NTA产品白皮书.docx

《NTA产品白皮书.docx》由会员分享，可在线阅读，更多相关《NTA产品白皮书.docx（10页珍藏版）》请在优知文库上搜索。

1、2.2与网络平安运营相关的问题无论是运营商还是数据中心、金融等其他行业，平安运营无疑都是极其at要的。NSFOCUSNTA能解决运维人员最关切的网络平安运苜问题，主要体现在以卜几个方面：快速发觉网络异样NSFOCUSNTA能鲂7x24小时对全网设备进行实时监控.不但能监控网络设备的物理状况：如路由器接口状态是否正常.CPU.内存状态是否IE整，而且能对N络中的流破异样状况：如网络中是否存在攻击小分.是否存在带宽超常等进行实时监控.系统可以依据网络事务的严峻程度定义不同的告警级别,网络中一旦出现异样,便会马上触发告警机制,网络管理员可以在故障发生的第一时间获知网络界样信息，在网络故障爆发或扩大解

2、实行相应的防范措能，将故障的影响程度降到低.定位攻击M和目标触发的告警事务中包含若详尽的内容，通过查看告警事务的分析，可以追溯故障发生的时间,地点.缘由.是否属于人为的恶意攻击.对于攻击事务告警网性中包含攻击的流M大小，攻击流城来源，危急程度等信息，帮助网络管理员快速推断并定位故海缘山，推断异样对网络状况的影峭，刚好实行措施进行应急处理，三.原理介绍在了解NSFOCUSNTA产品功能之前先筒要介绍一下NSFOCUSNTA的工作原理.NSFOCUSNTA主要是求T-Flow的技术,采纳DFI的方式网络中的流量状况进行分析检测,3.1 FlOW技术特点以Cisco的net(low为代表的Flow技

3、术是目前流尿分析检测领域的主流技术，自1996年问世以来，FloW技术以其高效精确的数据聚集方式，低成本高产出的优旗网络运维特点,广泛应用于运营商、数据中心、互联网企业等各种路由揖和交换机中.同DPI(DeepPaCketlnSPeCIiOn)的分析方式相比，NSFOCUSNTA基于Flow的DFI(DeeP/DynamicFlowInSPeCtiOn)数据采集方式有诸多特点:支持的设备畋量众多折杯州应图3.1流n数据的透视3.3异样检测原理异样流尿的检测分为两个过程：流房数掘的采集，流信数据的分析.NSFOCUSNTA基于Fkw的采集方式得到网络中的流量数据，获得流的起止、泳状等数据信息，并

4、依据不同的对象：如跖由器、接口等,依据时间点进行数据址令，形成基于对象的流域特征模型，以异样流量检测为目的流量:数据分析过程分为三个步臊：检测指标实测值的计豫、检测指标基线值的计算、实测值与基线值的比较.而流量中符合攻击特征的数据进行统计,依据特征流JSt是否超出正常范围，推断攻击流出是否存在.每种检测指标都对应一种或可能的几种攻击.也就是说,有的检测指标是特地检测某一种特定的异样流用的。而有的检测指标出现异样时,则能推断存在几种可能的异样流量.无论用种检测指标都要先有自己的基线.而基规的灯法是类似的.NSF0CUSNTA的基线分法分为两种：静态基线算法静态基线是一条水平直规，通常是依据阅历或

5、是试验测盘的结果得来，由于基线水平不变，很难反映客观网络流后的变更。静态提戏较大依毒于须要运维人员的自功实力，须要对特征数据大小进行精确配置，用值配置过高的沽导致海报，阈值配置过低则又简洁产生误报,导致真正的攻击事务被沉没.动态基线算法动态基线算法在济态基线的基础上开发而来.基于正态分布的理论原理,解决广静态基线配跣困难，精确性和时不高的缺点，动态基魏北置简洁，选取动态基线的生成对望.开启流JNH学习功能.羟过一段时间对网络特征流量的学习，系统自动生.成一条随流业特征变更的曲线，如图3.2展示了静态和动态基战的样式，动态基线是一条史贴近于实际流价的曲线：图3.2中展示了动态艇线的三次告警，以流

6、证告警为例，从告警1可看出由于静态艇线的特征值通常设置为网络流喙的平均值,无法若知网络状况变更,对于部分总是低于平均值的流量若出现异样突增,静态基线算法根本无法感知，更不会产生告警：从告警2、3可看出.静态基规产生的告警.由于基线位和实际值差异较大，无法真实反映流M异样的严般程度，.而动态基线是一条随不同时段的网络状况变更的曲段，更贴近于实际流量状况，特征感知明产生的告警更加精确.四.NSFOCUSNTA产品介绍4.1 产品概述绿盟科技网络流/分析系统(NSFUSNetworkTrafficAnalyzer.简称NSFOCUSNTA)是款圣于FlOW技术,在绿盟科技长期时网络流信分析技术的阅历

7、积累上,面对运营商、数据中心等市场推出的流Ia分析检测产品，NSFOCUSNTA给用户供应网络状况的实时监捽、网络攻击异样的实时告警,保证用户的网络环境平安.经过多年的发展.NSFOCUSNTA在客户中已羟具备良好的“碑，胜利案例序部国内和国际等多个区域.4.2 产品架构NSFoCUSNTA的系统架构如图4,1所示，主要的架构分为三个部分，数据采集、分析检树和页面呈现，数据聚集层负责对网络中的流量数据进行采集，供应多种主流格式的Flow及SNMP数据采维,并支持将SPAN数据转化成FlOW格式进行分析.分析检测层负责对采集到的数据进行多种维度的分析.并通过分析检测推断流信数据中是否存在异样流以

8、，对异样流量成分、来源等进行分析。页面早.现层，负责将分析检测层得到的结果分类在页面上进行呈现,如以告警、报表、日志等方式对分析数据进行筛选聚类集中呈现.除此以外,还特地设置一个曰比管理层对数掘、配置、用户等进行集中管理.页面呈现B*fiSABSfittMRnrM*tev图4.1系统架构图4.3 产品特色4.3.1 全网状况实时监控NSFOCUSNTA通过时网络中的流信数据进行采券和分析，能盛时全网络状况进行实时监控，帮助网络管理员建立全网的视角，纵观网络的状况与趋势变更，刚好驾驭网络负栽状况.及网洛应用资源的运用状况.Ie交葩北络备网设身态自状图4.2全网监控图犹如4.2所示.NSFOCUS

9、NTA对全惬的状态监捽包括四个方面：1、网络设备的状态赛控：对网络中的路由设备、接11状态、设备流状态进行实时监控，告知网络管理员网络是否畅通，负我如何、性能状况等概括信息,2、自身设的的状态监控：对NSFOCUSNTA百身的CPU、内存利用率、硬盘运用率、接I】状态、每杪FIOW数等诳行实时监控,实时供应NSF。CUSNTA的运转信息.3、网络流量的状态*控：对网络出口、核心设备、特定子网等网络对象实时监控，供应多维度的流信分析.4、网络异样的状态监控：对网络平安运营的各种异样中务进行实时监控，刚好发觉网络瓶颈，找出网络性能卜降的真凶。4.3.2 精确详尽的流分析NSFUSNTA基于多年来对

10、Aow数据的检测分析问历，不断改进流数据分析律法，保证应对差异困难的现刈环境均能峡供应精确的分析.网络流Iit状况监控的对以包括互联网出门、重要业务、特定于网、关域眼芬器等，分析的维度包括总流加、TOPIP.TOP端口/应用、TOP接口流质等。依据对象在不同维度的关联分析,1解其不同时段网络的成分信息、流向信息、趋势信息.NSFoCUSNTA的最小分析粒度仅为30秒，能实时反映网络流显的变更.系统供应长期的分析数据存储功能，能膨存储长达一年的分析数据。菸于长期的历史数据分析，很简洁建立网络在时间、地域、流向上的分布与趋势特征,帮助运营商和数据中心等机构对业务需求、热点、走向等进行深化挖抠.供应

11、网络决策各对网络的规划与谀计的依据.Nsfocusnta的流分析不仅于此,对于触发告警的弁样流瓜事务，nsfocusnta能弊快速制定受宙IP，从攻击起先到结束，具体记录受宙IP所遭遇的攻击流量大小、流房组成状况,攻击来源和基于时间的变更趋势,对整个攻击事芬发送的全过程进行取证.4.3.3 强大的异样检赛功能针对网络中的异样状况，NSFOCUSNTA具备强大的异样检测功能，基于绿盟科技自主研发的异样检测算法,确保刚好精确的发觉问应.NSF。CllSNTA的异样检测功能特别强大，衣现在以下几个方面： 检流类型丰*,全面IUi骨干网上的全谶MNSFOCUSNTA供应系统内VS以及用户自定义两种的异

12、样特征检测方式,除/系统内置的榜测特征，用户可依据白行发觉的网络异样特征进行自定义特征告警，系统支持多达128种自定义异样特征检测.异样检测的类型包括：流量超常、带宽超带、DDoS攻击、DarkIP异样、私fjIP异样等.NSFOCUSNTA支挣的DDoS攻击告警置薪网络层和应用层，支持如SYNF1.OOD,ACKF1.OODHTTPF1.D,SIPF1.OOD等多达14种攻击事务告警，全面覆盖骨干网上的全部威遇。 快速发觉攻击，记录攻击全过程NSFOCUSNTA能够快速对攻击事务进行响应，最快20秒内就能发铝告警通知.告警的级别可依据严竣程度TS先定义为高、中、低三级，从而触发不同级别的告警

13、，当网络遭遇外部攻击时.NTA符从多个维度记录并分析攻击的缘Ik地点、强度等状况,如记录攻击前后网络流破的变更状况，攻击目标IP的流信变更状况,分析攻击的类型、攻击流量的组成状况等，从而回溯攻击裂务发生的全过程，府助网络管理员定位攻击源， 内网的平安保障攻击事务越演越烈、呈现多元化的发展趋势,内网、外网椰存在发生攻击事务的可能.内部的攻击可能会堵塞网络出口带宽，造成网络瓶颈的严垓后果，抵打内网攻击同样严峻，许多机构都己经意识到内网攻击的危急，如数据中心的政策要求,Jfi控内部是否有对外发起的攻击事务：运苕商的建设要求,除了知道是否遭遇外省的网络攻击.也兴要知道省内是否正在发起攻击。应对新的需求

14、，NTA自主研发的智能校测系统，不仅能检测外部攻击，同时也对内部流用异样进行实时监控，依据事先定义的流盘阈值，智能推断由内网向外网的访问流出是否超过正常范阳,并精确定位内网淹出超常的TOPIP.只有抵挡网络外部攻击的同时，揪出内部攻击的元凶，全网的平安才能得到保障，NSFOCUSNTA的双向检测功能无疑给用户网络供应了双重的平安保障。 智能检窝的算法由于静态基组配徨参数困雄，精确性不高NSFOCUSNTA研发了智能的动态基线生成舞法，通过一段时间对学习对象的流量特征分析、建模，智能生成该对象多维度的网络特征.基线自学习的理论依据是：业务相像流量相像的主机在正常网络状况下，流量大小及特征保持稳衣

15、，以此为依据对该主机正常状况下的不同特征进行流录建模，通过一段时间的机器学习得到其正常状态的渔盘上限.自学习过程中系统自动记录N络的流瞅变见特征，进行基批数据建模.依据可怕范围的数据设置也佶区间,通过对黄侑区间内的历史数据is行分析计算，得到波微的变更趋势和模型特征。为了保证学习的流状特征符合正态分布，系统支持开息日历模式的数据建模，如设置工作日、双休日等日历时间点，针对不同的时间点进行自学习建铁，同时系统支持对生成的动态基线进行手动调整.和口历自学习模式相结合，共同保证动态茶税的粕确性， 依捷高效的检窝系统的计算引擎的程序结构采纳框架和插件模式.这样就在结构上保证了系统的敏提性和高效性.每一

16、种或几种检测算法都对应一种插件,用户可依据臼身的网络特征和业务特征加栽最适当插件.系统也供应一些预设的插件模板，不同的模板对应不同的典型用户.例如电信运营商的骨干网的运维.而应用层攻击的关注程度就很低,因此在这类用户的环境中，就可以不加我相应的检测插件.4.3.4 IPV4/V6双栈分析检测支持IPV6的时代大幕正在渐渐开启，互联网向IPV6过渡已经起先进入实施阶段”国内作为IPV6商用主要力气的运首Ini部分已进入功能验证，大型互联网企业也搭建了自己的试蛤室平ft.用于版下各个业务进行IPV6的试验和试点.针对网络由IPV4向IPV6的变迁趋势.NSFOCUSNTA主动接应客户需求，产M支持对IPV46的双栈分析及攻击检测,解除客户后顾