安全方向:
科来成立于2003年,一直只做网络分析产品,做了十几年了。前几年主要做国内市场,06年开始进入国内市场。
最早就是做抓包软件的,哪有问题,可以拿着抓包工具现场抓包,看看包是如何走的,是否有丢包等。
现在主要做硬件平台,也就是目前在测的科来网络回溯分析系统。
这款产品可以支持7*24小时长期抓包,最大处理能力到6-7G,这个包括实时采集和分析,明年新版本争取能到10Gbps。
可以说是目前国内唯一可以和国外产品sniffer、fluke这些大厂商PK的产品,而且在产品上是完全不输于国外产品的,在安全方向可能比他们做的更好。
这款产品有以下几个特色:
1、首先可以理解为一个摄像头,把监控的所有数据抓下来,一旦出现网络问题可以随时追溯、取证。
而且可以支持很灵活、很方便的调取方式,比如某个IP有问题,那可以很快速的把这个IP近期(几分钟,几天)的数据调取出来。可以基于任意时间去追溯流量,比如想看昨天晚上的数据,直接把时间选取一些就可以回溯出来。
2、可以通过一些网络行为的预警发现安全问题
比如简单的收发包异常,某个主机发送数据包特别多,但接受到的数据包比较少,尤其是发送的是TCP同步包特别多,那肯定是有问题了。
另外是对一些蠕虫行为的发现,现在尤其是隔离的内网,可能没有明显的攻击,但经常出现大规模的蠕虫感染事件,导致网络缓慢或者瘫痪。
因为对蠕虫检测主要通过特征字段进行诊断,但这种变种变化的很快,检测手段往往是落后的。
通过行为分析方法,可以比较容易的发现这类问题。因为不管什么蠕虫,它的机制无非是感染,扫描主机、尝试建立连接,连接建立后尝试登陆、感染主机。
而这些行为,往往导致这些感染主机的大小包比例异常、收发包异常、通讯主机数量庞大等。
另外,有些潜伏主机潜伏的特别隐蔽,可能每天只发少量数据,甚至几天才发起一次连接,这种安全隐患通过普通手段很难检测到的。
其实可以通过回溯设备做长期检测,有可能发现这类安全隐患。之前就在XX用户那,发现一个潜伏了好几年的木马,只是每天在晚上发1-2个连接,传输几K的数据。这种行为在大量的流量面前,肯定是无法区分出来的。
但如果把这台主机的行为按照40天的趋势分析,那就有可能判定出来。
3、通过一些域名、特征值等进行预警发现木马攻击等
因为我们跟一些安全机构合作,长期做应急方面的支持,对恶意域名等有一定积累,这些都可以内置在系统里。
这块相对IDS、IPS的优势就是,我不只是简简单单的报警,而且可以针对报警进行二次分析,这块是其他产品无法替代的。就是发现一个预警之后,可以把相关会话、相关应用或者相关IP的流量给提取出来,做深入的长期的分析。
大家都在用IDS、IPS,真正的使用效果大家也心里都有数,海量的报警、误报、漏报等。好多案例,有兴趣就多讲。
另外,我们提供一个大的开放平台,用户有自己的库,也可以支持导入进来
4、数据包取证、应急响应
等保相关,安全事故相关,讲案例
应急保障案例、成功客户等等
5、业务性能、网络故障方向
可选。