綠盟網(wǎng)絡(luò)流量分析系統(tǒng)

1、綠盟網(wǎng)絡(luò)流量分析系統(tǒng)產(chǎn)品白皮書【綠盟科技】 文檔編號NSF-PROD-NTA-V4.5-產(chǎn)品白皮書-V2.0 密級完全公開 版本編號V2.0 日期2017/09/19 撰 寫 人湯湘君 批準(zhǔn)人© 3/9/22 綠盟科技 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。 版本變更記錄時間版本說明修改人2017/9/19V2.0更新3.4湯湘君- 2 -目錄1.引言12.客戶價值22.1網(wǎng)絡(luò)和業(yè)務(wù)規(guī)劃相關(guān)的問題22.2

2、 與網(wǎng)絡(luò)安全運(yùn)營相關(guān)的問題33. 原理介紹33.1Flow技術(shù)特點(diǎn)33.2流量分析原理43.3異常檢測原理53.4接口聯(lián)動64.NSFOCUS NTA產(chǎn)品介紹74.1產(chǎn)品概述74.2產(chǎn)品架構(gòu)74.3產(chǎn)品特色84.3.1 全網(wǎng)狀況實(shí)時監(jiān)控84.3.2 準(zhǔn)確詳盡的流量分析84.3.3 強(qiáng)大的異常檢測功能94.3.4 IPV4/V6雙棧分析檢測支持104.3.5 靈活多樣的報表展示104.3.6 完整的解決方案114.3.7增值運(yùn)營帶來收益124.3.8便捷智能的運(yùn)維方式124.4典型部署135.總結(jié)13插圖索引圖 3.1 流量數(shù)據(jù)的透視5圖 3.2 基線告警示意圖6圖 4.1 全網(wǎng)監(jiān)控圖8圖 4.

3、2 綠盟科技三位一體方案11圖 4.3 典型部署13綠盟科技網(wǎng)絡(luò)流量分析系統(tǒng)產(chǎn)品白皮書1. 引言隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)規(guī)?？涨霸鲩L，網(wǎng)絡(luò)上的應(yīng)用越來越廣泛。網(wǎng)絡(luò)的多樣性給互聯(lián)網(wǎng)用戶帶來了的豐富的生活體驗(yàn)，與此同時，網(wǎng)絡(luò)的復(fù)雜性卻增加了網(wǎng)絡(luò)運(yùn)維的管理難度，使運(yùn)維人員面臨諸多困難。網(wǎng)絡(luò)的不斷擴(kuò)張帶來的網(wǎng)絡(luò)協(xié)議新變化，無疑增加了網(wǎng)絡(luò)的復(fù)雜性。由于網(wǎng)絡(luò)地址資源的使用越發(fā)縮緊，當(dāng)前的網(wǎng)絡(luò)協(xié)議IPV4已不能滿足互聯(lián)網(wǎng)用戶的需要。IPV6的出現(xiàn)有效解決了IP地址不夠用的情況，它能分配的地址空間是現(xiàn)有互聯(lián)網(wǎng)的1029倍。近年來在專家和政府部門的不斷推進(jìn)下，美國、日本、中國、歐盟等地區(qū)都建立了IPV6的

4、骨干網(wǎng)，IPV6的推進(jìn)已經(jīng)獲得全球共識。IPV6協(xié)議的發(fā)展，促使網(wǎng)絡(luò)協(xié)議由IPV4向IPV6的進(jìn)行過渡。過渡階段，網(wǎng)絡(luò)中常常出現(xiàn)IPV4/V6雙棧并行的情況，加深了網(wǎng)絡(luò)的管理和異常事件的排查難度。網(wǎng)絡(luò)的復(fù)雜性還體現(xiàn)在網(wǎng)絡(luò)中承載的業(yè)務(wù)不斷豐富。為了搶占新的技術(shù)變革帶來的發(fā)展商機(jī)，互聯(lián)網(wǎng)需要向用戶提供更大的信息量和多樣化的網(wǎng)絡(luò)服務(wù)。云端網(wǎng)絡(luò)的出現(xiàn)，社交網(wǎng)站的興起，視頻、多媒體技術(shù)的迅速發(fā)展，各種應(yīng)用的出現(xiàn)在滿足用戶多樣化的網(wǎng)絡(luò)需求的同時，也在互相擠占帶寬。如何保障正常業(yè)務(wù)，關(guān)鍵業(yè)務(wù)的平穩(wěn)運(yùn)行，揪出造成了網(wǎng)絡(luò)擁塞的元兇？只有及時的了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，掌握網(wǎng)絡(luò)流量特征，才能使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及

5、時解決網(wǎng)絡(luò)性能問題。互聯(lián)網(wǎng)承載的業(yè)務(wù)越來越多，消耗的資源也越來越大，全球網(wǎng)絡(luò)都呈現(xiàn)出一種不斷擴(kuò)張的狀態(tài)。對于電信級的網(wǎng)絡(luò)，各個網(wǎng)絡(luò)節(jié)點(diǎn)上的帶寬逐年增大，國際出口的帶寬以及國內(nèi)運(yùn)營商之間飛互聯(lián)帶寬都在成指數(shù)趨勢增長。對于數(shù)據(jù)中心，為了保證數(shù)據(jù)托管業(yè)務(wù)、專網(wǎng)用戶的業(yè)務(wù)正常運(yùn)行，在激烈的競爭中給客戶提供優(yōu)質(zhì)的服務(wù)，帶寬同樣在不斷擴(kuò)充。除了運(yùn)營商和數(shù)據(jù)中心，很多行業(yè)或政府的專網(wǎng)的帶寬也在增加，以滿足用戶的需求。高帶寬的網(wǎng)絡(luò)環(huán)境下，路由設(shè)備眾多。透視網(wǎng)絡(luò)狀況、及時發(fā)現(xiàn)設(shè)備故障，根據(jù)業(yè)務(wù)需求合理有效的進(jìn)行網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)，常常是擺在運(yùn)維人員面前的難題。另一方面，由于網(wǎng)絡(luò)攻擊的成本的技術(shù)門檻大幅下降，網(wǎng)絡(luò)上的

6、DDoS攻擊的出現(xiàn)頻率和破壞性均在不斷增加。各種攻擊事件的出現(xiàn)，極易消耗網(wǎng)絡(luò)資源，可能造成關(guān)鍵業(yè)務(wù)的中斷或網(wǎng)絡(luò)服務(wù)質(zhì)量大幅降低的嚴(yán)重后果，給運(yùn)營商、企業(yè)和數(shù)據(jù)中心帶來巨大損失。基于安全運(yùn)維和競爭的需要，及時發(fā)現(xiàn)攻擊事件，建立一個穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境，提供高質(zhì)量的帶寬服務(wù)無疑成為重中之重。近年來攻擊的手段、方式都在持續(xù)改進(jìn)，如慢速攻擊的增加，混合型攻擊的增加，針對IPV6攻擊的增加等等，僅通過網(wǎng)絡(luò)擴(kuò)容的方式并不能真正解決問題。在異常嚴(yán)峻的網(wǎng)絡(luò)安全形式下，傳統(tǒng)的網(wǎng)絡(luò)管理手段已不能滿足運(yùn)維的需要。為了在復(fù)雜的網(wǎng)絡(luò)中解決以上提到的各種網(wǎng)絡(luò)問題，綠盟科技自主研發(fā)了網(wǎng)絡(luò)流量分析產(chǎn)品NSFOCUS Netw

7、ork Traffic Analyst，以下簡稱NSFOCUS NTA?；诙嗄陙韺W(wǎng)絡(luò)分析和攻防的研究理解，旨在于提供智能的管理手段，幫助網(wǎng)絡(luò)運(yùn)維人員透視網(wǎng)絡(luò)狀況，及時鎖定異常威脅，減輕網(wǎng)絡(luò)復(fù)雜性造成的網(wǎng)絡(luò)運(yùn)維壓力，建立一個平穩(wěn)、高效的網(wǎng)絡(luò)環(huán)境。2. 客戶價值網(wǎng)絡(luò)流量的復(fù)雜性給網(wǎng)絡(luò)的運(yùn)營維護(hù)帶來了巨大挑戰(zhàn)。綠盟科技網(wǎng)絡(luò)流量分析產(chǎn)品能幫助網(wǎng)絡(luò)運(yùn)維人員全面了解網(wǎng)絡(luò)狀況，解決運(yùn)維人員通常關(guān)心的兩大類問題。一類是與網(wǎng)絡(luò)和業(yè)務(wù)規(guī)劃相關(guān)的問題，另一類是與網(wǎng)絡(luò)安全運(yùn)營相關(guān)的問題。綠盟科技網(wǎng)絡(luò)流量分析產(chǎn)品可以幫助網(wǎng)絡(luò)管理員縱觀網(wǎng)絡(luò)狀況，了解網(wǎng)絡(luò)成分趨勢變化，從容面對網(wǎng)絡(luò)異常。提供網(wǎng)絡(luò)運(yùn)營者安全運(yùn)維的決策分析

8、與建議，幫助運(yùn)營商、數(shù)據(jù)中心等企業(yè)提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，從而增強(qiáng)企業(yè)的核心競爭力。下面分別詳細(xì)列舉NSFOCUS NTA給客戶帶來的巨大價值。2.1網(wǎng)絡(luò)和業(yè)務(wù)規(guī)劃相關(guān)的問題NSFOCUS NTA能夠通過SNMP、Netflow等協(xié)議格式采集到網(wǎng)絡(luò)中路由設(shè)備的流量信息，進(jìn)行多種維度的分析，滿足高帶寬條件下的實(shí)時監(jiān)控，使網(wǎng)絡(luò)情況透明化。NSFOCUS NTA圍繞與網(wǎng)絡(luò)和業(yè)務(wù)規(guī)劃相關(guān)的三個方面進(jìn)行分析，幫助客戶掌握： 網(wǎng)絡(luò)中的流量情況NSFOCUS NTA能監(jiān)控客戶網(wǎng)絡(luò)中的路由設(shè)備、關(guān)鍵鏈路和重要業(yè)務(wù)的流量，使用戶縱觀網(wǎng)絡(luò)狀況，幫助用戶全面透視網(wǎng)絡(luò)狀況，建立網(wǎng)絡(luò)整體模型的概念。 網(wǎng)絡(luò)中的流量組成成分N

9、SFOCUS NTA能對多達(dá)數(shù)百種網(wǎng)絡(luò)應(yīng)用進(jìn)行檢測分析，展現(xiàn)各種應(yīng)用的流量及在網(wǎng)絡(luò)中的占比情況。流量組成分析，使用戶對網(wǎng)絡(luò)成份清清楚楚，知道目前最熱的網(wǎng)絡(luò)應(yīng)用是什么，最消耗帶寬的應(yīng)用是什么，是否有應(yīng)用擠占了正常業(yè)務(wù)的帶寬。幫助用戶了解網(wǎng)絡(luò)業(yè)務(wù)開展情況及占用的網(wǎng)絡(luò)成本，及時找到網(wǎng)絡(luò)瓶頸，做出正確的決策優(yōu)化網(wǎng)絡(luò)。 網(wǎng)絡(luò)中的流量變化趨勢NSFOCUS NTA能幫助用戶對重點(diǎn)業(yè)務(wù)進(jìn)行長期監(jiān)控，根據(jù)業(yè)務(wù)在不同時期的流量情況，幫助用戶建立網(wǎng)絡(luò)模型。通過對重點(diǎn)業(yè)務(wù)發(fā)展進(jìn)行價值評估，對網(wǎng)絡(luò)規(guī)劃和擴(kuò)容做出正確決策。2.2 與網(wǎng)絡(luò)安全運(yùn)營相關(guān)的問題無論是運(yùn)營商還是數(shù)據(jù)中心、金融等其他行業(yè)，安全運(yùn)營無疑都是極其重要

10、的。NSFOCUS NTA能解決運(yùn)維人員最關(guān)心的網(wǎng)絡(luò)安全運(yùn)營問題，主要體現(xiàn)在以下幾個方面： 快速發(fā)現(xiàn)網(wǎng)絡(luò)異常NSFOCUS NTA能夠7x24小時對全網(wǎng)設(shè)備進(jìn)行實(shí)時監(jiān)控。不但能監(jiān)控網(wǎng)絡(luò)設(shè)備的物理狀況：如路由器接口狀態(tài)是否正常，CPU、內(nèi)存狀態(tài)是否正常，而且能對網(wǎng)絡(luò)中的流量異常狀況：如網(wǎng)絡(luò)中是否存在攻擊事件，是否存在帶寬超常等進(jìn)行實(shí)時監(jiān)控。系統(tǒng)可以根據(jù)網(wǎng)絡(luò)事件的嚴(yán)重程度定義不同的告警級別，網(wǎng)絡(luò)中一旦出現(xiàn)異常，便會立即觸發(fā)告警機(jī)制。網(wǎng)絡(luò)管理員可以在故障發(fā)生的第一時間獲知網(wǎng)絡(luò)異常信息，在網(wǎng)絡(luò)故障爆發(fā)或擴(kuò)大前采取相應(yīng)的防范措施，將故障的影響程度降到最低。 定位攻擊源和目標(biāo)觸發(fā)的告警事件中包含著詳盡的內(nèi)

11、容，通過查看告警事件的分析，可以追溯故障發(fā)生的時間，地點(diǎn)，原因，是否屬于人為的惡意攻擊。對于攻擊事件，告警屬性中包含攻擊的流量大小，攻擊流量來源，危險程度等信息，幫助網(wǎng)絡(luò)管理員快速判斷并定位故障原因，判斷異常對網(wǎng)絡(luò)狀況的影響，及時采取措施進(jìn)行應(yīng)急處理。3. 原理介紹在了解NSFOCUS NTA產(chǎn)品功能之前先簡要介紹一下NSFOCUS NTA的工作原理。NSFOCUS NTA主要是基于Flow的技術(shù)，采用DFI的方式網(wǎng)絡(luò)中的流量情況進(jìn)行分析檢測。3.1Flow技術(shù)特點(diǎn)以Cisco的netflow為代表的Flow技術(shù)是目前流量分析檢測領(lǐng)域的主流技術(shù)，自1996年問世以來，F(xiàn)low技術(shù)以其高效準(zhǔn)確的

12、數(shù)據(jù)采集方式，低成本高產(chǎn)出的優(yōu)質(zhì)網(wǎng)絡(luò)運(yùn)維特點(diǎn)，廣泛應(yīng)用于運(yùn)營商、數(shù)據(jù)中心、互聯(lián)網(wǎng)企業(yè)等各種路由器和交換機(jī)中。同DPI(Deep Packet Inspection)的分析方式相比，NSFOCUS NTA基于Flow的DFI(Deep/Dynamic Flow Inspection)數(shù)據(jù)采集方式有諸多特點(diǎn)： 支持的設(shè)備數(shù)量眾多支持Flow采集方式的設(shè)備眾多，如主流的Cisco、Juniper、Huawei等都有支持Flow格式的設(shè)備，能覆蓋絕大多數(shù)網(wǎng)絡(luò)中的設(shè)備。 非嵌入式采集不同于SPAN等探針方式的數(shù)據(jù)采集，基于Flow技術(shù)的采用非嵌入式采集方式，不會對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)造成任何改變 高性能，投

13、資少采用先進(jìn)的數(shù)據(jù)流采樣隨機(jī)技術(shù)，可通過設(shè)置合適的采樣率，適用于各種類型的帶寬環(huán)境，單臺設(shè)備就可滿足電信級的高帶寬（數(shù)百Gbps）環(huán)境。而探針的采集數(shù)據(jù)方式必須基于物理端口，只適用于流量較小的網(wǎng)絡(luò)環(huán)境，投資成本及維護(hù)工作量均相對較高。 快速響應(yīng)不同于傳統(tǒng)的數(shù)據(jù)采集方式，需要對采集的全包進(jìn)行解析，DFI的方式處理速度更快，基于Flow的分析方式只需要進(jìn)行流量特征比對，更利于對網(wǎng)絡(luò)問題做出快速響應(yīng)。3.2流量分析原理NSFOCUS NTA使用基于Flow的分析方式，支持業(yè)界主流的協(xié)議，如netflow v5/v9、sflow v4/v5、netstreamv5/v9等，也支持鏡像數(shù)據(jù)通過轉(zhuǎn)換器轉(zhuǎn)為

14、netflow格式進(jìn)行分析。無論是那種類型的流量數(shù)據(jù)，包含的信息都可以分為三類：空間信息、時間信息、技術(shù)指標(biāo)信息。 空間信息是流量發(fā)生的地點(diǎn)，包括：路由器、物理端口、IP地址（段）、AS號、地域名稱等。 時間信息是流量發(fā)生的時間：用分鐘、時間片、小時、日、周、月、年來度量。 技術(shù)指標(biāo)提供流量的業(yè)務(wù)特征的信息：應(yīng)用類型、TCP-flag、ToS、包大小這樣，流量數(shù)據(jù)實(shí)際上就構(gòu)成了一個多維數(shù)據(jù)集。所謂流量的統(tǒng)計(jì)分析過程，就是在指定的時空范圍內(nèi)，統(tǒng)計(jì)流量在不同維度的分布。例如，查看某段時間內(nèi)某個端口上流量中各種應(yīng)用所占比例就是查看指定的時間范圍、指定地點(diǎn)流量對應(yīng)用這個技術(shù)指標(biāo)維度的分布。NSFOCU

15、S NTA提供了一個多維的視角，幫助使用者從不同的角度去透析網(wǎng)絡(luò)。如圖3.1展示了NSFOCUS NTA對網(wǎng)絡(luò)中流量數(shù)據(jù)的透視：圖3.1流量數(shù)據(jù)的透視3.3異常檢測原理異常流量的檢測分為兩個過程：流量數(shù)據(jù)的采集，流量數(shù)據(jù)的分析。NSFOCUS NTA基于Flow的采集方式得到網(wǎng)絡(luò)中的流量數(shù)據(jù)，獲得流的起止、流量等數(shù)據(jù)信息，并根據(jù)不同的對象：如路由器、接口等，按照時間點(diǎn)進(jìn)行數(shù)據(jù)聚合，形成基于對象的流量特征模型。以異常流量檢測為目的流量數(shù)據(jù)分析過程分為三個步驟：檢測指標(biāo)實(shí)測值的計(jì)算、檢測指標(biāo)基線值的計(jì)算、實(shí)測值與基線值的比較。對流量中符合攻擊特征的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，根據(jù)特征流量是否超出正常范圍，判斷攻

16、擊流量是否存在。每一種檢測指標(biāo)都對應(yīng)一種或可能的幾種攻擊。也就是說，有的檢測指標(biāo)是專門檢測某一種特定的異常流量的。而有的檢測指標(biāo)出現(xiàn)異常時，則能判斷存在幾種可能的異常流量。無論哪種檢測指標(biāo)都要先有自己的基線，而基線的算法是類似的。NSFOCUS NTA的基線算法分為兩種： 靜態(tài)基線算法靜態(tài)基線是一條水平直線，通常是根據(jù)經(jīng)驗(yàn)或是實(shí)驗(yàn)測量的結(jié)果得來，由于基線水平不變，很難反映客觀網(wǎng)絡(luò)流量的變化。靜態(tài)基線較大依賴于需要運(yùn)維人員的自身能力，需要對特征數(shù)據(jù)大小進(jìn)行準(zhǔn)確配置，閾值配置過高容易導(dǎo)致漏報，閾值配置過低則又容易產(chǎn)生誤報，導(dǎo)致真正的攻擊事件被淹沒。 動態(tài)基線算法動態(tài)基線算法在靜態(tài)基線的基礎(chǔ)上開發(fā)而

17、來，基于正態(tài)分布的理論原理，解決了靜態(tài)基線配置困難，準(zhǔn)確性相對不高的缺點(diǎn)。動態(tài)基線配置簡單，選取動態(tài)基線的生成對象，開啟流量自學(xué)習(xí)功能，經(jīng)過一段時間對網(wǎng)絡(luò)特征流量的學(xué)習(xí)，系統(tǒng)自動生成一條隨流量特征變化的曲線。如圖3.2展示了靜態(tài)和動態(tài)基線的樣式，動態(tài)基線是一條更貼近于實(shí)際流量的曲線：時間固定基線（紅）實(shí)時流量值（黑）動態(tài)基線（藍(lán)）流量告警1告警3告警2圖3.2基線告警示意圖圖3.2中展示了動態(tài)基線的三次告警，以流量告警為例，從告警1可看出由于靜態(tài)基線的特征值通常設(shè)置為網(wǎng)絡(luò)流量的平均值，無法感知網(wǎng)絡(luò)情況變化，對于部分總是低于平均值的流量若出現(xiàn)異常突增，靜態(tài)基線算法根本無法感知，更不會產(chǎn)生告警；從

18、告警2、3可看出，靜態(tài)基線產(chǎn)生的告警，由于基線值和實(shí)際值差異較大，無法真實(shí)反映流量異常的嚴(yán)重程度，。而動態(tài)基線是一條隨不同時段的網(wǎng)絡(luò)狀況變化的曲線，更貼近于實(shí)際流量情況，特征感知明顯，產(chǎn)生的告警更加準(zhǔn)確。3.4接口聯(lián)動當(dāng)設(shè)備檢測到異常流量時，會產(chǎn)生相應(yīng)的告警事件，并支持對攻擊事件的進(jìn)一步處理提供四種方案：ADS牽引、BGP牽引、空路由牽引和不牽引。ADS牽引。通過部署綠盟科技三位一體的解決方案，將NTA檢測到的受攻擊的目的IP通知給防護(hù)設(shè)備ADS，并由ADS設(shè)備下發(fā)牽引通告給路由器進(jìn)行引流和清洗。BGP牽引。NTA在部署時可以與路由器建立BGP鄰居關(guān)系。通過選擇BGP牽引可以由NTA向路由器宣

19、告一條BGP路由更新條目，將受攻擊的目的IP下一跳指向第三方清洗設(shè)備的牽引口。以此實(shí)現(xiàn)與第三方清洗設(shè)備的聯(lián)動并對攻擊流量進(jìn)行牽引防護(hù)?？章酚蔂恳?。當(dāng)NTA與路由器建立BGP鄰居關(guān)系后，如果攻擊流量觸發(fā)了空路由的牽引閾值，由NTA通過BGP向路由器宣告一條路由更新條目，路由器上下一跳為null。因此，當(dāng)指定目的IP的流量到達(dá)路由器并匹配中此條路由時，會被黑洞。不牽引。對受攻擊的目的IP不進(jìn)行任何牽引操作，路由不更新。4. NSFOCUS NTA產(chǎn)品介紹4.1產(chǎn)品概述綠盟科技網(wǎng)絡(luò)流量分析系統(tǒng)（NSFOCUS Network Traffic Analyzer, 簡稱 NSFOCUS NTA）是一款基

20、于Flow技術(shù)，在綠盟科技長期對網(wǎng)絡(luò)流量分析技術(shù)的經(jīng)驗(yàn)積累上，面向運(yùn)營商、數(shù)據(jù)中心等市場推出的流量分析檢測產(chǎn)品。NSFOCUS NTA給用戶提供網(wǎng)絡(luò)狀況的實(shí)時監(jiān)控、網(wǎng)絡(luò)攻擊異常的實(shí)時告警，保證用戶的網(wǎng)絡(luò)環(huán)境安全。經(jīng)過多年的發(fā)展，NSFOCUS NTA在客戶中已經(jīng)具備良好的口碑，成功案例覆蓋國內(nèi)和國際等多個區(qū)域。4.2產(chǎn)品架構(gòu)NSFOCUS NTA的系統(tǒng)架構(gòu)如圖4.1所示，主要的架構(gòu)分為三個部分，數(shù)據(jù)采集、分析檢測和頁面呈現(xiàn)。數(shù)據(jù)采集層負(fù)責(zé)對網(wǎng)絡(luò)中的流量數(shù)據(jù)進(jìn)行采集，提供多種主流格式的Flow及SNMP數(shù)據(jù)采集，并支持將SPAN數(shù)據(jù)轉(zhuǎn)化成Flow格式進(jìn)行分析。分析檢測層負(fù)責(zé)對采集到的數(shù)據(jù)進(jìn)行多種

21、維度的分析，并通過分析檢測判斷流量數(shù)據(jù)中是否存在異常流量，對異常流量成分、來源等進(jìn)行分析。頁面呈現(xiàn)層，負(fù)責(zé)將分析檢測層得到的結(jié)果分類在頁面上進(jìn)行呈現(xiàn)，如以告警、報表、日志等方式對分析數(shù)據(jù)進(jìn)行篩選聚類，集中呈現(xiàn)。除此以外，還專門設(shè)置一個配置管理層對數(shù)據(jù)、配置、用戶等進(jìn)行集中管理。4.3產(chǎn)品特色4.3.1 全網(wǎng)狀況實(shí)時監(jiān)控NSFOCUS NTA通過對網(wǎng)絡(luò)中的流量數(shù)據(jù)進(jìn)行采集和分析，能夠?qū)θW(wǎng)絡(luò)狀況進(jìn)行實(shí)時監(jiān)控，幫助網(wǎng)絡(luò)管理員建立全網(wǎng)的視角，縱觀網(wǎng)絡(luò)的狀況與趨勢變化，及時掌握網(wǎng)絡(luò)負(fù)載情況，及網(wǎng)絡(luò)應(yīng)用資源的使用情況。圖4.1全網(wǎng)監(jiān)控圖如同4.2所示，NSFOCUS NTA對全網(wǎng)的狀態(tài)監(jiān)控包括四個方面：

22、1. 網(wǎng)絡(luò)設(shè)備的狀態(tài)監(jiān)控：對網(wǎng)絡(luò)中的路由設(shè)備、接口狀態(tài)、設(shè)備流狀態(tài)進(jìn)行實(shí)時監(jiān)控，告知網(wǎng)絡(luò)管理員網(wǎng)絡(luò)是否暢通，負(fù)載如何、性能狀況等概括信息。2. 自身設(shè)備的狀態(tài)監(jiān)控：對NSFOCUS NTA自身的CPU、內(nèi)存利用率、硬盤使用率、接口狀態(tài)、每秒Flow數(shù)等進(jìn)行實(shí)時監(jiān)控，實(shí)時提供NSFOCUS NTA的運(yùn)轉(zhuǎn)信息。3. 網(wǎng)絡(luò)流量的狀態(tài)監(jiān)控：對網(wǎng)絡(luò)出口、核心設(shè)備、特定子網(wǎng)等網(wǎng)絡(luò)對象實(shí)時監(jiān)控，提供多維度的流量分析。4. 網(wǎng)絡(luò)異常的狀態(tài)監(jiān)控：對網(wǎng)絡(luò)安全運(yùn)營的各種異常事件進(jìn)行實(shí)時監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，找出網(wǎng)絡(luò)性能下降的真兇。4.3.2 準(zhǔn)確詳盡的流量分析NSFOCUS NTA基于多年來對Flow數(shù)據(jù)的檢測分

23、析經(jīng)驗(yàn)，不斷改進(jìn)流數(shù)據(jù)分析算法，保證應(yīng)對差異復(fù)雜的現(xiàn)網(wǎng)環(huán)境均能夠提供準(zhǔn)確的分析。網(wǎng)絡(luò)流量狀況監(jiān)控的對象包括互聯(lián)網(wǎng)出口、重要業(yè)務(wù)、特定子網(wǎng)、關(guān)鍵服務(wù)器等，分析的維度包括總流量、TOP IP，TOP端口/應(yīng)用、TOP接口流量等。根據(jù)對象在不同維度的關(guān)聯(lián)分析，了解其不同時段網(wǎng)絡(luò)的成分信息、流向信息、趨勢信息。NSFOCUS NTA的最小分析粒度僅為30秒，能實(shí)時反映網(wǎng)絡(luò)流量的變化。系統(tǒng)提供長期的分析數(shù)據(jù)存儲功能，能夠存儲長達(dá)一年的分析數(shù)據(jù)。基于長期的歷史數(shù)據(jù)分析，很容易建立網(wǎng)絡(luò)在時間、地域、流向上的分布與趨勢特征，幫助運(yùn)營商和數(shù)據(jù)中心等機(jī)構(gòu)對業(yè)務(wù)需求、熱點(diǎn)、走向等進(jìn)行深入挖掘，提供網(wǎng)絡(luò)決策者對網(wǎng)絡(luò)的

24、規(guī)劃與設(shè)計(jì)的依據(jù)。NSFOCUS NTA的流量分析不僅于此，對于觸發(fā)告警的異常流量事件，NSFOCUS NTA能夠迅速鎖定受害IP，從攻擊開始到結(jié)束，詳細(xì)記錄受害IP所遭受的攻擊流量大小、流量組成情況，攻擊來源和基于時間的變化趨勢，對整個攻擊事件發(fā)送的全過程進(jìn)行取證。4.3.3 強(qiáng)大的異常檢測功能針對網(wǎng)絡(luò)中的異常狀況，NSFOCUS NTA具備強(qiáng)大的異常檢測功能，基于綠盟科技自主研發(fā)的異常檢測算法，確保及時準(zhǔn)確的發(fā)現(xiàn)問題。NSFOCUS NTA的異常檢測功能十分強(qiáng)大，表現(xiàn)在以下幾個方面： 檢測類型豐富，全面覆蓋骨干網(wǎng)上的所有威脅NSFOCUS NTA提供系統(tǒng)內(nèi)置以及用戶自定義兩種的異常特征檢測

25、方式，除了系統(tǒng)內(nèi)置的檢測特征，用戶可根據(jù)自行發(fā)現(xiàn)的網(wǎng)絡(luò)異常特征進(jìn)行自定義特征告警，系統(tǒng)支持多達(dá)128種自定義異常特征檢測。異常檢測的類型包括：流量超常、帶寬超常、DDoS攻擊、Dark IP異常、私有IP異常等。NSFOCUS NTA支持的DDoS攻擊告警覆蓋網(wǎng)絡(luò)層和應(yīng)用層，支持如SYN FLOOD、ACK FLOOD、HTTP FLOOD、SIP FLOOD等多達(dá)14種攻擊事件告警，全面覆蓋骨干網(wǎng)上的所有威脅。 快速發(fā)現(xiàn)攻擊，記錄攻擊事件全過程N(yùn)SFOCUS NTA能夠快速對攻擊事件進(jìn)行響應(yīng)，最快20秒內(nèi)就能發(fā)出告警通知。告警的級別可按照嚴(yán)重程度預(yù)先定義為高、中、低三級，從而觸發(fā)不同級別的告

26、警。當(dāng)網(wǎng)絡(luò)遭受外部攻擊時，NTA將從多個維度記錄并分析攻擊的原因、地點(diǎn)、強(qiáng)度等情況，如記錄攻擊前后網(wǎng)絡(luò)流量的變化情況，攻擊目標(biāo)IP的流量變化情況，分析攻擊的類型、攻擊流量的組成情況等，從而回溯攻擊事件發(fā)生的全過程，幫助網(wǎng)絡(luò)管理員定位攻擊源。 內(nèi)網(wǎng)的安全保障攻擊事件越演越烈、呈現(xiàn)多元化的發(fā)展趨勢，內(nèi)網(wǎng)、外網(wǎng)都存在發(fā)生攻擊事件的可能。內(nèi)部的攻擊可能會堵塞網(wǎng)絡(luò)出口帶寬，造成網(wǎng)絡(luò)瓶頸的嚴(yán)重后果，抵御內(nèi)網(wǎng)攻擊同樣嚴(yán)峻。很多機(jī)構(gòu)都已經(jīng)意識到內(nèi)網(wǎng)攻擊的危險，如數(shù)據(jù)中心的政策要求，監(jiān)控內(nèi)部是否有對外發(fā)起的攻擊事件；運(yùn)營商的建設(shè)要求，除了知道是否遭受外省的網(wǎng)絡(luò)攻擊，也需要知道省內(nèi)是否正在發(fā)起攻擊。應(yīng)對新的需求，

27、NTA自主研發(fā)的智能檢測系統(tǒng)，不僅能檢測外部攻擊，同時也對內(nèi)部流量異常進(jìn)行實(shí)時監(jiān)控。根據(jù)事先定義的流量閾值，智能判斷由內(nèi)網(wǎng)向外網(wǎng)的訪問流量是否超過正常范圍，并準(zhǔn)確定位內(nèi)網(wǎng)流量超常的TOP IP。只有抵御網(wǎng)絡(luò)外部攻擊的同時，揪出內(nèi)部攻擊的元兇，全網(wǎng)的安全才能得到保障，NSFOCUS NTA的雙向檢測功能無疑給用戶網(wǎng)絡(luò)提供了雙重的安全保障。 智能檢測的算法由于靜態(tài)基線配置參數(shù)困難，準(zhǔn)確性不高。NSFOCUS NTA研發(fā)了智能的動態(tài)基線生成算法。通過一段時間對學(xué)習(xí)對象的流量特征分析、建模，智能生成該對象多維度的網(wǎng)絡(luò)特征?；€自學(xué)習(xí)的理論依據(jù)是：業(yè)務(wù)相似流量相似的主機(jī)在正常網(wǎng)絡(luò)情況下，流量大小及特征保

28、持穩(wěn)態(tài)，以此為依據(jù)對該主機(jī)正常情況下的不同特征進(jìn)行流量建模，通過一段時間的機(jī)器學(xué)習(xí)得到其正常狀態(tài)的流量上限。自學(xué)習(xí)過程中系統(tǒng)自動記錄網(wǎng)絡(luò)的流量變化特征，進(jìn)行基礎(chǔ)數(shù)據(jù)建模，按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間，通過對置信區(qū)間內(nèi)的歷史數(shù)據(jù)進(jìn)行分析計(jì)算，得到流量的變化趨勢和模型特征。為了保證學(xué)習(xí)的流量特征符合正態(tài)分布，系統(tǒng)支持開啟日歷模式的數(shù)據(jù)建模，如設(shè)置工作日、雙休日等日歷時間點(diǎn)，針對不同的時間點(diǎn)進(jìn)行自學(xué)習(xí)建模。同時系統(tǒng)支持對生成的動態(tài)基線進(jìn)行手動調(diào)整，和日歷自學(xué)習(xí)模式相結(jié)合，共同保證動態(tài)基線的準(zhǔn)確性。 靈活高效的檢測 系統(tǒng)的計(jì)算引擎的程序結(jié)構(gòu)采用框架和插件模式，這樣就在結(jié)構(gòu)上保證了系統(tǒng)的靈活性和高效性

29、。每一種或幾種檢測算法都對應(yīng)一種插件。用戶可根據(jù)自身的網(wǎng)絡(luò)特征和業(yè)務(wù)特征加載最適當(dāng)插件。系統(tǒng)也提供一些預(yù)設(shè)的插件模板，不同的模板對應(yīng)不同的典型用戶。例如電信運(yùn)營商的骨干網(wǎng)的運(yùn)維，對應(yīng)用層攻擊的關(guān)注程度就很低，因此在這類用戶的環(huán)境中，就可以不加載相應(yīng)的檢測插件。 攻擊源IP詳情查詢NTA通過與云端NTI進(jìn)行互聯(lián)，實(shí)時查詢攻擊源IP詳情?？焖佾@取攻擊源IP的關(guān)聯(lián)域名、開放端口、ASN等詳細(xì)信息。NTI數(shù)據(jù)實(shí)時更新，及時將捕獲的數(shù)據(jù)信息更新到數(shù)據(jù)庫中，確保的數(shù)據(jù)的豐富性和查詢結(jié)果的準(zhǔn)確性，為DDoS攻擊的來源分布、防護(hù)策略制定提供了有效保障。4.3.4 IPV4/V6雙棧分析檢測支持IPV6的時代大

30、幕正在逐漸開啟，互聯(lián)網(wǎng)向IPV6過渡已經(jīng)開始進(jìn)入實(shí)施階段。國內(nèi)作為IPV6商用主要力量的運(yùn)營商部分已進(jìn)入功能驗(yàn)證，大型互聯(lián)網(wǎng)企業(yè)也搭建了自己的實(shí)驗(yàn)室平臺，用于旗下各個業(yè)務(wù)進(jìn)行IPV6的實(shí)驗(yàn)和試點(diǎn)。針對網(wǎng)絡(luò)由IPV4向IPV6的變遷趨勢，NSFOCUS NTA積極接應(yīng)客戶需求，產(chǎn)品支持對IPV4/V6的雙棧分析及攻擊檢測，解除客戶后顧之憂。4.3.5 靈活多樣的報表展示為了支撐對分析、檢測數(shù)據(jù)的全方位展示，NSFOCUS NTA開發(fā)了靈活的報表系統(tǒng)，可根據(jù)需要進(jìn)行條件篩選、組合，生成多種類型的報表。系統(tǒng)提供實(shí)時和歷史兩種時間維度的報表，支持日/周/月/年及用戶自定義時段的報表，一方面滿足查看實(shí)時

31、監(jiān)控報表的需求，另一方面提供對歷史數(shù)據(jù)信息的追溯與取證。報表有餅圖、柱圖、趨勢圖等展現(xiàn)形式，也支持面積圖、折線圖的圖形自定義。針對網(wǎng)絡(luò)的流量狀況，系統(tǒng)可以根據(jù)關(guān)注的不同網(wǎng)絡(luò)對象進(jìn)行選擇，自定義報表的生成規(guī)則，從多維度、多視角對流量數(shù)據(jù)進(jìn)行分析、展現(xiàn)。針對網(wǎng)絡(luò)中的DDoS攻擊，系統(tǒng)提供攻擊目標(biāo)、攻擊告警次數(shù)、攻擊流量、牽引情況等信息詳細(xì)記錄，并可根據(jù)攻擊類型、告警級別、統(tǒng)計(jì)對象等進(jìn)行數(shù)據(jù)篩選。系統(tǒng)還具備報表組合功能，幫助用戶將關(guān)注的分析進(jìn)行組合，生成所需的綜合報表。靈活多樣的報表系統(tǒng)，全方位滿足運(yùn)維人員的各種需要。4.3.6 完整的解決方案綠盟科技針對電信運(yùn)營商、大型數(shù)據(jù)中心對Anti-DDoS

32、系統(tǒng)“可管理、可運(yùn)營”的需求，推出了三位一體的解決方案。該解決方案由異常流量檢測系統(tǒng)（NSFOCUS NTA）、異常流量凈化系統(tǒng)（NSFOCUS ADS）及管理和取證系統(tǒng)（NSFOCUS ADS M）組成。圖4.2綠盟科技三位一體方案NSFOCUS NTA負(fù)責(zé)進(jìn)行網(wǎng)絡(luò)監(jiān)控、DDoS攻擊檢測的工作，當(dāng)發(fā)現(xiàn)攻擊時，NTA根據(jù)預(yù)先定義好的規(guī)則，智能啟動和綠盟抗拒絕服務(wù)設(shè)備NSFOCUS ADS的聯(lián)動機(jī)制，立刻將異常事件通知ADS。隨后由ADS設(shè)備啟動流量牽引機(jī)制，從路由器或交換機(jī)處分流可疑流量至ADS設(shè)備，在完成DDoS攻擊的過濾后， ADS再將“干凈”的流量注入回網(wǎng)絡(luò)當(dāng)中。另外，NTA還可以通過B

33、GP Flow spec技術(shù)與路由設(shè)備進(jìn)行聯(lián)動，通過靜態(tài)規(guī)格在路由器端對四層攻擊進(jìn)行壓制、過濾、限速等，有效分配清洗資源，提高防護(hù)效率。綠盟抗拒絕服務(wù)管理中心NSFOCUS ADS M負(fù)責(zé)對不同網(wǎng)絡(luò)位置中的多臺NTA和ADS設(shè)備進(jìn)行集中監(jiān)控，對NTA、ADS的策略進(jìn)行集中管理，提供豐富的報表統(tǒng)一呈現(xiàn)攻擊流量發(fā)現(xiàn)、清洗的全過程。ADS M更提供用戶自服務(wù)系統(tǒng)，滿足運(yùn)營商利用DDoS做增值服務(wù)的需要。4.3.7 增值運(yùn)營帶來收益NSFOCUS NTA針對大客戶或關(guān)鍵業(yè)務(wù)，可按路由器接口、IP（組）、AS號等定義業(yè)務(wù)域，基于增值運(yùn)營維度的特性，提供基于業(yè)務(wù)域的攻擊檢測、流量分析功能。結(jié)合ADS M系

34、列的管理產(chǎn)品，系統(tǒng)可提供特有的運(yùn)營維護(hù)和自服務(wù)系統(tǒng)的增值服務(wù)平臺，從而獲取服務(wù)收益。運(yùn)營商藉此對有強(qiáng)烈防護(hù)需求的大客戶（網(wǎng)吧、證券、珠寶商場、電力、政府、酒店、IPTV提供商等）提供安全防護(hù)增值服務(wù)，而大客戶可通過登錄NSFOCUS ADS M開放的自服務(wù)界面，查看自己的實(shí)時網(wǎng)絡(luò)流量、應(yīng)用協(xié)議分布情況、攻擊防護(hù)等關(guān)鍵業(yè)務(wù)信息。該平臺，一方面提高了大客戶對其系統(tǒng)安全狀況的感知度；另一方面提升客戶服務(wù)質(zhì)量和內(nèi)涵。4.3.8 便捷智能的運(yùn)維方式 即插即用NSFOCUS NTA擁有智能的配置系統(tǒng)，設(shè)備上線以后，只需要非常簡單的配置操作，即可生效運(yùn)行。例如配置監(jiān)測IP地址范圍，無需手工輸入，系統(tǒng)直接從備選清單中把擬監(jiān)測的IP地址段勾選上。IP地址段的備選清