网络流量处理解决方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 对此,NTARS系统采用了由东北大学、东软信息学院和NetEye网络安全 实验室持续多年的联合研究成果,实现了多种网络流量趋势预测算法, 能够通过对未知特征的网络流量进行一定周期的采样分析后,自动完 成对该部分流量的图式建模和基线描述,并持续跟踪实际流量的变化 曲率而对基线进行动态调整,从而保证了NTARS系统对于网络流量演变 趋势的自学习能力,能够有效避免随机杂波的偶发干扰、显著提高系 统检测命中率。
络常见拓扑中,一般都会将之放在最上端,
并且用云团简单表示
• 高端网络不直接面向桌面系统提供服务,
而是面向客户整体网络提供统一的宽带接 入
• 高端网络一般没有显著的计算资源存在 • 高端网络是Internet概念的主要实现载体,
是各接入、线、面
• “枪挑一条线,棍扫一大片”,设备应用因其角色而异 • “点”设备:Anti-Virus、Personal Firewall • “线”设备:FW、NTPG、IPS、UTM、VPN • “面”设备:合格的SOC、还有我们的NTARS
NTARS系统结构
• 收集器(Collector):主要完成流量收集及特征提取/建模 两部分职能。该部分属于系统的低层模块,是系统面向 网元设备的接口单元并进行数据上收和格式转换、特征 提取等预处理操作,处理逻辑较为简单。该部分对系统 整体的影响主要反映在协议支持数量和处理性能两方面;
• 控制器(Controller):主要完成模式分析、策略响应并最 终提供人机交互GUI界面。控制器Controller是异常流量分 析系统中逻辑运算高度集中的单元部分,在收集器上报 数据的基础上进行行为判别及智能响应职能。该部分对 系统整体的影响主要存在于行为判别准确性、策略响应 AI机制和人机交互友好程度几个方面。
在面上,应该做些什么?
确定“点”的定义 归纳“线”的特征 以“面”来包容所有的“点”与“线” 对所有的“点”与“线”加载安全策略
Part 2 NTARS v2.0产品介绍
3 Sept. 2008 © Neusoft Confidential
Network Traffic
Analyse & Response System
广泛的检测范围覆盖
采集方式
支持品牌
NetFlow
Cisco
sFlow
Foundry、Alcatel、Extreme等
CFlowd NetStream IPFIX SNMP SPAN TAP/分光 动态路由 CLI
Juniper 华为 IETF标准规范 Almost All Almost All Almost All Almost All Almost All
Part 1 所谓处理:检测和响应
3 Sept. 2008 © Neusoft Confidential
方案要素
市场定位
高端网络
• 所谓高端网络,指的就是以提供网络骨干 传输为主导业务的承载类网络,如运营商
ISP n#
承载网、地市级以上城域网、高等院校校 园网和大型行业性网络等。在接入用户网
ISP 1# ISP 2#
NTARS技术原理
NTARS的万国护照
• 旁路式的检测系统,保护原有网络的稳定性 • 兼容各类高速链路(如POS、万兆以太等)的数据采集技术 • 灵活、无损的数据采样技术,可灵活适应网络扩展需求 • 保持海量处理性能,却颇具应用层DI深度检测能力 • ICA智能调度,可对异常流量自动作出实质性抑制
对增值业务的支持
• 以较低的投入成本,向全部客户提供全面服务; • 集中身份鉴权和粒度化的功能划分,便于向客户提供定
向、定量的增值业务销售; • 为每个客户提供可定制的安全防护能力,客户可根据己
—— 网络流量分析与响应系统
请注意我名 字中的“R”
• NTARS定位于骨干网络流量图式的检测分析,通过对链 路流量特征信息的提取、建模,实时检测网络中 DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件 的发生,进而驱动响应系统进行阻断防御。同时, NTARS系统面向管理员提供流量图式、趋势预测、路由 抖动等各种针对骨干网络运行状况的统计分析数据,帮 助运管人员监控和掌握骨干链路及关键资源的运行情况。
东软NetEye网络流量处理解决方案
3 SCeoppt.yr2i0g0h8t 2008 By Neusoft Group. All rights reserved © Neusoft Confidential
我们将了解到
• 所谓处理:检测和响应 • NTARS v2.0产品特性介绍 • NTPG v2.0产品特性介绍 • 解决方案典型应用场景
传统的工作面
观测设备运行状态
Si
检查系统配置文件 分析现行路由信息 留意链路负载变化 然后……
忍受大客户的抱怨!
问题的症结所在
视角不同 客户相信其所看到的,运维人员相信其所做到 的 关注点不同: 客户关注最终的服务质量,运维人员关注设备 平稳运行 权责范围不同 客户有权得到符合合同要求的服务质量,运维 人员则必须在己方范围内独立实现该承诺,然而 却无法对客户网络提出额外要求。
常用版本
V1、V5、V7、V8、V9 V4、V5 V5、V8 V5、V8、V9 RFC 3917 RFC 1213/ 2011~2013 因产品而异 与产品无关 BGP v4、OSPF/RIP RS-232、Telnet
备注
应用最广 描述能力强
厂商专属 与NetFlow较为类似 以NetFlow v9为蓝本 提取系统状态信息 获取原始报文 获取原始报文 路由导出及注入 深度介入操作
智能的ICA复合机制
详尽的流量流向分析
高效率的特征沉降加速
应用层特征匹配
TFLD© 格式化检测加速
物理介质
自学习的动态基线调整
• “浪”型流量一般具备相对稳定的“平均水位”和较为清晰的波峰波谷 界定,其对网络整体服务质量的影响是短暂的,比较适合固定基线和 传统动态基线的工作;然而,“涌”型流量却呈现长周期、慢增长、 低曲率、大振幅等特点,无法通过固定基线及传统动态基线予以识别, 却能够对网络服务质量造成长期、广泛的危害。
络常见拓扑中,一般都会将之放在最上端,
并且用云团简单表示
• 高端网络不直接面向桌面系统提供服务,
而是面向客户整体网络提供统一的宽带接 入
• 高端网络一般没有显著的计算资源存在 • 高端网络是Internet概念的主要实现载体,
是各接入、线、面
• “枪挑一条线,棍扫一大片”,设备应用因其角色而异 • “点”设备:Anti-Virus、Personal Firewall • “线”设备:FW、NTPG、IPS、UTM、VPN • “面”设备:合格的SOC、还有我们的NTARS
NTARS系统结构
• 收集器(Collector):主要完成流量收集及特征提取/建模 两部分职能。该部分属于系统的低层模块,是系统面向 网元设备的接口单元并进行数据上收和格式转换、特征 提取等预处理操作,处理逻辑较为简单。该部分对系统 整体的影响主要反映在协议支持数量和处理性能两方面;
• 控制器(Controller):主要完成模式分析、策略响应并最 终提供人机交互GUI界面。控制器Controller是异常流量分 析系统中逻辑运算高度集中的单元部分,在收集器上报 数据的基础上进行行为判别及智能响应职能。该部分对 系统整体的影响主要存在于行为判别准确性、策略响应 AI机制和人机交互友好程度几个方面。
在面上,应该做些什么?
确定“点”的定义 归纳“线”的特征 以“面”来包容所有的“点”与“线” 对所有的“点”与“线”加载安全策略
Part 2 NTARS v2.0产品介绍
3 Sept. 2008 © Neusoft Confidential
Network Traffic
Analyse & Response System
广泛的检测范围覆盖
采集方式
支持品牌
NetFlow
Cisco
sFlow
Foundry、Alcatel、Extreme等
CFlowd NetStream IPFIX SNMP SPAN TAP/分光 动态路由 CLI
Juniper 华为 IETF标准规范 Almost All Almost All Almost All Almost All Almost All
Part 1 所谓处理:检测和响应
3 Sept. 2008 © Neusoft Confidential
方案要素
市场定位
高端网络
• 所谓高端网络,指的就是以提供网络骨干 传输为主导业务的承载类网络,如运营商
ISP n#
承载网、地市级以上城域网、高等院校校 园网和大型行业性网络等。在接入用户网
ISP 1# ISP 2#
NTARS技术原理
NTARS的万国护照
• 旁路式的检测系统,保护原有网络的稳定性 • 兼容各类高速链路(如POS、万兆以太等)的数据采集技术 • 灵活、无损的数据采样技术,可灵活适应网络扩展需求 • 保持海量处理性能,却颇具应用层DI深度检测能力 • ICA智能调度,可对异常流量自动作出实质性抑制
对增值业务的支持
• 以较低的投入成本,向全部客户提供全面服务; • 集中身份鉴权和粒度化的功能划分,便于向客户提供定
向、定量的增值业务销售; • 为每个客户提供可定制的安全防护能力,客户可根据己
—— 网络流量分析与响应系统
请注意我名 字中的“R”
• NTARS定位于骨干网络流量图式的检测分析,通过对链 路流量特征信息的提取、建模,实时检测网络中 DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件 的发生,进而驱动响应系统进行阻断防御。同时, NTARS系统面向管理员提供流量图式、趋势预测、路由 抖动等各种针对骨干网络运行状况的统计分析数据,帮 助运管人员监控和掌握骨干链路及关键资源的运行情况。
东软NetEye网络流量处理解决方案
3 SCeoppt.yr2i0g0h8t 2008 By Neusoft Group. All rights reserved © Neusoft Confidential
我们将了解到
• 所谓处理:检测和响应 • NTARS v2.0产品特性介绍 • NTPG v2.0产品特性介绍 • 解决方案典型应用场景
传统的工作面
观测设备运行状态
Si
检查系统配置文件 分析现行路由信息 留意链路负载变化 然后……
忍受大客户的抱怨!
问题的症结所在
视角不同 客户相信其所看到的,运维人员相信其所做到 的 关注点不同: 客户关注最终的服务质量,运维人员关注设备 平稳运行 权责范围不同 客户有权得到符合合同要求的服务质量,运维 人员则必须在己方范围内独立实现该承诺,然而 却无法对客户网络提出额外要求。
常用版本
V1、V5、V7、V8、V9 V4、V5 V5、V8 V5、V8、V9 RFC 3917 RFC 1213/ 2011~2013 因产品而异 与产品无关 BGP v4、OSPF/RIP RS-232、Telnet
备注
应用最广 描述能力强
厂商专属 与NetFlow较为类似 以NetFlow v9为蓝本 提取系统状态信息 获取原始报文 获取原始报文 路由导出及注入 深度介入操作
智能的ICA复合机制
详尽的流量流向分析
高效率的特征沉降加速
应用层特征匹配
TFLD© 格式化检测加速
物理介质
自学习的动态基线调整
• “浪”型流量一般具备相对稳定的“平均水位”和较为清晰的波峰波谷 界定,其对网络整体服务质量的影响是短暂的,比较适合固定基线和 传统动态基线的工作;然而,“涌”型流量却呈现长周期、慢增长、 低曲率、大振幅等特点,无法通过固定基线及传统动态基线予以识别, 却能够对网络服务质量造成长期、广泛的危害。