隨著互聯(lián)網(wǎng)+的不斷推進(jìn)，單位業(yè)務(wù)與網(wǎng)絡(luò)深度融合，單位對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量及運(yùn)維要求，尤其是對(duì)網(wǎng)絡(luò)穩(wěn)定、高效、安全運(yùn)行的需求在不斷提高。

然而，另一方面令單位困惑的是，網(wǎng)絡(luò)防御在不斷的投入，為何有些問(wèn)題依然沒(méi)有感知。其歸根到底是因?yàn)閭鹘y(tǒng)的防御措施諸如防火墻、IDS等缺乏對(duì)未知攻擊的檢測(cè)能力和對(duì)流量的深度分析能力。

現(xiàn)有威脅發(fā)現(xiàn)與追蹤技術(shù)存在這樣那樣的死角：基于簽名的檢測(cè)方式易被繞過(guò)、缺乏必要的數(shù)據(jù)對(duì)異常事件進(jìn)行識(shí)別以及缺乏看全看得見的能力。

既然黑客知道如何夠繞過(guò)防御，那應(yīng)當(dāng)如何改進(jìn)現(xiàn)有的防御架構(gòu)？科來(lái)公司的齊宇飛（如圖1）表示，再高級(jí)的攻擊，都會(huì)留下網(wǎng)絡(luò)痕跡，唯一萬(wàn)無(wú)一失的辦法是監(jiān)測(cè)全流量、全行為。

圖1 科來(lái) 齊宇飛

圖2 現(xiàn)有安全防御體系面臨的挑戰(zhàn)

圖3 全行為、全流量分析

由于網(wǎng)絡(luò)安全法條款要求單位采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。這使得全流量回溯分析技術(shù)對(duì)單位網(wǎng)絡(luò)運(yùn)維有著非常重要的意義，做到對(duì)網(wǎng)絡(luò)原始流量數(shù)據(jù)的完整記錄、安全事件追溯以及會(huì)話文件還原等。

另外，在安全合規(guī)性要求上，抗APT攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備可以滿足要求。

業(yè)務(wù)性能保障方面，全流量回溯分析實(shí)施對(duì)IT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)性能、業(yè)務(wù)性能、負(fù)載和可用性的持續(xù)監(jiān)控。

在應(yīng)急響應(yīng)方面，完整記錄網(wǎng)絡(luò)原始數(shù)據(jù)包，并且通過(guò)回溯分析，實(shí)現(xiàn)是否需要處置，如何處置，以及處置效果提供充足的數(shù)據(jù)依據(jù)。

科來(lái)的全流量回溯分析，首先定位異常流量，然后發(fā)現(xiàn)并檢索異常流量，最終提取異常流量的攻擊模型。

因在全流量回溯分析檢測(cè)安全威脅，感知并保障單位IT運(yùn)維管理上的成績(jī)，科來(lái)在“2017中國(guó)IT運(yùn)維大會(huì)”上榮獲“2017中國(guó)IT運(yùn)維服務(wù)優(yōu)秀企業(yè)”獎(jiǎng)。