软件说明
网络基础建设及互联网业务迅速发展的同时,同时也存在很多的不和谐音符,网络的安全问题日益凸显,网络攻击的成本和技术门槛大幅下降,各种攻击和异常流量大量出现。在这种网络流量成分日益复杂,异常流量海量涌现的情况下,对网络流量进行深入分析,从而全面了解各类流量的分布以及变化趋势就势在必行了。 绿盟科技网络流量分析系统(NSFOCUS Network Traffic Analyst, 简称 NSFOCUS NTA)是一款基于流技术的骨干网流量分析产品,它作为绿盟科技品牌下的一个重要成员,主要功能包括异常流量检测和流量统计分析,能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。它既可以作为流量分析系统单独部署,也可作为异常流量检测产品与绿盟抗拒绝服务系统的Defender产品一起构成抗DDoS攻击的解决方案。 产品特性 先进的基线生成算法 由于异常检测指标的变化特征各不相同,为保证流量检测的准确性,流量分析系统中应采用不同的基线进行比对。NTA系统采用了两种不同的基线算法,一种是周期性基线,用来检验其变化趋势中明显带有周期性的流量指标,例如端口总流量,某种应用的总流量、某个IP群组的流量趋势;另一种是移动窗口基线,用来检测非周期变化的流量指标。基线值是根据一组历史流量数据利用加权平均和置信区间的算法得到的,超出可信范围的历史数据不参与基线的计算,从而保证了基线的有效性。 丰富的异常检测算法 NTA系统提供了多达17大类50余种检测指标,每一种检测指标都对应一种检测算法,能够全部覆盖骨干网上的各种异常流量的检测。利用这些检测算法,能够被准确检测到的网络异常流量包括以下7大类包括: DDoS攻击 SYN Flood UDP Flood ICMP Flood ACK Flood DNS Query Flood Http Get Flood LAND Flood IGMP Flood TCP Flag NULL TCP Flag误用 Protocol NULL 蠕虫事件 Code Red 硬盘杀手 SQL Slammer 冲击波 冲击波杀手 震荡波 邮件蠕虫 WinNuke攻击 网络误用 私有IP异常 Dark IP异常 流量超常 bps超常 pps超常 会话数超常 协议比例异常 TCP比例异常 UDP比例异常 ICMP比例异常 IGMP比例异常 流量分布异常 源地址分散度异常 目的地址分散度异常 端口分散度异常 P2P流量 BitTorrent 电驴 迅雷 pplive P2P流量(未知应用) 灵活高效的检测 NTA系统的计算引擎采用框架加插件模式,这样就在结构上保证了系统的灵活性和高效性。在应用中,每一种或几种检测算法都对应一种插件,用户可根据自身的网络特征和业务特征加载最适当插件,另外,为方便不同类型的典型用户群,系统也提供一些预设的插件模板。例如在电信运营商的骨干网的运维工作中,对应用层攻击的关注程度就很低,而相反在IDC的环境中,对应用层攻击的关注就显得要重要的多,因此在这两类用户环境中,就可以灵活选择是否加载相应的检测插件。 强大的处理性能 NTA系统在设计时选用高性能硬件平台,同时优化计算引擎的底层算法,从而使得流量分析系统的处理性能最高可以达到每秒处理8万条流记录(flow)的能力,能够完全满足电信级骨干网的流量分析要求。 即插即用 NTA系统在设备上线以后,只需要非常简单的配置操作,即可生效运行。例如在配置监测IP地址范围时,不需要手工输入,系统可直接从路由交换设备的路由表中自动提取IP地址段的备选清单,而运维人员只需在备选清单中选择拟监测的IP地址段即可。类似的自动过程还有很多,比如系统可对IP地址段按照流量趋势的变化规律,自动聚合形成IP地址分类;再比如,路由器物理端口号与名称的对应关系的自动生成,等等。