NTA产品白皮书.docx

2.2与网络平安运营相关的问题无论是运营商还是数据中心、金融等其他行业，平安运营无疑都是极其at要的。NSFOCUSNTA能解决运维人员最关切的网络平安运苜问题，主要体现在以卜几个方面：快速发觉网络异样NSFOCUSNTA能鲂7x24小时对全网设备进行实时监控.不但能监控网络设备的物理状况：如路由器接口状态是否正常.CPU.内存状态是否IE整，而且能对N络中的流破异样状况：如网络中是否存在攻击小分.是否存在带宽超常等进行实时监控.系统可以依据网络事务的严峻程度定义不同的告警级别,网络中一旦出现异样,便会马上触发告警机制,网络管理员可以在故障发生的第一时间获知网络界样信息，在网络故障爆发或扩大解实行相应的防范措能，将故障的影响程度降到低.定位攻击M和目标触发的告警事务中包含若详尽的内容，通过查看告警事务的分析，可以追溯故障发生的时间,地点.缘由.是否属于人为的恶意攻击.对于攻击事务告警网性中包含攻击的流M大小，攻击流城来源，危急程度等信息，帮助网络管理员快速推断并定位故海缘山，推断异样对网络状况的影峭，刚好实行措施进行应急处理，三.原理介绍在了解NSFOCUSNTA产品功能之前先筒要介绍一下NSFOCUSNTA的工作原理.NSFOCUSNTA主要是求T-Flow的技术,采纳DFI的方式网络中的流量状况进行分析检测,3.1 FlOW技术特点以Cisco的net(low为代表的Flow技术是目前流尿分析检测领域的主流技术，自1996年问世以来，FloW技术以其高效精确的数据聚集方式，低成本高产出的优旗网络运维特点,广泛应用于运营商、数据中心、互联网企业等各种路由揖和交换机中.同DPI(DeepPaCketlnSPeCIiOn)的分析方式相比，NSFOCUSNTA基于Flow的DFI(DeeP/DynamicFlowInSPeCtiOn)数据采集方式有诸多特点:支持的设备畋量众多折杯州应图3.1流n数据的透视3.3异样检测原理异样流尿的检测分为两个过程：流房数掘的采集，流信数据的分析.NSFOCUSNTA基于Fkw的采集方式得到网络中的流量数据，获得流的起止、泳状等数据信息，并依据不同的对象：如跖由器、接口等,依据时间点进行数据址令，形成基于对象的流域特征模型，以异样流量检测为目的流量:数据分析过程分为三个步臊：检测指标实测值的计豫、检测指标基线值的计算、实测值与基线值的比较.而流量中符合攻击特征的数据进行统计,依据特征流JSt是否超出正常范围，推断攻击流出是否存在.每种检测指标都对应一种或可能的几种攻击.也就是说,有的检测指标是特地检测某一种特定的异样流用的。而有的检测指标出现异样时,则能推断存在几种可能的异样流量.无论用种检测指标都要先有自己的基线.而基规的灯法是类似的.NSF0CUSNTA的基线分法分为两种：静态基线算法静态基线是一条水平直规，通常是依据阅历或是试验测盘的结果得来，由于基线水平不变，很难反映客观网络流后的变更。静态提戏较大依毒于须要运维人员的自功实力，须要对特征数据大小进行精确配置，用值配置过高的沽导致海报，阈值配置过低则又简洁产生误报,导致真正的攻击事务被沉没.动态基线算法动态基线算法在济态基线的基础上开发而来.基于正态分布的理论原理,解决广静态基线配跣困难，精确性和时不高的缺点，动态基魏北置简洁，选取动态基线的生成对望.开启流JNH学习功能.羟过一段时间对网络特征流量的学习，系统自动生.成一条随流业特征变更的曲线，如图3.2展示了静态和动态基战的样式，动态基线是一条史贴近于实际流价的曲线：图3.2中展示了动态艇线的三次告警，以流证告警为例，从告警1可看出由于静态艇线的特征值通常设置为网络流喙的平均值,无法若知网络状况变更,对于部分总是低于平均值的流量若出现异样突增,静态基线算法根本无法感知，更不会产生告警：从告警2、3可看出.静态基规产生的告警.由于基线位和实际值差异较大，无法真实反映流M异样的严般程度，.而动态基线是一条随不同时段的网络状况变更的曲段，更贴近于实际流量状况，特征感知明产生的告警更加精确.四.NSFOCUSNTA产品介绍4.1 产品概述绿盟科技网络流/分析系统(NSFUSNetworkTrafficAnalyzer.简称NSFOCUSNTA)是款圣于FlOW技术,在绿盟科技长期时网络流信分析技术的阅历积累上,面对运营商、数据中心等市场推出的流Ia分析检测产品，NSFOCUSNTA给用户供应网络状况的实时监捽、网络攻击异样的实时告警,保证用户的网络环境平安.经过多年的发展.NSFOCUSNTA在客户中已羟具备良好的“碑，胜利案例序部国内和国际等多个区域.4.2 产品架构NSFoCUSNTA的系统架构如图4,1所示，主要的架构分为三个部分，数据采集、分析检树和页面呈现，数据聚集层负责对网络中的流量数据进行采集，供应多种主流格式的Flow及SNMP数据采维,并支持将SPAN数据转化成FlOW格式进行分析.分析检测层负责对采集到的数据进行多种维度的分析.并通过分析检测推断流信数据中是否存在异样流以，对异样流量成分、来源等进行分析。页面早.现层，负责将分析检测层得到的结果分类在页面上进行呈现,如以告警、报表、日志等方式对分析数据进行筛选聚类集中呈现.除此以外,还特地设置一个曰比管理层对数掘、配置、用户等进行集中管理.页面呈现B*fiSABSfittMRnrM*tev图4.1系统架构图4.3 产品特色4.3.1 全网状况实时监控NSFOCUSNTA通过时网络中的流信数据进行采券和分析，能盛时全网络状况进行实时监控，帮助网络管理员建立全网的视角，纵观网络的状况与趋势变更，刚好驾驭网络负栽状况.及网洛应用资源的运用状况.Ie交葩北络备网设身态自状图4.2全网监控图犹如4.2所示.NSFOCUSNTA对全惬的状态监捽包括四个方面：1、网络设备的状态赛控：对网络中的路由设备、接11状态、设备流状态进行实时监控，告知网络管理员网络是否畅通，负我如何、性能状况等概括信息,2、自身设的的状态监控：对NSFOCUSNTA百身的CPU、内存利用率、硬盘运用率、接I】状态、每杪FIOW数等诳行实时监控,实时供应NSF。CUSNTA的运转信息.3、网络流量的状态*控：对网络出口、核心设备、特定子网等网络对象实时监控，供应多维度的流信分析.4、网络异样的状态监控：对网络平安运营的各种异样中务进行实时监控，刚好发觉网络瓶颈，找出网络性能卜降的真凶。4.3.2 精确详尽的流分析NSFUSNTA基于多年来对Aow数据的检测分析问历，不断改进流数据分析律法，保证应对差异困难的现刈环境均能峡供应精确的分析.网络流Iit状况监控的对以包括互联网出门、重要业务、特定于网、关域眼芬器等，分析的维度包括总流加、TOPIP.TOP端口/应用、TOP接口流质等。依据对象在不同维度的关联分析,1'解其不同时段网络的成分信息、流向信息、趋势信息.NSFoCUSNTA的最小分析粒度仅为30秒，能实时反映网络流显的变更.系统供应长期的分析数据存储功能，能膨存储长达一年的分析数据。菸于长期的历史数据分析，很简洁建立网络在时间、地域、流向上的分布与趋势特征,帮助运营商和数据中心等机构对业务需求、热点、走向等进行深化挖抠.供应网络决策各对网络的规划与谀计的依据.Nsfocusnta的流分析不仅于此,对于触发告警的弁样流瓜事务，nsfocusnta能弊快速制定受宙IP，从攻击起先到结束，具体记录受宙IP所遭遇的攻击流量大小、流房组成状况,攻击来源和基于时间的变更趋势,对整个攻击事芬发送的全过程进行取证.4.3.3 强大的异样检赛功能针对网络中的异样状况，NSFOCUSNTA具备强大的异样检测功能，基于绿盟科技自主研发的异样检测算法,确保刚好精确的发觉问应.NSF。CllSNTA的异样检测功能特别强大，衣现在以下几个方面： 检流类型丰*,全面IUi骨干网上的全谶MNSFOCUSNTA供应系统内VS以及用户自定义两种的异样特征检测方式,除/系统内置的榜测特征，用户可依据白行发觉的网络异样特征进行自定义特征告警，系统支持多达128种自定义异样特征检测.异样检测的类型包括：流量超常、带宽超带、DDoS攻击、DarkIP异样、私fjIP异样等.NSFOCUSNTA支挣的DDoS攻击告警置薪网络层和应用层，支持如SYNF1.OOD,ACKF1.OOD>HTTPF1.D,SIPF1.OOD等多达14种攻击事务告警，全面覆盖骨干网上的全部威遇。 快速发觉攻击，记录攻击全过程NSFOCUSNTA能够快速对攻击事务进行响应，最快20秒内就能发铝告警通知.告警的级别可依据严竣程度TS先定义为高、中、低三级，从而触发不同级别的告警，当网络遭遇外部攻击时.NTA符从多个维度记录并分析攻击的缘Ik地点、强度等状况,如记录攻击前后网络流破的变更状况，攻击目标IP的流信变更状况,分析攻击的类型、攻击流量的组成状况等，从而回溯攻击裂务发生的全过程，府助网络管理员定位攻击源， 内网的平安保障攻击事务越演越烈、呈现多元化的发展趋势,内网、外网椰存在发生攻击事务的可能.内部的攻击可能会堵塞网络出口带宽，造成网络瓶颈的严垓后果，抵打内网攻击同样严峻，许多机构都己经意识到内网攻击的危急，如数据中心的政策要求,Jfi控内部是否有对外发起的攻击事务：运苕商的建设要求,除了知道是否遭遇外省的网络攻击.也兴要知道省内是否正在发起攻击。应对新的需求，NTA自主研发的智能校测系统，不仅能检测外部攻击，同时也对内部流用异样进行实时监控，依据事先定义的流盘阈值，智能推断由内网向外网的访问流出是否超过正常范阳,并精确定位内网淹出超常的TOPIP.只有抵挡网络外部攻击的同时，揪出内部攻击的元凶，全网的平安才能得到保障，NSFOCUSNTA的双向检测功能无疑给用户网络供应了双重的平安保障。 智能检窝的算法由于静态基组配徨参数困雄，精确性不高NSFOCUSNTA研发了智能的动态基线生成舞法，通过一段时间对学习对象的流量特征分析、建模，智能生成该对象多维度的网络特征.基线自学习的理论依据是：业务相像流量相像的主机在正常网络状况下，流量大小及特征保持稳衣，以此为依据对该主机正常状况下的不同特征进行流录建模，通过一段时间的机器学习得到其正常状态的渔盘上限.自学习过程中系统自动记录N络的流瞅变见特征，进行基批数据建模.依据可怕范围的数据设置也佶区间,通过对黄侑区间内的历史数据is行分析计算，得到波微的变更趋势和模型特征。为了保证学习的流状特征符合正态分布，系统支持开息日历模式的数据建模，如设置工作日、双休日等日历时间点，针对不同的时间点进行自学习建铁，同时系统支持对生成的动态基线进行手动调整.和口历自学习模式相结合，共同保证动态茶税的粕确性， 依捷高效的检窝系统的计算引擎的程序结构采纳框架和插件模式.这样就在结构上保证了系统的敏提性和高效性.每一种或几种检测算法都对应一种插件,用户可依据臼身的网络特征和业务特征加栽最适当插件.系统也供应一些预设的插件模板，不同的模板对应不同的典型用户.例如电信运营商的骨干网的运维.而应用层攻击的关注程度就很低,因此在这类用户的环境中，就可以不加我相应的检测插件.4.3.4 IPV4/V6双栈分析检测支持IPV6的时代大幕正在渐渐开启，互联网向IPV6过渡已经起先进入实施阶段”国内作为IPV6商用主要力气的运首Ini部分已进入功能验证，大型互联网企业也搭建了自己的试蛤室平ft.用于版下各个业务进行IPV6的试验和试点.针对网络由IPV4向IPV6的变迁趋势.NSFOCUSNTA主动接应客户需求，产M支持对IPV46的双栈分析及攻击检测,解除客户后顾之忧，4.3.5 敏捷多样的报表展示为了支控对分析、检测数据的全方位展示，NSFOCUSNTA开发j'f拢的报友系统，可依据须要进行条件嘛选、组合，生成多种类型的报表,系统供应实时和历史两种时间维度的报表,支持日/周/月/年及用户自定义时段的报表,一方面满意查看实时监控报表的需求.另一方面供应对历史数据信息的追溯与取证.报表有饼图、柱图、趋势图等呈现形式，也支持面枳图、折战图的图形自定义。针对网络的流量状况,系统可以依据关注的不同网络对象进行选择.白定义报表的生成现则，从多维度、多视角对流求数据进行分析、呈现.针对网络中的DDoS攻击，系统供应攻击目标、攻击告警次数、攻击诋求、牵引状况等信息具体记录.并可依据攻击类型、告警级别、统计时象等进行数据籍选。系统还具备报表处合功能，出助用户将关注的分析进行加合.生成所需的踪余报表.陂提多样的报表系统,全方位满甑运维人员的各种须要.4.3.6 完整的解决方案绿盟科技针对电估运营商、大型数据中心对AntiQDOS系统“可管理、可运营”的霜求.推出了三位一体的解决方案,该解决方案由异样流染检测系统(NSFOCUSNTA)、异样流求净化系统NSFOCUSADS)及管理和取证系统(NSFUSADSM)组成图4.3媒盟科技池体方案NSF。CUSNTA鱼贵进行网络监控、DDOS攻击检测的工作，当发觉攻击时，NTA依据预先定义好的规则,智能启动和盟抗拒绝服务设符Nsfocusads的联动机制力上将异样事务通知ADS.I后由ADS设备比动流后亭引机制，从路由器或交换机处分流可疑海信至ADS设备，在完成DDOS攻击的过港后，ADS再将“干净”的流埴注入回网络当中。绿盟抗拒绝服务管理中心NSFOCUSADSM位(S时不同网络位汽中的多台NTA和ADS设备进行集中监捽.对NTA、ADS的策略进行集中管理供应丰富的报表统一呈现攻击波地发觉、清洗的全过程.ADSM里供应用户自服务系统，满意运营商利用DDOS做塔值服芬的须要.4.3.7 增值运营带来收益NSFOCUSNTA针对大客户或关锭业务，可按路由涔接口、IP（祖）、AS号等定义业务域.基于增值运营维度的特性，供应基于业务域的攻击检测、流状分析功能。结合ADSM系列的管理产品,系统可供应特有的运营维护和自服务系统的增值眼务平f3从而获得服务收益.运营商藉此时有剧烈防护需求的大客户（网吧、证券、珠宝商场、电力、政府、酒店、IPTV供应商等）供应平安防护地值限务，而大客户可通过登录NSFOCUSADSM开放的自眼务界面.杳看自己的实时网络海量、应用协议分布状况.攻击防护等关健业务值息.该平台，一方面提庙了大客户对其系统平安状况的感知度：另一方面提升客户服务质状和内涵.4.3.8 便捷看能的运维方式 即插即用NSF。CUSNTA拥有智能的配置系统，设备上线以后，只须要特别简祜的配置操作，即可生效运行.例如也置监测IP地址范出，无需了：钻人,系统干脆从备选清单中把拟监测的IP地址段勾选上IP地址段的备选清单是从路由表中自动提取的.类似的自动过程还行许多.比如路山器物理端口号与名称的对应关系的自动生成，再比如NSFOCUSNTA先进的动态将线自学习算法,仅需简洁配S1.就能自动生成各项检查异样的参数特征.系统供应了个旅署工具集，包括抓包工具、PING,路由器接口方向推断工具、桧测范的生成工具等，可以大大简化部狎操作 高性能.便捷运维NSFOCUSNTA通过选用高性能的硬件以及优化计算引繁的程序算法，府络流求分析系统的处理性能最高可以达到埒秒处理8万条流记录的实力。网络管理员只需管理一台NSFOCUSNTA设各.即可监测电信级的Ift带宽网络环境.极大破身广运维人员的工作压力. 专家缴的运维支持绿盟科技拥行网络平安宏营多年的实践闽历及专业的专家队伍,可供应快速的现场防P支持及攻击防卫询问/部署/培训等服分，不仅帮助客户建立整实的防卫系蛟、供应防P.支撑，还帮助客户建立起专业的攻击防卫队，同时NSFoCUSNTA还支持接入绿盟科技云端ESPP平价.绿盟攻防专家可基于此技术接11进行7x24小时的平安值守.供应实时攻防晌应服务.4.4典型部署时,电信运营商的城域M或各种专M的环境，NSFOCUSNTA通过接收刈络核心路由器的FloW信息，对网络流量信息进行粽合统计分析。在火盘行业、大企业园区等网络环境卜I运维人员偌了解出口网络以及各个子网的流量状况.每个接入路由湍可以遹过部署NSFOCUSNTAC系列产M将镜像的网络流信转换成NetnOW数据,再进行全面的流收分析.以卜是NSFOCUSNTA在运营商城域网、大卡行业C网的的典型都罟图；图44弛犯部署五.总结陋将互联网技术的迅猛发展.河络状况变得越来越困难，IPV4向IPV6协议的过渡,成用的增加，带宽的扩张祐不同程度增加了对网络的监控难僮，而伴随着网络的发展,网络的平安形势也越来越严坟，DDoS攻击等各种网络井样任务严岐威逼了数据中心、运营商等企业的利益.传统的网管工具无法监控电信级的大流量网络状况.不能具体分析困难网络状况下的流从成分及发展趋势：面对越演越烈的DDOS攻击事务，更无法快速锁定攻击的来源和目标以及攻击的类型，绿盟科技的网络流汆分析产品可监测电信级的大流业网络带宽，具备业界领先的异样流吊:桧测实力，通过多种机制的分析检视以及敏捷的部署方式,能够刚好有效的分析出DDoS攻击异样并产生告警.有效减轻网络困难性造成的运维代力嫩需科技的网络流量分析产品还供应丰富的统计分析功能多维度的流量分析统计结果,蜴予网络规划、业务规划方面的决策建议,有效帮助网络管理员使捷运维,保障网络的平安性，供应企业核心竞争力.