黑洞网络流量分析系统白皮书-中国安全网.PDFVIP

黑洞网络流量分析系统白皮书 © 2008 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿 盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何 方式复制或引用本文的任何片断。 ■ 商标信息 绿盟科技、NSFOCUS、黑洞是绿盟科技的商标。 - II - 目录 一. 前言 1 二. 流量分析的目的  1 2.1  与网络和业务规划相关的问题  1 2.2  与网络安全运营相关的问题  2 三. 流量分析的原理  2 3.1 数据采集的机制  2 3.1.2 流量数据所含的信息  4 3.1.3 流量统计分析的过程  4 3.2 异常流量检测的原理  5 四. 流量分析的技术实现  6 五. 绿盟科技流量分析系统  7 5.1  核心功能  7 5.1.1 异常流量检测  7 5.1.2 流量统计分析  7 5.1.3 统计报表  8 5.1.4 路由分析  8 5.2 主要特征  9 5.2.1 先进的基线生成算法  9 5.2.2 丰富的异常检测算法  9 5.2.3 灵活高效的检测  10 5.2.4  强大的处理性能  11 5.2.5  即插即用  11 5.3  部署方式  11 六.  结论 13 - III - 表格索引 表 3.1 数据采集机制对比  3 - IV - 插图索引 图 3.1 流量数据多维数据集  4 图 3.2 流量数据的透视  5 图 4.1 流量分析系统的实现  6 图 5.1 运营商环境下典型部署图  12 图 5.2 企业网环境下典型部署图  12 图 5.3  园区网环境下典型部署图  13 - V - 黑洞流量分析系统白皮书 一. 前言 随着互联网服务的普及，网络上各个环节的带宽越来越大。国际出口的带宽以及国内运 营商之间互联带宽都在成指数趋势增长。一些大型城域网的出口带宽都超过了 10Gbps，电信 级 IDC 的出口带宽很多也都超过 5Gbps 。不仅运营商网络带宽在不断扩充，很多行业或政府 的专网的带宽也有很大增加。伴随着带宽的增加，网络上的应用和业务也不断的丰富，如基 于流媒体的音视频服务，基于 MPLS 的VPN 业务等等。与此同时，网络攻击的成本和技术门 槛大幅下降，网络上的各种攻击和异常流量大量出现。在这种流量成分日益复杂，异常流量 海量涌现的情况下， 对网络流量进行深入分析从而全面了解流量的各种分布以及变化趋势就 显得十分必要了。 本文从阐述流量分析的目的入手，概要介绍一下流量分析的一般原理以及通用的技术实 现方案，最后重点介绍 绿盟科技骨干网络流量分析解决方案。内容包含如下部分： 流量分析的目的 流量分析的原理 流量分析的技术实现 绿盟科技骨干网流量分析解决方案 二. 流量分析的目的 网络流量的复杂性给网络的运营维护带来了巨大挑战，运维人员通常关心的问题包括两 大类，一类是与网络和业务规划相