NTA产品白皮书.docx

NTA产品白皮书.docx

《NTA产品白皮书.docx》由会员分享，可在线阅读，更多相关《NTA产品白皮书.docx（13页珍藏版）》请在冰豆网上搜索。

NTA产品白皮书

绿盟网络流量分析系统

产品白皮书

【绿盟科技】

■文档编号

NSF-PROD-NTA-V4.5-产品白皮书-V2.0

■密级

完全公开

■版本编号

V2.0

■日期

2013/10/28

■撰写人

向玥

■批准人

©2022绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2013/10/28

V2.0

新建

向玥

插图索引

一.引言

随着互联网技术的迅猛发展，网络规模空前增长，网络上的应用越来越广泛。

网络的多样性给互联网用户带来了的丰富的生活体验，与此同时，网络的复杂性却增加了网络运维的管理难度，使运维人员面临诸多困难。

网络的不断扩张带来的网络协议新变化，无疑增加了网络的复杂性。

由于网络地址资源的使用越发缩紧，当前的网络协议IPV4已不能满足互联网用户的需要。

IPV6的出现有效解决了IP地址不够用的情况，它能分配的地址空间是现有互联网的1029倍。

近年来在专家和政府部门的不断推进下，美国、日本、中国、欧盟等地区都建立了IPV6的骨干网，IPV6的推进已经获得全球共识。

IPV6协议的发展，促使网络协议由IPV4向IPV6的进行过渡。

过渡阶段，网络中常常出现IPV4/V6双栈并行的情况，加深了网络的管理和异常事件的排查难度。

网络的复杂性还体现在网络中承载的业务不断丰富。

为了抢占新的技术变革带来的发展商机，互联网需要向用户提供更大的信息量和多样化的网络服务。

云端网络的出现，社交网站的兴起，视频、多媒体技术的迅速发展，各种应用的出现在满足用户多样化的网络需求的同时，也在互相挤占带宽。

如何保障正常业务，关键业务的平稳运行，揪出造成了网络拥塞的元凶？

只有及时的了解到网络中承载的业务，掌握网络流量特征，才能使网络带宽配置最优化，及时解决网络性能问题。

互联网承载的业务越来越多，消耗的资源也越来越大，全球网络都呈现出一种不断扩张的状态。

对于电信级的网络，各个网络节点上的带宽逐年增大，国际出口的带宽以及国内运营商之间飞互联带宽都在成指数趋势增长。

对于数据中心，为了保证数据托管业务、专网用户的业务正常运行，在激烈的竞争中给客户提供优质的服务，带宽同样在不断扩充。

除了运营商和数据中心，很多行业或政府的专网的带宽也在增加，以满足用户的需求。

高带宽的网络环境下，路由设备众多。

透视网络状况、及时发现设备故障，根据业务需求合理有效的进行网络规划和设计，常常是摆在运维人员面前的难题。

另一方面，由于网络攻击的成本的技术门槛大幅下降，网络上的DDoS攻击的出现频率和破坏性均在不断增加。

各种攻击事件的出现，极易消耗网络资源，可能造成关键业务的中断或网络服务质量大幅降低的严重后果，给运营商、企业和数据中心带来巨大损失。

基于安全运维和竞争的需要，及时发现攻击事件，建立一个稳定、安全的网络环境，提供高质量的带宽服务无疑成为重中之重。

近年来攻击的手段、方式都在持续改进，如慢速攻击的增加，混合型攻击的增加，针对IPV6攻击的增加等等，仅通过网络扩容的方式并不能真正解决问题。

在异常严峻的网络安全形式下，传统的网络管理手段已不能满足运维的需要。

为了在复杂的网络中解决以上提到的各种网络问题，绿盟科技自主研发了网络流量分析产品—NSFOCUSNetworkTrafficAnalyst，以下简称NSFOCUSNTA。

基于多年来对网络分析和攻防的研究理解，旨在于提供智能的管理手段，帮助网络运维人员透视网络状况，及时锁定异常威胁，减轻网络复杂性造成的网络运维压力，建立一个平稳、高效的网络环境。

二.客户价值

网络流量的复杂性给网络的运营维护带来了巨大挑战。

绿盟科技网络流量分析产品能帮助网络运维人员全面了解网络状况，解决运维人员通常关心的两大类问题。

一类是与网络和业务规划相关的问题，另一类是与网络安全运营相关的问题。

绿盟科技网络流量分析产品可以帮助网络管理员纵观网络状况，了解网络成分趋势变化，从容面对网络异常。

提供网络运营者安全运维的决策分析与建议，帮助运营商、数据中心等企业提供优质的网络服务，从而增强企业的核心竞争力。

下面分别详细列举NSFOCUSNTA给客户带来的巨大价值。

三.网络和业务规划相关的问题

NSFOCUSNTA能够通过SNMP、Netflow等协议格式采集到网络中路由设备的流量信息，进行多种维度的分析，满足高带宽条件下的实时监控，使网络情况透明化。

NSFOCUSNTA围绕与网络和业务规划相关的三个方面进行分析，帮助客户掌握：

●网络中的流量情况

NSFOCUSNTA能监控客户网络中的路由设备、关键链路和重要业务的流量，使用户纵观网络状况，帮助用户全面透视网络状况，建立网络整体模型的概念。

●网络中的流量组成成分

NSFOCUSNTA能对多达数百种网络应用进行检测分析，展现各种应用的流量及在网络中的占比情况。

流量组成分析，使用户对网络成份清清楚楚，知道目前最热的网络应用是什么，最消耗带宽的应用是什么，是否有应用挤占了正常业务的带宽。

帮助用户了解网络业务开展情况及占用的网络成本，及时找到网络瓶颈，做出正确的决策优化网络。

●网络中的流量变化趋势

NSFOCUSNTA能帮助用户对重点业务进行长期监控，根据业务在不同时期的流量情况，帮助用户建立网络模型。

通过对重点业务发展进行价值评估，对网络规划和扩容做出正确决策。

。

四.与网络安全运营相关的问题

无论是运营商还是数据中心、金融等其他行业，安全运营无疑都是极其重要的。

NSFOCUSNTA能解决运维人员最关心的网络安全运营问题，主要体现在以下几个方面：

●快速发现网络异常

NSFOCUSNTA能够7x24小时对全网设备进行实时监控。

不但能监控网络设备的物理状况：

如路由器接口状态是否正常，CPU、内存状态是否正常，而且能对网络中的流量异常状况：

如网络中是否存在攻击事件，是否存在带宽超常等进行实时监控。

系统可以根据网络事件的严重程度定义不同的告警级别，网络中一旦出现异常，便会立即触发告警机制。

网络管理员可以在故障发生的第一时间获知网络异常信息，在网络故障爆发或扩大前采取相应的防范措施，将故障的影响程度降到最低。

●定位攻击源和目标

触发的告警事件中包含着详尽的内容，通过查看告警事件的分析，可以追溯故障发生的时间，地点，原因，是否属于人为的恶意攻击。

对于攻击事件，告警属性中包含攻击的流量大小，攻击流量来源，危险程度等信息，帮助网络管理员快速判断并定位故障原因，判断异常对网络状况的影响，及时采取措施进行应急处理。

五.原理介绍

在了解NSFOCUSNTA产品功能之前先简要介绍一下NSFOCUSNTA的工作原理。

NSFOCUSNTA主要是基于Flow的技术，采用DFI的方式网络中的流量情况进行分析检测。

六.Flow技术特点

以Cisco的netflow为代表的Flow技术是目前流量分析检测领域的主流技术，自1996年问世以来，Flow技术以其高效准确的数据采集方式，低成本高产出的优质网络运维特点，广泛应用于运营商、数据中心、互联网企业等各种路由器和交换机中。

同DPI（DeepPacketInspection）的分析方式相比，NSFOCUSNTA基于Flow的DFI（Deep/DynamicFlowInspection）数据采集方式有诸多特点：

●支持的设备数量众多

支持Flow采集方式的设备众多，如主流的Cisco、Juniper、Huawei等都有支持Flow格式的设备，能覆盖绝大多数网络中的设备。

●非嵌入式采集

不同于SPAN等探针方式的数据采集，基于Flow技术的采用非嵌入式采集方式，不会对现有网络拓扑结构造成任何改变

●高性能，投资少

采用先进的数据流采样随机技术，可通过设置合适的采样率，适用于各种类型的带宽环境，单台设备就可满足电信级的高带宽（数百Gbps）环境。

而探针的采集数据方式必须基于物理端口，只适用于流量较小的网络环境，投资成本及维护工作量均相对较高。

●快速响应

不同于传统的数据采集方式，需要对采集的全包进行解析，DFI的方式处理速度更快，基于Flow的分析方式只需要进行流量特征比对，更利于对网络问题做出快速响应。

七.流量分析原理

NSFOCUSNTA使用基于Flow的分析方式，支持业界主流的协议，如netflowv5/v9、sflowv4/v5、netstreamv5/v9等，也支持镜像数据通过转换器转为netflow格式进行分析。

无论是那种类型的流量数据，包含的信息都可以分为三类：

空间信息、时间信息、技术指标信息。

●空间信息是流量发生的地点，包括：

路由器、物理端口、IP地址（段）、AS号、地域名称等。

●时间信息是流量发生的时间：

用分钟、时间片、小时、日、周、月、年来度量。

●技术指标提供流量的业务特征的信息：

应用类型、TCP-flag、ToS、包大小……

这样，流量数据实际上就构成了一个多维数据集。

所谓流量的统计分析过程，就是在指定的时空范围内，统计流量在不同维度的分布。

例如，查看某段时间内某个端口上流量中各种应用所占比例就是查看指定的时间范围、指定地点流量对应用这个技术指标维度的分布。

NSFOCUSNTA提供了一个多维的视角，帮助使用者从不同的角度去透析网络。

如图3.1展示了NSFOCUSNTA对网络中流量数据的透视：

图七.1流量数据的透视

八.异常检测原理

异常流量的检测分为两个过程：

流量数据的采集，流量数据的分析。

NSFOCUSNTA基于Flow的采集方式得到网络中的流量数据，获得流的起止、流量等数据信息，并根据不同的对象：

如路由器、接口等，按照时间点进行数据聚合，形成基于对象的流量特征模型。

以异常流量检测为目的流量数据分析过程分为三个步骤：

检测指标实测值的计算、检测指标基线值的计算、实测值与基线值的比较。

对流量中符合攻击特征的数据进行统计，根据特征流量是否超出正常范围，判断攻击流量是否存在。

每一种检测指标都对应一种或可能的几种攻击。

也就是说，有的检测指标是专门检测某一种特定的异常流量的。

而有的检测指标出现异常时，则能判断存在几种可能的异常流量。

无论哪种检测指标都要先有自己的基线，而基线的算法是类似的。

NSFOCUSNTA的基线算法分为两种：

●静态基线算法

静态基线是一条水平直线，通常是根据经验或是实验测量的结果得来，由于基线水平不变，很难反映客观网络流量的变化。

静态基线较大依赖于需要运维人员的自身能力，需要对特征数据大小进行准确配置，阈值配置过高容易导致漏报，阈值配置过低则又容易产生误报，导致真正的攻击事件被淹没。

●动态基线算法

动态基线算法在静态基线的基础上开发而来，基于正态分布的理论原理，解决了静态基线配置困难，准确性相对不高的缺点。

动态基线配置简单，选取动态基线的生成对象，开启流量自学习功能，经过一段时间对网络特征流量的学习，系统自动生成一条随流量特征变化的曲线。

如图3.2展示了静态和动态基线的样式，动态基线是一条更贴近于实际流量的曲线：

图八.1基线告警示意图

图3.2中展示了动态基线的三次告警，以流量告警为例，从告警1可看出由于静态基线的特征值通常设置为网络流量的平均值，无法感知网络情况变化，对于部分总是低于平均值的流量若出现异常突增，静态基线算法根本无法感知，更不会产生告警；从告警2、3可看出，静态基线产生的告警，由于基线值和实际值差异较大，无法真实反映流量异常的严重程度，。

而动态基线是一条随不同时段的网