What's New
科來網(wǎng)絡(luò)分析系統(tǒng)(CSNAS)17版本帶來了多項重要更新,涵蓋數(shù)據(jù)還原、協(xié)議分析、過濾能力及安全診斷等多個維度,旨在為用戶提供更強大、更便捷的網(wǎng)絡(luò)分析體驗。本文將帶您詳細了解這些新功能。
文件自動還原
該功能可自動從網(wǎng)絡(luò)流量中識別并還原通過FTP、TFTP、HTTP等協(xié)議傳輸?shù)奈募约癝SL證書和郵件附件。用戶無需再手動解析和提取十六進制數(shù)據(jù)流,極大提升了文件級分析的效率。
設(shè)置路徑為:依次點擊【分析設(shè)置】->【還原設(shè)置】
在設(shè)置界面中,勾選"還原文件到磁盤",指定存儲路徑,并按需選擇希望還原的文件類型即可。
功能啟用后,開始分析數(shù)據(jù)包,CSNAS將會根據(jù)流量中的內(nèi)容自動還原文件到指定文件路徑中。
域名分析
新增獨立的"域名"分析視圖,可集中展示流量中出現(xiàn)的所有域名、其解析出的IP地址,以及相關(guān)的會話數(shù)、數(shù)據(jù)包數(shù)、字節(jié)數(shù)等關(guān)鍵統(tǒng)計信息,并支持以子視圖方式快速分析域名IP地址相關(guān)會話。此視圖便于快速排查與特定域名相關(guān)的網(wǎng)絡(luò)活動或安全事件。
會話視圖過濾增強
在會話視圖的過濾器中,新增了多種基于數(shù)據(jù)流內(nèi)容的過濾關(guān)鍵字:
- session.payload:基于會話的原始數(shù)據(jù)負載進行過濾。
- session.decryptedpayload:基于解密后的數(shù)據(jù)流內(nèi)容進行過濾(需配置HTTPS解密)。
- session.uncompressedpayload:基于解壓縮后的數(shù)據(jù)流內(nèi)容進行過濾。
此外,在TCP會話視圖中,支持使用 tcp.flags.syn和 tcp.flags.synack等過濾器快速篩選出連接建立失敗或異常的會話。
更好的VoIP支持
新版本增強了對VoIP 的支持,新增了信號流詳情與媒體流詳情視圖。另外,現(xiàn)支持對音視頻流傳輸內(nèi)容的還原與播放展示,為語音質(zhì)量評估和通信分析提供了直觀的依據(jù)。
TLS 1.3支持
CSNAS 17 新增了對 TLS 1.3 版本加密流量的解密能力,全面適配現(xiàn)代加密通信協(xié)議。依次點擊菜單欄的【系統(tǒng)】->【選項】->【協(xié)議設(shè)置】->【SSL/TLS】,在 SSL/TLS 設(shè)置界面中,通過配置"(預(yù))主密鑰日志文件"即可實現(xiàn)對 TLS 1.3 流量的解密。
國密支持私鑰解密
為滿足國家安全算法合規(guī)性要求,CSNAS 17 增強了對國密(SM系列)算法加密流量的解密支持。用戶可通過直接導(dǎo)入相應(yīng)的私鑰,對采用國密算法加密的網(wǎng)絡(luò)流量進行解密,為特定行業(yè)提供深度安全分析能力。
全局顯示過濾
新版本引入了全局顯示過濾器功能,幫助用戶從海量數(shù)據(jù)包中快速篩選出關(guān)鍵流量,提升分析效率。該功能默認啟用。用戶也可通過【分析】->【分析設(shè)置】->【基本設(shè)置】,勾選或取消"啟用全局顯示過濾器"來控制此功能的開關(guān)。
啟用功能并開始分析后,軟件上方增加了全局顯示過濾欄。過濾欄右側(cè)有"添加過濾條件"、"禁用過濾條件"、"清除過濾條件"、"查看過濾條件列表"按鈕,可靈活管理過濾條件。新增過濾條件可基于IP地址、端口、域名、協(xié)議、應(yīng)用、進程、時間維度進行設(shè)置。
配置好過濾條件以后,鼠標左鍵單擊過濾條件即可應(yīng)用全局顯示過濾,被應(yīng)用的過濾條件底色發(fā)生變化,點擊過濾條件的!符號可以取反,按住Ctrl鍵單擊過濾條件可以同時應(yīng)用多條過濾條件
網(wǎng)絡(luò)登錄日志
新增網(wǎng)絡(luò)登錄日志分析功能,能夠解析和展示網(wǎng)絡(luò)中的登錄行為日志,幫助管理員追蹤用戶登錄狀態(tài)、發(fā)現(xiàn)異常登錄嘗試。該功能需要在分析設(shè)置-基本設(shè)置中,勾選Login分析模塊以啟用:
功能啟用后,在日志界面可以看到"網(wǎng)絡(luò)登錄日志"功能,實現(xiàn)對網(wǎng)絡(luò)登陸日志的快速分析。
命令行功能
提供了豐富的命令行功能,支持用戶通過腳本實現(xiàn)自動化數(shù)據(jù)采集、分析任務(wù)調(diào)度和結(jié)果導(dǎo)出,便于集成到運維自動化流程中。
無線分析
CSNAS 17顯著增強了無線網(wǎng)絡(luò)分析能力,支持對無線管理幀和數(shù)據(jù)幀的深度解析。系統(tǒng)能夠完整捕獲Wi-Fi連接建立、身份認證和數(shù)據(jù)傳輸全過程,為無線網(wǎng)絡(luò)故障排查和安全檢測提供專業(yè)支撐。
無線視圖包含無線AP,信道,圖表,詳細分析和顯示當前分析的無線網(wǎng)卡抓取或掃描到的AP信息,包括AP的名稱(ESSID),MAC地址(BSSID),連接到無線網(wǎng)絡(luò)中終端(STA),無線信道,信號,噪音,數(shù)據(jù)傳輸率等信息。其中信號,噪音和數(shù)據(jù)傳輸率信息需要無線網(wǎng)卡驅(qū)動支持。
高級安全分析功能
內(nèi)置了更全面的安全分析模塊,可自動檢測并告警多種網(wǎng)絡(luò)攻擊與異常行為,包括ARP欺騙、DDoS攻擊、可疑IP/域名、木馬和蠕蟲活動等,助力用戶快速定位安全威脅。
總結(jié)
CSNAS V17通過"深度解析、智能分析、高效運維"三位一體的能力升級,實現(xiàn)了從基礎(chǔ)網(wǎng)絡(luò)監(jiān)測到業(yè)務(wù)質(zhì)量分析、安全威脅感知的全場景覆蓋。新版本特別強化了加密流量分析、無線網(wǎng)絡(luò)監(jiān)測等傳統(tǒng)難點領(lǐng)域的能力,為數(shù)字化轉(zhuǎn)型背景下的網(wǎng)絡(luò)運維提供了新一代分析工具。建議用戶重點關(guān)注文件自動還原、TLS 1.3解密等核心新功能,充分利用其提升日常工作效率。
本文檔所述的 CSNAS 17 新功能中,全局顯示過濾、網(wǎng)絡(luò)登錄日志、命令行功能、無線分析、高級安全分析功能目前為 Windows 版本特有功能,Linux 版本暫不支持。在規(guī)劃部署時,請根據(jù)實際需求選擇合適的平臺。