网络流量处理解决方案教材.ppt

东软NetEye网络流量处理解决方案 我们将了解到 所谓处理：检测和响应 NTARS v2.0产品特性介绍 NTPG v2.0产品特性介绍 解决方案典型应用场景 方案要素 市场定位 所谓高端网络，指的就是以提供网络骨干传输为主导业务的承载类网络，如运营商承载网、地市级以上城域网、高等院校校园网和大型行业性网络等。在接入用户网络常见拓扑中，一般都会将之放在最上端，并且用云团简单表示 高端网络不直接面向桌面系统提供服务，而是面向客户整体网络提供统一的宽带接入 高端网络一般没有显著的计算资源存在 高端网络是Internet概念的主要实现载体，是各接入客户网络云团之间的唯一互联路径 网络中的点、线、面 “枪挑一条线，棍扫一大片”，设备应用因其角色而异 “点”设备：Anti-Virus、Personal Firewall “线”设备：FW、NTPG、IPS、UTM、VPN “面”设备：合格的SOC、还有我们的NTARS 传统的工作面 问题的症结所在 在面上，应该做些什么？  Network Traffic Analyse Response System—— 网络流量分析与响应系统 NTARS定位于骨干网络流量图式的检测分析，通过对链路流量特征信息的提取、建模，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件的发生，进而驱动响应系统进行阻断防御。同时，NTARS系统面向管理员提供流量图式、趋势预测、路由抖动等各种针对骨干网络运行状况的统计分析数据，帮助运管人员监控和掌握骨干链路及关键资源的运行情况。 NTARS系统结构 收集器(Collector)：主要完成流量收集及特征提取/建模两部分职能。该部分属于系统的低层模块，是系统面向网元设备的接口单元并进行数据上收和格式转换、特征提取等预处理操作，处理逻辑较为简单。该部分对系统整体的影响主要反映在协议支持数量和处理性能两方面； 控制器(Controller)：主要完成模式分析、策略响应并最终提供人机交互GUI界面。控制器Controller是异常流量分析系统中逻辑运算高度集中的单元部分，在收集器上报数据的基础上进行行为判别及智能响应职能。该部分对系统整体的影响主要存在于行为判别准确性、策略响应AI机制和人机交互友好程度几个方面。 NTARS技术原理 NTARS的万国护照 旁路式的检测系统，保护原有网络的稳定性 兼容各类高速链路(如POS、万兆以太等)的数据采集技术 灵活、无损的数据采样技术，可灵活适应网络扩展需求 保持海量处理性能，却颇具应用层DI深度检测能力 ICA智能调度，可对异常流量自动作出实质性抑制 广泛的检测范围覆盖 智能的ICA复合机制 详尽的流量流向分析 高效率的特征沉降加速 自学习的动态基线调整 “浪”型流量一般具备相对稳定的“平均水位”和较为清晰的波峰波谷界定，其对网络整体服务质量的影响是短暂的，比较适合固定基线和传统动态基线的工作；然而，“涌”型流量却呈现长周期、慢增长、低曲率、大振幅等特点，无法通过固定基线及传统动态基线予以识别，却能够对网络服务质量造成长期、广泛的危害。 对此，NTARS系统采用了由东北大学、东软信息学院和NetEye网络安全实验室持续多年的联合研究成果，实现了多种网络流量趋势预测算法，能够通过对未知特征的网络流量进行一定周期的采样分析后，自动完成对该部分流量的图式建模和基线描述，并持续跟踪实际流量的变化曲率而对基线进行动态调整，从而保证了NTARS系统对于网络流量演变趋势的自学习能力，能够有效避免随机杂波的偶发干扰、显著提高系统检测命中率。 应用层深度检测能力 在DDOS攻击之外，还可识别各种应用层攻击方式，如：缓冲区溢出、权限提升… 常用应用协议的内容恢复，如http、telnet、smtp、pop3、 msn SPAM检测：统计分析 蠕虫检测：病毒特征库 对增值业务的支持 以较低的投入成本，向全部客户提供全面服务； 集中身份鉴权和粒度化的功能划分，便于向客户提供定向、定量的增值业务销售； 为每个客户提供可定制的安全防护能力，客户可根据己方业务特点自行设置安全策略； 为每个客户提供其所得到的服务质量的履行情况分析报告，增强服务质量的量化分析能力； 为每个客户提供专门的访问接入界面，客户可在访问权限范围内获得对各类分析数据的直接读写控制，保证数据的真实性和透明度。 IDC流量监控为用户带来直接的增值业务 以较低的投入成本，向全部客户提供全面服务； 集中身份鉴权和粒度化的功能划分，便于向客户提供定向、定量的增值业务销售； 为每个客户提供可定制的安全防护能力，客户可根据己方业务特点自行设置安全策略； 为每个客户提供其所得到的服务质量的履行情况分析报告，增强服务质量的量化分析能力； 为每个