20120524_天清异常流量检测系统ADM-Detector配置培训文档 V3.6.3.1

数据管理模块的存储策略用来自定义数据表的存储期限。
可以通过数据库客户端连接到detector数据库，查看保存的数据。
新 增
参数含义如下：
表明信息——选择告警、流量、过滤器、路由表。 如：flow流量表_当前 保留时间——填写库表信息保留时间。 时间粒度——选择库表信息保留时间的时间单位。
注意事项：
分析的方式分为实时分析（30s自动刷新）和历史分析两种。 。展示路由前缀数目的分布图和分布矩阵。
2、路由稳定性分析：即通过对路由更新的情况进行分析，包括路由更 新数目和各类异常路由更新数目，可以反应出网络的稳定性情况。
3、路由数目分析：可以分析来自各邻居的路由数目，即按照前缀类型、 前缀状态进行分类统计，同时还标明了邻居的名称以及AS号。
1.表名信息：存数策略添加成功后在存储策略列表显示，同时添加页面 表明信息下拉框中不再显示已填加成功表名。 2.保留时间：只支持数字格式。 3.时间粒度：可以根据需要制定策略执行的时间单位：分钟、小时、天、 周、月、季、年。 还可以进行
编辑，删除操作。
新增备份信息 启用备份功能，即可按照设定时间将当前日志审计的告警监控信息和流量分析数据自
系统管理子模块可以配置外部设备接收netflow数据等功能
在网络配置界面可以配置Detector上的接口ip和DNS以及默认网关。（默认情况 下只有eth0口上有ip --10.0.0.1/24）
在产品授权管理界面可以通过webui界面对产品的权限信息进行管理
2、策略管理：包括异常检测、异常缓解、检测范围以及自定义监控等 几个子模块。 异常缓解子模块能够在Detector发现异常流量之后，自动登录流量清洗设备下
异常检测 子模块主要是进行基线检测技术的配置。 Detector 可以根据该界面的 发 bgp路由，进行流量牵引。（两者的 SSH配置，snmp 配置必须相一致。当配 检测基线来判断哪些流量属于哪些攻击流量。也可以通过自定义告警配置来创 置完成之后，点击更新 zone按钮之后，若能获取到 pcp信息，说明流量能正常 检测范围子模块中检测范围是指网络内部 IP范围；Dark IP包括NIC未分配的IP 建一条新的检测基线，来感兴趣的流量，使其以告警的方式显示。而告警通知 牵引。）当流量牵引成功之后，会在告警牵引界面自动生成一条告警牵引信息 和已分配但未使用的 IP；私有IP是专门为内网使用预留的IP，不应在公网中路 功能可以将指定的告警类型通过邮件或者短信的方式发给指定的客户 ，而在攻击停止一段时间之后，此条信息会自动删除。另外， bgp邻居的配置也 由。而自定义监控子模块可以自行配置需要监控的应用端口、自治域以及协议。
删除备份信息
选中要删除的项，单击远程备份列表中 【删除】 按钮，进行远程备份删除。 同远程备份列表进行刷新。
单击页面的“清除警告”按钮，即弹出是否清除所有警告信息的提示框，单击“清 除告警”，即清除所有警告信息，点击其他按钮，不清除信息。
清除前
清除后
警告：此操作可能引起告警监控及相关查询不正常，因此不建议使用。
首页功能项：
ቤተ መጻሕፍቲ ባይዱ
告警查询配置：用户可查看指定条件的告警信息
所谓异常流量是指有限的带宽承载了非预期的流量。当Detector监测到这些异 异常模块配置 常流量之后，可以根据相应的检测基线来判断这些异常流量属于哪些攻击。
异常模块在【配置-策略管理-异常检测】有默认基线配置，Detector可根据这些 如图： 条件来判断流量属于哪种攻击。
单独部署
联动部署
不同部署的区别
与Guard联动的实质是在检测出的异常后，如何牵引异常流量 。 ① 同步Guard上的保护zone信息； ② 将zone转化为Detector自身支持的保护基线； ③ 根据基线进行攻击检测；
④ 发现异常流量并确认并被攻击主机匹配保护zone后，以内部通讯模式登陆Guard，建立 抗攻击策略并生效，进行牵引；
而当你点击某个具体的告警信息之后，会弹出如下的信息栏，可以看到该告警 的详细信息：
用户也可以根据需要，手动进行更改。
• 功能介绍：可以新增路由设备和服务器设备、关注接口、删除设备和接
设备管理】中添加。
功能介绍与配置 监控模块的作用 图形化展示网络关键路由 , 服务器节点性能状态和重要接口流量状况 , 默认
要点：
系统采用基于角色的权限控制机制，即系统只对角色分配权限，用户只能通 过拥有一个或者多个角色来获取权限，而不能直接对用户分配权限。 每个用户在创建的时候可以被赋予相应的角色权限。 用户可以有一个或者多个角色，也可以没有任何角色，没有任何角色则表示 没有任何权限，用户可以登录系统，但不能访问任何内容。 如果用户所具有的角色被管理员删除，那么该用户就不再具有相应的权限， 需要管理员对该用户重新分配角色。 目前系统按模块分配权限，有的模块还可以分配子模块的权限，部分模块的 权限可以控制到树结点。 目前支持的操作有读、写、导出。用户只有具有导出权限，才可以下载，导 出。
报告是将多个报表合并生成一个报表，同时可以输入报告描述，显示在报告的 最前面。 报表为内置报表，根据功能分成三个报表组：告警报表组、流量报表组、路由
分析报表组。每个组下会有对应的子报表。 报表支持PDF/HTML/PNG/DOCX/RTF/XLSX/XLS等格式。
内置报表
查看导出
在 诊断分析 界面可以通过 PING分析功能来查看 Detecter是否与目的地址路由可 在 数据代理接口 界面可以通过配置 snmp信息来使得目标 ip能通过snmp协议获 达；可以通过抓包分析功能来查看在 Detector 的设备的某个接口上是否有某种 取到Detector上的相关信息（两者的 snmp关键字必须一致）；可以通过配置 类型的流量；可以通过snmp分析功能来查看目的ip属于哪个设备；可以通过 配置模块主要分为 系统管理、策略管理 以及运行配置 3个部分。 SYSLOG 信息使得服务器能收到 Detector上相应的日志信息。 flow Detector的流量的详细信息 1分析功能来查看当前时间范围内流经 、系统管理：提供系统运行所必要的相关配置、控制、工具等功能 。分为系统管理、系统自身监控、网络配置、诊断分析、数据代理接 口以及产品授权管理等几个子模块。
必须与实际环境中的配置相一致。
3、运行配置：界面主要包括设备管理、设备组管理和对照表管理等子模块。 在设备管理子模块中我们可以配置相应的路由器设备和服务器设备，当它们与 Detector相连通并配置好了snmp信息之后，Detector就能通过snmp协议（两 高级配置子模块主要是做镜像流量时所需的配置（镜像的端口、转发flow的设 者的snmp关键字必须相同）获取到相应设备的信息；同样，在设备组管理子 备等等） 模块中配置好相应的路由器设备组和路由器接口组之后，就能在流量界面看到 相应的路由器设备组合路由器接口组的流量信息；而对照表管理子模块就是使 用名称来代替原有的ip地址、协议端口和应用以及自治域编号。
动备份到远程备份服务器中。 如：3CDaemon
单击远程备份列表上方的【新增】 按钮，进入新增备份页面，各项参 数含义如下： 服务器地址 : 填写远程备份服 务器 IP 地址。 用 户 名 : 填写远程备份服务 器登录用户名。 登录密码 : 填写远程备份服务 器登录密码。 备份路径 : 填写远程备份服务 器文件备份路径。 状 态 : 选择此远程备份是否 启用。
注意事项：
服务器地址：远程服务器地址 要符合 IP 格式要求。 必选性要求：远程备份添加中 所有选项均不能为空。
编辑备份信息 备份时间
单击远程备份列表上方【备份时间】按钮，设定远程备份时间，各项参数含义如下： 单击远程备份列表中【编辑】按钮，对备份信息的属性进行编辑，编辑的界面中各项 备份时间——选择每天进行备份时间，选择范围为 0 至 23 之间。 参数含义与添加界面中一致。 状 态——远程备份功能是否启用。
新增路由设备
新增后效果
流量分析，即对分析对象基于时间进行流量分析，并呈现流量成分。分析对象 分别是路由器、路由器组、路由器的接口组等。如图 所示，页面左侧是以树状 结构分类列出所有分析对象，单击某个分析对象即可在页面右侧展示它在最近 30分钟内的流量趋势及TOP5流量分析。另外，也可以自定义时间范围查询条件 ，以便查看流量分析。其配置见【配置-运行配置】界面，其流量信息是通过 snmp协议自动获取生成，无需手动配置。
支持广泛：Cisco，huawei，Juniper等。(如果设备不支持，可以用端口镜像流 量，然后用NetFlowExplore这样的软件来产生NetFlow) 效率高：衡量基准是关联包的集合，而不是单独的包
。
产品部署
• 本产品的部署方式分为2种： 一、天清异常流量检测设备单 独部署 二、天清异常流量检测设备与 清洗设备（gurad）联动部署
⑤ 异常流量通过BGP牵引给GURAD进行2次分析，清洗，然后回注正常流量； ⑥ 经过一段时间的观测发现攻击消除，使相应的抗攻击策略失效。

单独部署实质是在检测出的异常后，以黑洞方式删除异常流量
① 无保护zone信息； ② 异常流量牵引到Detector自身进行删除； ③ 直接删除不做清洗；
WEB菜单
4、BGP包分析：可以统计来自各邻居的BGP更新包。更新包分为正常更
新包和无效更新包，其中无效更新包是要被路由器丢弃的异常包。
5、路由震荡分析：统计了路由表中当前正在震荡和因抖动厉害而被抑
制的前缀数目，可分别按正在抖动或已被抑制两种类型来展示。（路由 震荡分析功能只对EBGP邻居有效）
数据管理包括数据存储策略、远程备份、清除告警功能，主页显示管理设备 硬盘使用情况 , 数据库使用的基本信息以及 netflow 流量分析图。
• 将展示所有的路由器设备。 监控模块的作用在于当在与Detector相连通的一台设备上配置好snmp信息 口、查看设备详细信息以及调整布局。 在拓扑视图中，点击路由设备，将展示设备地址， CPU 利用率，路由总流 之后，Detector能够通过snmp协议获取到该设备上的详细信息，并能实时 30 秒刷新一次 . • 量的信息并每隔 配置操作： 添加设备等操作可以在本页面添加，也可在【配置 -运行配置的观察到该设备的性能以及接口等信息。
天清异常流量检测系统ADM-Detector 配置培训
2012年05月20日
业务描述
数据来源
基于Netflow解析的检测
原理
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采 集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的 需求。
特点
路由模块的作用就是通过分析路由消息和路由表消息，得到关于路由稳定 各分析模块作用： 性和合理性的结论。根据方案设计，路由分析功能主要通过由bgp模块提 供的数据来进行路由分析。路由分析的具体功能包括：路由前缀数目分析 1、路由稳定性分析、路由数目分析、 、路由前缀数目分析：可以分析当前路由表中各种前缀长度的数量分布 bgp包分析以及路由震荡分析。路由
1、雷达扫描图：雷达中的点的颜色告警的级别—红色：高级；黄色：中级；绿色：低 级。点的位置表示该告警产生的时间—距离雷达中心越近，表示告警产生的时间越近； 距离雷达中心越远，表示告警产生的时间越远。当把鼠标放到该点上方的时候，会显示 出此次告警的详细信息。 2、30分钟内的10条告警信息：以列表形式显示最近10条具体告警。 3、最近24小时流量告警类型分布：以柱状图显示告警类型分布。 4、最近60分钟TOP流量：提供流量高的IP地址，出现在中间的IP地址的流量 越多。 5、最近30分钟TOP协议流量：以坐标图形式显示协议流量大小。
日志模块中包含日志中心、告警日志、流 量日志、系统日志 四个小模块。用来记录 告警、流量和系统操作日志，从而使用户更方 便的管理设备。
包含三种日志类型的所有日志，并且默认每隔三十秒自动刷新。可以点击【停止】 关闭自动刷新功能。
按条件查询各类日志
如图：提供条件按查询告警日志，用户可以选择性的查看告警日志。