 捕获数据包 (21)3. 选择网卡 (22)5. 数据排序 (23)6. 数据复制 (24)7. 导入导出 (24)8. 工程保存 (26)9. 打印 (27)10.生成日志 (28)六．工程 (28)1. 菜单 (30)2. 工具栏 (32)3. 开始页面 (32)4. 节点浏览器 (33)5. 工程状态栏 (34)七．　主视图区 (35)1. 概要统计 (37)2. 端点 (40)3. 协议 (40)4. 数据包 (41)5. 会话 (42)6. 矩阵 (43)7. 日志 (44)8. 图表 (45)八．工程设置 (46)1. 工程设置－常规 (46)2. 工程设置－网络适配器 (48)3. 工程设置－过滤器 (49)4. 工程设置－网络配置 (50)5. 工程设置－日志设置 (51)6．工程设置－诊断设置 (52)九．系统选项 (53)十．统计分析 (55)十一．诊断 (56)1. 诊断参考 (57)2. 参考信息－应用层 (58)３．参考信息－传输层 (60)４．参考信息－网络层 (61)５．参考信息－数据链路层 (62)十二．会话 (62)1. 物理地址 (63)2. IP地址 (64)3. TCP连接 (65)4. UDP会话 (67)十三．矩阵 (67)１．物理矩阵 (69)２．ＩＰ矩阵 (71)十四．图表 (71)2. 图表对比 (74)十五．报表 (75)十六．日志 (76)十七．数据包解码 (78)1. 概要解码 (79)2. 字段解码 (80)3. 十六进制解码 (81)十八．ＴＣＰ数据流重组 (81)十九．过滤器 (82)1. 简单过滤 (83)2. 高级过滤 (86)3.　过滤器表 (88)二十．名字表 (90)二十一．命令行 (91)一．产品概述科来网络分析系统是一个集数据包采集、解码、协议分析、统计、日志图表等多种功能为一体的综合网络分析系统。

科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点，长期实时分析并捕获流量，发现网络中存在的窃密行为，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。

3.系统部署1.分布式部署，要求能够部署在远程网络中进行长期实时分析，通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时，能够通过设定本地网络，区分内部和外部地址，并分别统计上行和下行流量。

4.能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。

5.支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用，针对自定义的应用进行流量监测分析。

7.可根据端口或端口范围、端口组自定义应用。

8.可根据地址、地址组、地址范围自定义应用。

9.可根据地址端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存，设备的存储容量不低于。

13.数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现线速保存能力，数据包处理性能不低于。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中数量、数量、数量。

16.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的会话流、会话流、会话流数据，数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获，包括根据地址、地址段、通讯协议、端口等条件过滤捕获。

6.数据检索分析要求18.能够和原有的科来网络回溯分析系统控制台配合，通过控制台方便的检索捕获的任意时间范围的网络通讯数据。

目录1.目前网络运维难点 (2)2.网络回溯分析实现运维目标 (2)3.网络回溯分析应用价值 (4)3.1.安全分析功能 (4)1.1.故障诊断 (5)1.2.网络预警 (5)1.3.决策依据 (5)1.4.责任界定 (6)1.5.业务梳理 (6)1.6.应用监控 (6)1.7.数字取证 (6)4.解决方案 (7)4.1.方案介绍 (7)4.2.网络回溯系统部署方案 (7)4.2.1.全网部署示意图（实现全网监控） (8)4.2.2.车站部署示意图 (10)4.2.3.中心部署示意图 (11)1.目前网络运维难点随着IT的高速发展，网络结构日新月异，云环境已经成为逐渐替换传统网络，成为网络中重要的一部分，但同样也带来了新的运维挑战、云环境的复杂性及未知性、传统网络网元的多样性（路由器、防火墙、WAF、负载均衡、IPS等等），给网络提供高效的传输和管理途径外，也带来了更多的运维难度；据统计，网络故障中75%是间歇性故障，在管理员响应后故障现象已经不再了，而这个故障隐患却一直潜伏着，同时据统计，目前网络故障定位平均时间为2天以上，而故障解决只需要2小时，而这里面还不包含无法定位而不了了之的故障，因此，快速定位故障是一项极为重要的事情。

众所周知，不论是传统物理网络还是云虚拟环境，只要存在网络活动、一定会产生网络行为，而网络行为的基本元素就是数据包，因此网络抓包是网络运维管理的终极手段，无论是网络故障、应用系统故障、安全威胁都能够通过抓包分析得到最终定位，而科来则将数据包“可视化”做到了极致效果，使运维的终极手段能够直接运用到网络管理中。

网络回溯分析系统是一款集网络七层协议分析技术、高性能数据存储和智能数据挖据技术、分布式数据处理技术的高性能硬件平台，实现全天候7*24小时不间断抓包监控，能够为用户提供其他网络和安全产品所不可替代的价值。

2.网络回溯分析实现运维目标⏹主动性网络管理，减少网络瘫痪和性能下降的时间减少网络故障，缩短网络系统宕机时间，避免无法估量的经济损失；⏹减少解决网络故障的时间通过使用全流量分析系统监控可以更快捷、更有效的诊断网络故障，大幅度减少解决网络故障的时间。

科来网络回溯分析技术解决方案2015年6月目录1项目背景随着信息化建设步伐的不断加快,信息网络技术在的应用日趋广泛,这些先进的技术给的管理带来了前所未有的便利,也提升了的管理质量和服务水平,同时对行业网络信息和数据的依赖程度也越来越高,因此也带来了不可忽视的网络系统安全问题。

例如:网络规模的不断扩大，网络越来越复杂，应用环境也越来越复杂，网络中的数据流量越来越大，如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。

在这种情况下，网络运行维护人员必须对网络的流量占用、应用分布、通讯连接、数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握，才能在网络出现性能和安全问题时，能够快速准确的分析问题原因，定位故障点和攻击点并将其排除，从而实现网络价值最大化。

2需求分析根据目前的应用及网络状况，需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断,帮助管理员排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。

使不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。

在网络日常运维中主要存在如下几个困扰：1) 信息网中运行着大量的服务和设备，一旦业务应用出现问题，需要快速区分是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，导致运维团队之间互相推诿责任，问题解决效率迟缓，如何快速定位问题已成为网络管理的迫切需求。

2) 需要掌握重要业务应用链路的流量趋势，流量利用率等情况。

针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。

另外还需要对网络通讯按业务类型进行归类和分析，帮助管理人员有效地掌握业务通讯状态，提高管理策略依据。

3) 对影响网络安全的攻击或异常行为，无法及时发现与监控，避免网络出现重大故障甚至瘫痪。

4) 及时发现网络中存在的安全隐患（扫描攻击），以便网络管理人员及时加固和消除。