NetEye NTARS异常流量分析与响应系统技术白皮书.docVIP

PAGE PAGE 22 沈阳东软软件股份有限公司 ? ? ? ? ? ? ? ? ? NetEye NTARS 异常流量分析与响应系统 技术白皮书 ? ? ? ? 沈阳东软软件股份有限公司 目 录 ?? TOC \o \h \z 一. 应用背景 3 二. 系统组成及功能 5 2.1系统工作原理 5 2.2系统组成 6 2.3分析引擎工作原理 7 2.4响应系统 8 三. 主要功能特性 9 3.1主要功能 9 3.1.1异常流量实时分析 9 3.1.2流量趋势预警 10 3.1.3攻击检测 11 3.1.3垃圾邮件检测 12 3.1.3病毒检测 13 3.1.4通信行为分析 14 3.1.5通信服务质量实时监控 14 3.1.6攻击实时响应 15 3.1.7网络信息审计 15 3.2产品特性 16 四. 典型部署及应用 19 五. 产品规格 21 ? 应用背景 大型网络骨干网的关键是保证网络的运行质量。如何提高骨干网络的可用性，最大化地保证骨干网络的可控性和有效性，已经成为政府机构、企业、服务提供商、数据中心等进行网络安全建设时的重点和难点。对于作为整体网络骨干的干线网而言，整个管理层面更为关注的不是单个的简单攻击，而是那些针对性很强的旨在破坏网络骨干和整体业务运营的异常网络行为。各种异常流量行为对网络骨干的充斥，极大地增加了网络资源的压力，过多消耗了网络资源，在很大程度上影响到正常业务的运行。严重时，这些异常网络行为会造成网络瘫痪，正常业务的中断。 而技术的限制、基础设施的复杂性和操作的现实情况总是难以满足与日俱增的需求。现在，DoS/DDoS攻击、大规模爆发的蠕虫病毒、大量的垃圾邮件、肆意泛滥的P2P下载和各类P2P视频/语音应用等各种异常网络行为的流量，对网络资源、网络安全的影响是巨大的，一方面占用带宽资源使网络拥塞，造成网络丢包、时延增大，严重时导致网络不可用；同时还占用网络设备系统资源（CPU、内存等），使网络不能提供正常的服务。异常网络行为严重影响到整个网络的效率和性能，进而造成全部网络瘫痪。 现有的防火墙、入侵检测、协议分析器等安全设备都无法很好地解决骨干网络的异常流量。这些现有的安全设备不能有效的检测和处理异常流量和攻击，并且都不能识别新型及其变种DoS攻击和蠕虫，因而不能及时发现新型攻击，异常流量的增多导致网络质量进一步恶化，另一方面对于在网内传播的异常流量和攻击也不能快速准确定位。 通常解决这些威胁需要人工干预进行诊断、检测、修复，而缺乏对于异常流量的主动检测能力，使得保障网络运行质量的工作变成很被动和费时，需要一种更好的工具检测网络流量，提供优良的网络性能和可用性。NetEye Ntars即是针对这类需求而推出的针对性解决方案，可以协助管理员有效解决骨干网络中急需解决的安全问题：DoS/DDoS攻击、蠕虫与病毒、垃圾邮件、漏洞隐患、网络滥用等。 NetEye Ntars主要用于骨干网络的监控检测和分析，通过对骨干网络流量信息或系统信息的收集，采用多种方法进行分析、检测，实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件，提取异常特征，并启动报警和响应系统进行过滤、阻断和防御。同时，面向管理员提供流量分布、流量排名、攻击来源和目标、应用层服务等各类关于骨干网络运行状况的统计分析数据，从而有效帮助管理员更好地监控和掌握骨干网络的使用情况。 NetEye Ntars可以快速定位网络服务质量显著下降的问题所在，并通过及时的响应协助管理员解决造成网络异常的安全问题，从而最大化地提高骨干网络的运行质量。 ? 系统组成及功能 2.1系统工作原理 IDS、防火墙依赖已知的特征库来识别网络攻击，这种方法在检测某些特征明确的攻击时简单有效，但对于新型和变种的攻击是无效的，而对蠕虫病毒、Dos/DDos等引起的大量流量难以和正常业务流量相区分。为了解决上述安全难题，同时也为了增强检测准确性，降低误报率，Ntars系统针对不同的攻击，采用分类检测技术，使用异常检测法检测拒绝服务攻击、蠕虫爆发等异常流量，使用特征检测特征明确的攻击，使用杀毒引擎来检测病毒、蠕虫、木马等恶意文件的传播，使用增强的贝叶斯等算法检测垃圾邮件，从而实现准确、全面的检测各种攻击行为。 NetEye Ntars采用旁路接入的方式进行部署，接收各种网络设备的Flow数据、SNMP信息、原始数据包、BGP路由等不同层面的流量，采用独创的ICA（Integrate Check Architecture）集成检测体系将这些数据源有机地结合起来，全方位检测网络异常和网络攻击。和依赖已知攻击特征库检测方法不同