全流量安全检测设备是易用有用的安全运维设备，让安全威胁可检测、可告警、可调查、可取证。使用元数据全量存储、易用性极高的搜索、极速的调查回溯、未知威胁检测和元数据取证，解决传统上不被重视的已被入侵和已被攻陷场景，降低安全事件调查运维工作量，提升处置速度，满足攻防演练与合规需求。当网络发生故障时，全流量系统已经进行了全流量存储，自动保留“案发现场”，通过在线报文分析工具对网络协议进行多维度的采集、下钻、分析，可迅速判定故障原因，排查业务承载网络和业务系统的异常问题；通过性能和质量监测，快速形成网络性能指标，全面掌握性能动态。

1、在呈现层面，全面掌握内网安全事件汇总和态势变化；

2、在检测层面，进行资产发现和脆弱性评估，检测未知威胁，及时限制失陷主机，将攻击方的渗透及时控制；

3、在告警层面，针对不同业务系统和应用，进行特定流量特征触发告警，简单易用，便于普通维护人员上手使用，提升体验感和满意度；

4、在调查层面，提供易用的回溯搜索工具，快速定位问题现场和还原过程，深度挖掘安全数据价值，实现安全业务创新；

在取证层面，存储全量访问数据和报文数据，形成可置信的分析报告，保障合规性，提升用户体验感和满意度。

方案先进性

1、全量数据回溯分析与全面行为审计

1）全量网络数据应溯尽溯、应析尽析，全量数据还原分析；

2）回溯分析字段90+：这指的是在回溯分析过程中，系统可以追踪和记录超过90个不同字段的数据，用于更深入地了解流量内容和行为；

3）全行为审计14+种日志：这表明系统可以记录并分析超过14种不同类型的日志，以便于审计和排查问题；

4）提取170+元数据：从这些日志中，系统可以提取出超过170种元数据，为用户提供更详细的信息；

5）提取170+元数据：从这些日志中，系统可以提取出超过170种元数据，为用户提供更详细的信息。

2、精细的流量可视化能力，助力用户建立全视角流量视图

1）基于全局、应用、用户维度：系统可以从全局、应用和用户三个不同的维度对流量数据进行展示和分析，提供更全面的视角；

2）对流量、质量、性能数据进行展示和钻取：系统可以对流量质量、性能数据进行详细的展示和深入的分析，帮助用户理解网络行为；

3）对流量、质量、性能数据进行展示和钻取：系统可以对流量质量、性能数据进行详细的展示和深入的分析，帮助用户理解网络行为；

4）实现用户与组织架构的流量统计、行为画像及性能分析功能：系统可以实现针对用户和组织架构的流量统计、行为画像以及性能分析功能，从而更好地理解网络行为和性能。

3、稳定的报文存储与数据写入

1）报文全量写入不压缩、逐包存储：这种存储方式可以保证数据的完整性和准确性，不因压缩而损失信息；

2）逐包存储和快写快存快索引机制：这种存储方式可以提高写入和索引的效率，从而加快对数据的处理和分析；

3）逐包存储和快写快存快索引机制：这种存储方式可以提高写入和索引的效率，从而加快对数据的处理和分析；

4）经过1x1x项目验证稳定性：这种存储方式已经通过特定项目的验证，证明其稳定性；

5）且经过1x1x项目验证稳定性：这种存储方式已经通过特定项目的验证，证明其稳定性；

6）针对内存泄露、资源未及时释放情况有对应的内存保护措施：针对可能出现的内存泄露和资源未及时释放的问题，系统有相应的保护措施，以确保系统的稳定运行。

方案效益性

1、护网失陷场景

主要问题：蓝方被攻破，边界安全设备面临失效，无法对攻击事件进行溯源。

解决方案与价值：

1）在核心旁路区部署节点，全量留存原始数据进行事后溯源分析；

2）元数据提取与解码，可支持面向链路、网络、主机、应用、交易多维度的180多种性能指标的细粒度的实时分析；

3）对于可疑数据包进行在线分析及下载取证，高效率数据分析与责任界定；

4）自动生成报表，形成数字证据。

2、接入网场景：

主要问题：接入网端的维护管理部门工作难度大。在处理网络问题时，步骤繁琐，涉及多个部门、单位，被动响应、协调难、查处慢、恢复慢，不能及时保障业务的持续性。

解决方案与价值：

1）通过在网络核心交换节点、或者汇聚交换节点，旁路部署大数据全流量取证系统，采集接入网络侧的数据流量，进行南北向的流量监测场景，开展网络运行状态监控、用户端流量可视化分析；

2）方便易用、B/S架构多功能集成一体化，上架即用，建设成本低、部署交付速度快；

3）全流量全量可视化，所有接入网络侧流量、所有应用流量清晰可见，不需要繁琐的人工配置。

3、广域网场景

主要问题：广域网汇聚连接各级接入网络、各级业务系统，数量流量大、承载的业务类型多、涉及的横向、纵向管理关系的单位多。管理复杂，业务保障要求高。网络部门的维护管理在面对人员精力有限的情况下，如何应对骨干网络“三多”难点问题：应用业务类型多、关联各级部门和单位众多、网络连接类型多。

解决方案与价值：

1）通过在广域网汇聚路由器、核心路由器节点进行全流量取证系统的分布式部署，在旁路部署全流量取证系统流量探针，开展网络运行状态监控、广域 网流量可视化分析；

2）广域网链路流量可视化，全面监控运行状态，实时掌握运行状态，访问关系、突发流量情况，高效分析多种应用、多类业务的流量以及运行状况；

3）链路质量分析，保障网络质量，掌握传输链路网络质量，快速判断问题范围，提升跨单位、跨部门的协调工作的效率；

4）虚拟链路分析，多层次化监控分析重要链路，监控IP到IP的虚拟网络、MPLS VPN链路流量。

方案示范性

基于全流量回溯取证分析的网络智能运维解决方案，映射到安博通的产品为TFS。TFS是Total flow forensics system的缩写，中文名称“鹰眼”全流量取证系统，是一款针对企业级网络的流量与业务的分析、排障、取证运维工具。系统能够直接分析、记录、索引流量数据产品，产品采用单台或分布式部署的方案，TFS着眼于全流量数据取证，有独特的网络管理能力，实现了数据的全流量存储及快速的全流量数据回溯分析功能，使网络分析突破时间的限制。采集大量的关键数据，采用日志关联分析、行为关联分析、异常行为检测和结合机器学习对异常行为进行分析检测，用于发现未知安全威胁。在数据挖掘、追踪定位以及数字取证等方面更精确、高效，从而更好的帮助用户解决遇到的网络问题。

重点面向经营服务型网络、园区网、网络运营商、无线安全运营、大型行业内网等主要客户业务场景，在政府、金融、运营商、军队、能源、企业等多个行业均获得成功应用。

方案获奖情况

专利：

《流量统计方法、流量质量分析方法及装置》

《一种流量异常评估方法及装置、电子设备和存储介质》

《一种对等网络流量的识别方法及识别装置》

《加密流量自定义应用识别方法、系统、装置及存储介质》

《一种TCP流重组方法、装置、电子设备及存储介质》

《网络会话中UDP报文的检测方法及装置》

等....

知识产权

商标名称：安博通鹰眼 国际分类：42类 设计研究

荣誉

 

ISCCC资质证书

 

销许

软著

 

图片

 

示范案例（项目）的相关信息

案例名称：乌鲁木齐烟草公司

简介：乌鲁木齐烟草公司（下称乌市公司）是新疆维吾尔族自治区烟草公司（下称省公司）下辖的市公司，业务包括卷烟、雪茄烟本省（市、自治区）购进本地批发。乌市公司目前有两张网络，工控网和办公网，两张网络进行了物理隔离。其中工控网络稳定性强，承担重要生产任务，无对外通信业务，相对较封闭。办公网结构复杂，承载OA、视频会议、动环应用等多个关键业务，需跨广域网与省公司进行数据交换。

特点：

1.双网隔离——工控网与办公网物理隔离

2.工控网独立封闭——稳定性强，承担重要生产任务，无对外通信业务，相对较封闭

3.办公网承载多个业务流量——结构复杂，承载OA、视频会议、动环应用等业务，需跨广域网与省公司进行数据交换

业务痛点和影响：

1.与省公司跨广域网视频会议经常性故障，全省前丢面子，工作能力受到领导质疑；

2.网络流量组成不清晰，运维工作开展困难；

3.动环应用频繁告警，影响日常生活；

当前对策：

1.数通分析：数通厂商只能进行连通性、可用性分析，无法分析网络性能质量；

2.安服分析：驻场安服人员分析，非擅长领域，无法给出结论；

效果：

1.网络流量清晰可视：看见链路流量组成，为日常运维工作开展提供指导建议；

2.责任界定：通过网络质量分析，确定动环应用告警和视频会议卡顿责任面，消除网络问题造成的不良影响（丢面子、能力受质疑、告警影响日常生活）；

 

3.赋能赋价：将网络流量回溯分析能力赋予网络组，推动客户进行业务和网络结构优化，提升网络组工作价值

 

效益：

1.梳理和预见风险

2.降低运营成本

3.安全、持续、高效运行

4.提升运维效率

案例名称：国投曹妃甸港口公司

简介：国投曹妃甸港口有限公司为国投集团旗下子公司之一，该港口现网共有1500路IPC， 每个摄像头2M 码流，该环境下，全部IPC每天生成的原始视频数据量大约30T。办公网流量复杂，看不清有哪些应用。

特点：

1.监控摄像头数量多、数据量巨大，视频卡顿；

2.办公网流量看不清、看不深；

业务挑战和痛点：

1.办公网PC需访问监控中心海康监控平台调取前端探头视频监控，访问过程中经常出现断开连接、列表加载卡顿、无法连接监控平台现象，单独打开摄像机图像不影响观看。

网络部：如何界定问题界面，如何提供证据来协调相关责任人排查。

2.办公网收发文件异常，有时候文件传输失败。

网络部：如何确定是网络问题还是服务问题。

3.办公网流量有时过大，看不清网络中流量跑了哪些应用。

网络部：流量异常时如何确认由哪些应用造成。

效果：

1.故障界定：对视频卡顿或者业务故障均可通过相关性能指标分析界定问题排查方向，给出问题分析方向

 

2.可见可感：看见办公网流量组成，看清网络中跑了哪些应用流量，为客户看清流量可视化呈现

 

3.可溯可证：全流量回溯提供事件原始数据，提供溯源判断依据，让业务变化有据可依

 

效益：

1.对客户网络运维人员而言，提高故障定位效率、责任界定清晰、证据充分留存，同时解决链路黑管问题；

2.帮助国投曹妃甸港口公司精准定位视频卡顿原因，提升网络安全运维能力。

案例名称：中国人民银行数字货币研究所

简介：

中国人民银行数字货币研究所，成立于2019年，位于北京市，是人行的二级单位，总部设在深圳，名称叫金融科技研究院，北京的研究所属于2022年新建，有流量监测需求。研究所的宗旨和业务范围是“开展数字货币研究，促进金融事业发展。数字货币研究与开发数字货币原型设计与构建数字货币试验与推广数字货币系统建设与运维”。

特点：

1.异常流量监测-主要关注网络层异常流量，TCP异常流量+防火墙drop流量+端口复用、慢速攻击解析并关联至报文

2.应用程序流量监听-对日常应用程序流量进行监听，防止流量激增导致程序挂掉，影响业务

3.告警流量复核-其它安全设备上某个IP在某段时间出现异常，需要在流量设备上查找关键字，并进行报文下载和回溯

效果：

1.异常流量攻击可视化

 

2.攻击面可视化

3.安全运营中心

效益：

1.在呈现层面，全面掌握内网安全事件汇总和态势变化

2.在检测层面，进行资产发现和脆弱性评估，检测未知威胁，及时限制失陷主机，将攻击方的渗透及时控制

3.在告警层面，针对不同业务系统和应用，进行特定流量特征触发告警，简单易用，便于普通维护人员上手使用，提升体验感和满意度

4.在调查层面，提供易用的回溯搜索工具，快速定位问题现场和还原过程，深度挖掘安全数据价值，实现安全业务创新

5.在取证层面，存储全量访问数据和报文数据，形成可置信的分析报告，保障合规性，提升用户体验感和满意度