随着互联网+的不断推进，单位业务与网络深度融合，单位对网络服务质量及运维要求，尤其是对网络稳定、高效、安全运行的需求在不断提高。

然而，另一方面令单位困惑的是，网络防御在不断的投入，为何有些问题依然没有感知。其归根到底是因为传统的防御措施诸如防火墙、IDS等缺乏对未知攻击的检测能力和对流量的深度分析能力。

现有威胁发现与追踪技术存在这样那样的死角：基于签名的检测方式易被绕过、缺乏必要的数据对异常事件进行识别以及缺乏看全看得见的能力。

既然黑客知道如何够绕过防御，那应当如何改进现有的防御架构？科来公司的齐宇飞（如图1）表示，再高级的攻击，都会留下网络痕迹，唯一万无一失的办法是监测全流量、全行为。

图1 科来 齐宇飞

图2 现有安全防御体系面临的挑战

图3 全行为、全流量分析

由于网络安全法条款要求单位采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。这使得全流量回溯分析技术对单位网络运维有着非常重要的意义，做到对网络原始流量数据的完整记录、安全事件追溯以及会话文件还原等。

另外，在安全合规性要求上，抗APT攻击和网络回溯等系统或设备可以满足要求。

业务性能保障方面，全流量回溯分析实施对IT基础设施的网络性能、业务性能、负载和可用性的持续监控。

在应急响应方面，完整记录网络原始数据包，并且通过回溯分析，实现是否需要处置，如何处置，以及处置效果提供充足的数据依据。

科来的全流量回溯分析，首先定位异常流量，然后发现并检索异常流量，最终提取异常流量的攻击模型。

因在全流量回溯分析检测安全威胁，感知并保障单位IT运维管理上的成绩，科来在“2017中国IT运维大会”上荣获“2017中国IT运维服务优秀企业”奖。