NTAv117日讯WP.docx
- 文档编号:2193367
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:46
- 大小:1.07MB
NTAv117日讯WP.docx
《NTAv117日讯WP.docx》由会员分享,可在线阅读,更多相关《NTAv117日讯WP.docx(46页珍藏版)》请在冰点文库上搜索。
NTAv117日讯WP
全新的网络流量分析系统
NTASNTAV1.1.7
技术白皮书
北京日讯在线科技有限公司
北京市海淀区北三环西路43号青云当代大厦六层
Tel:
+861062136080
Fax:
+861062130171
E-mail:
Luxiao@
Web:
目录
1.概述3
1.1.关于日讯3
1.2.市场需求和趋势3
1.3.NTA产品定位4
1.4.我们能做什么5
2.NTA核心技术优势6
2.1.传统防护分析手段的局限6
2.2.成熟的分析手段——FLOW技术6
2.3.日讯科技独创的复合分析引擎技术IAE©7
3.解决方案特性10
3.1.大型网络三级部署10
3.2.移动通信业务系统部署10
3.3.集中资源部署11
4.产品功能12
4.1.基于流量分析的网络智能优化12
4.2.BGP安全监控机制12
4.3.根据“基线”预测算法的异常监测13
4.4.定位异常流量真实源头的地址回溯13
4.5.深度协议分析14
4.6.DNS监控15
4.7.分布式的多层系统结构15
4.8.实用的数据查询工具16
4.9.细致完备的内建报表16
4.10.弹性化的自定义报表17
4.11.高效稳定的异常流量清洗模块17
5.产品型号19
6.功能规格21
7.培训,支持及升级服务说明27
7.1.产品培训27
7.2.技术支持27
7.3.产品升级27
8.联系我们28
概述
关于日讯
北京日讯在线科技有限公司,成立于2000年3月,是集移动通信第三方网络优化产品和服务为一体的专业化高科技企业,致力于为全球移动运营商提供2G/3G网络优化的整体解决方案。
日讯总部和生产基地设立于北京高新技术开发区,注册资金6000万元,拥有员工700余人,其中研发技术人员约占总人数的四分之三。
日讯科技拥有一流的技术实力,专注于网络优化领域:
由一流的网络优化专家、移动通信技术专家、高素质的软硬件开发人员组成的技术团队,在移动通信领域有着多年的产品开发和项目实施经验;公司生产的测试设备、分析系统全部为自主研发产品,荣获多项专利;专业而完善的第三方网络优化和评估服务,也始终处于国内市场领先地位。
日讯科技营销和服务网络遍布全国,在多个省会城市设有分公司,快捷周到的为各地用户提供售前和售后支持。
公司在国内市场取得领先的同时,开始积极拓展海外市场,目前产品和服务已在南亚、欧洲等地赢得了客户认可。
市场需求和趋势
随着通信技术的迅猛发展,计算机网络的应用已经深入到人们日常生活的每一个角落,涉及到社会各个方面,其影响之广、普及之快是前所未有的。
但是人们在享受网络带来方便和提高效率的同时,也面临着网络承载带宽严重不足以及网络安全问题日益严峻等亟待解决的新课题。
尽管向防火墙、入侵防御和杀毒等传统安全领域投入了大量的资金,运营网络却继续遭受着内部滥用和外部攻击的危害,这个问题在以电信网为代表的大型网络中尤为严重。
大型网络包括电信骨干网、银行、电力、税务、工商等政府和行业用户建立的省级甚至全国范围的行业性纵向网络。
此类网络突出的特点是规模巨大,核心结点的互联带宽往往达到千兆甚至万兆级别,网络结点众多,往往多达数百上千个。
由于大型网络的大规模和高带宽的特点,传统的防护方案在大型网络安全防护中难以起到应有的作用。
在如今的环境里,新的威胁如分布式拒绝服务(DDoS)攻击、BGP利用、用户滥用等把运营网络和他们核心的业务推到一种危险的处境。
以电信基础运营商为例:
全球3G网络的大量商用,手机等移动终端的上网速率得到大幅度提高,这一切都剧烈的改变着人们的工作、学习、生活和习惯方式。
随着接入用户的数量不断增加,用户使用带宽的能力也在不断增加(IM、网游、IP语音、P2P都在大幅度的提高普通接入客户占有带宽的能力),但是运营商的承载网的容量并没有按照这样的乘积关系发展。
“带宽不足”的问题已经悄悄跨越了一个历史拐点,将成为永久性的难题。
对于运营商来说,除了持续的提高带宽承载能力以外,另一个关键的任务是要具备带宽的管理和保证能力。
在一个如此脆弱的网络环境下,高质量的带宽保证更能显现其价值,因此也就存在为之付费的客户基础。
所以,运营商需要一种更加全面、更加实用的方法来测量并且保护他们的网络,以使运营网络提供优良的网络性能、坚固的安全和最高水平的可用性。
而且,走出垄断后的运营商面对日趋残酷的市场竞争环境,科学、有效的网络管理及更加科学化的业务管理成了其更为关注的目标之一,尤其是在各行业积极倡导服务品质的今天,电信行业的SLA(Service Level Agreement,服务水平协议)也成了一把日趋临近的双刃剑,保证服务质量以提高用户满意度成为各运营商的当务之急。
越来越多的有识之士发现他们需要这样一个工具:
它不仅可以有效的管理网络,节约不必要的网络投资,还能通过流量流向科学的分析用户行为,进而合理的提供网络优化手段,增加用户的满意度;并通过对异常流量的分析,全面、及时的发现,并缓解及消除各种攻击,增强网络的安全性。
因此,我们建议使用日讯科技网络流量分析解决方案,该方案能够提供科学、实时、图像化的流量监测和准确、全面、有效的网络安全措施,使拥有复杂网络的运营商提高基础设施安全并且精简骨干运行,改进赢利能力并且增加营销收入,使得先进、安全、可靠的电信级网络作为运营商提供差别服务的最重要的技术保证。
我们相信在网络服务质量越来越重要并且成为运营商赢利亮点的今天,任何影响网络运行的事件包括针对因特网基础设施的攻击、路由交换设备的错误配置、用户对服务的滥用等必须被阻止。
日讯科技作为网络及业务流量分析产品的专业研发厂商,紧跟行业发展需求,不断进行技术创新,集多年研发积累而推出的NTA系列流量分析产品,能够为运营商及大型行业网络提供超越一般安全设备或方案的防护能力,为运营网络的稳定运营贡献自己的力量。
NTA产品定位
整个Internet的速率经历了十兆、百兆、千兆和万兆的过程,如果仅靠传统的手段,对流经网络设备的所有海量数据都进行统计,已成为不可能,通过何种手段才能监控企业的网络流量,并加以分析,从而达到优化网络,优化业务的效果呢?
面对日趋复杂的网络应用、不断扩大的网络规模、层出不穷的恶意网络攻击、不断泛滥的大规模异常流量,网络运营商需要功能更为强大的网络流量管理系统,来整合不同层次的流量分析信息,将网络流量、应用类型、BGP路由等信息进行整合分析,以提供运行维护决策支持的数据依据。
日讯科技NTA网络流量分析系统(NetworkTrafficAnalysissystem)正是应此需求而生的全新网络流量安全解决方案。
日讯科技NTA网络流量分析系统定位于高带宽网络流量图式的监测分析,通过对链路流量特征信息和设备状态信息的提取、建模,综合采用Flow、DPI、SNMP、BGP等多种方法进行分析,实时监测DoS/DDoS攻击、超限传输、路由抖动及其他网络异常事件,进而驱动异常流量清洗系统进行阻断防御。
同时,NTA系统面向管理员提供流量图式、趋势预测、路由抖动等各种针对网络运行状况的统计分析数据,帮助运管人员监控和掌握骨干链路及关键资源的运行情况。
在防护对象方面,与传统安全设备相比,NTA的保护目标不再局限于如内网安全域、关键服务器等有形资产,而是将更加关注于网络使用效率、服务质量保证为代表的无形资产。
我们能做什么
对整个本地区域、子区域、路由器、具体的路由器接口、具体的资源等对象的带宽进行分析,让管理员对整个复杂网络的运行状态和健康程度有直观的认识。
允许通过复杂的组合条件定义超过512个网络对象,在对每个对象进行独立分析的基础上,再进行整合分析:
此对象在整体带宽中所占的百分比?
流量构成都是哪些?
细粒度的流量流向分析:
流量从哪里来(AS域/运营商/国家/省份),到哪里去,什么时候最活跃,不同时间段的业务差异,以及用户关注度。
基于BGP的路由分析,监控整个网络中路由的变化趋势,发现可能的BGP路由劫持的威胁。
针对骨干网中的路由优化:
发现网络热点问题,记录网络中路由的变化情况。
形成流量的正常变化“基线”,准确描述流量增减趋势。
及时发现和应对突发的安全事件,如突发的大规模分布式拒绝服务攻击。
NTA核心技术优势
传统防护分析手段的局限
传统的监测和防护手段主要包括SNMP、串行保护、分光技术、交换机镜像等,随着网络规模的扩大,人们对流量分析的细粒度要求越来越高,这些技术的缺点和局限性逐渐显现出来,已经无法满足目前高带宽,精细力度分析的需求。
如基于SNMP协议对设备接口流量进行统计的方式,只能提供诸如带宽利用率等粗粒度的统计指标,用户无法获得带宽利用的具体细节,无法掌握客户应用对带宽使用的信息,无法获知异常带宽的产生原因等等。
而基于真实包数据的串行防护和旁路(如分光和镜像)的IDS/IPS类设备,在迅速增长的网络带宽面前也有些力不从心,虽然借助集群技术可以解决部分问题,但是同时带来的巨大成本压力,也直接导致了继续扩容的投入产出比下降。
综上来说,继续使用传统的流量分析技术已经远远不能满足当前业务发展、网络建设、安全管理以及灵活计费的要求,急需采用一些新的技术来解决这类问题。
成熟的分析手段——FLOW技术
伴随着传统分析监测手段的逐渐落伍,一种新的技术——Flow技术应运而生。
Flow技术主要是基于“流”的概念,一个流是指来自相同的设备接口、有相同的源和目的IP地址、协议类型、相同的源和目的协议端口号、以及相同TOS(TypeofServices,服务类型)的报文。
具备Flow特性的设备可以把各个流的统计信息不加额外处理,直接封包输出;也可以把多个具有相同特征的流信息聚合成一条记录,再封包输出。
Flow技术在产生之初,就是定位于在“大网”的环境下应用,Flow分析中的网络流(NetworkFlow)通常被定义为给定源节点和目的节点之间传输的单向数据包/帧序列。
通常,网络设备(3层交换机、路由器等)本身提供了基于IP包头的分析功能,负责网络流数据的分析和整理,按照一定的条件和定义良好的数据格式向流采集器(FlowCollector)输出数据,然后再由相关的软件将采集到的流数据进行整理、分析和客户端展现。
这种方法具有价格低廉、部署和配置方便的特点,可适应长期的、大流量环境下的数据采集和分析。
最近,IETF的技术人员正在制订IPFIX(IPFlowInformationExport)规范,使得网络中流量统计信息的格式趋于标准化。
IPFIX基于Cisco的NetFlowV9设计,是一种针对数据输出的、基于模板的格式,具有很强的可扩展性。
但是,在一些需要应用协议识别、应用协议分析以及用户行为分析的场景下,Flow技术由于不具备四层以上的分析能力,无法完全满足实际的需要。
为此,日讯科技提出了多种技术手段相结合的解决方案——IAE©,将在下面的章节做详细的阐述。
日讯科技独创的复合分析引擎技术IAE©
不同的采集技术在处理效率、检测精度和数据负荷等方面存在巨大差异,如Flow技术能够面向数百G以上流量提供整体上的流量分析与监测,镜像和分光可针对千兆级别带宽进行逐比特的特征匹配和文本比对,SNMP可以在网络设备接口层面进行流量快照,而BGP协议提供了整个Internet的传输路径,可以提供基于AS/运营商的流量流向分析。
如何有效的在各种技术之间取长避短、并充分发挥多种技术的复合优势,NTA为此提供了集中化的逻辑实现。
日讯科技独创的复合分析引擎技术——IAE©(IntegratedAnalysisEngine),将多种成熟的技术有机的结合起来,在流量流向方面主要采用Flow技术,在协议识别和分析方面使用DPI技术,同时配合SNMP技术和BGP路由协议分析技术,不仅能够促进“面—线—点”各层面之间分阶段逐级检测思路的实现,保持高带宽流量分析性能和应用级检测深度的高度统一,同时还提高了系统针对异常流量做出抑制响应动作的时效性和自动化程度,大幅度降低同类其他设备所必需的人工介入负担。
日讯科技NTA系统采用的复合分析引擎IAE©具备以下的优势:
包含信息丰富,非常适合于网络分析,可适应长期、大流量环境下的数据采集和分析。
可以形象化的表示单个路由器和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决能力,同时可以获知不同类型应用的带宽占用情况。
例如,网络管理员可以查看Web、文件传输协议(FTP)、Telnet和其它著名的TCP/IP应用所占通信量的百分比。
Internet内容和服务提供商可以根据这些信息来规划和分配网络资源以满足用户需求,还能帮助运营商获得用户利用网络和应用资源的详细情况,进而用于高效的规划和分配资源,并保障网络的安全运营。
具有价格低廉、部署和配置方便的特点,Flow和SNMP技术不需要其他硬件流量设备的支持,开启和关闭都非常方便,因此在国外已有很多运营商用来收集流量,服务于网络规划、设计和优化等领域。
传统的安全解决方案不能定位攻击的来源,只能被动防御,日讯科技独创的IAE©技术可以清晰的定位攻击的源地址,目的地址,以及从哪个路由器的物理接口进来,从哪个物理接口出去,这样可以在物理接口上配置ACL,适时的切断蠕虫或DDoS的流量,进而保护整个网络不受影响。
长期在线的细粒度分析,可以指导网络流量分析及容量规划。
经过长时间的数据采集,可以了解整体网络流量和重要应用带宽的占用状况及其变化趋势,为今后的网络规划和升级提供决策参考。
方便用于流量计费,复合分析引擎可实现多种计费方式,如基于流量、不同的时间段、QoS(QualityofService,服务质量)、应用类型、自治域计费等。
通过对大客户接入链路上的流量进行分析,可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数,同时为基于IP的计费应用和SLA的校验服务提供数据依据。
结合边界网关协议(BGP)路由信息,可以更加精确的分析路由信息和互联流量的自治域(AS)属性和路径(AS-Path)属性。
通过对与其他网络互联流量的监控,分析网络内部用户访问其他外部网络的业务特点和主要流量的去向,准确掌握内部用户对外网的兴趣点,找到最多应用的热点信息内容。
根据分析结果进行相应网络内容服务的建设,将用户感兴趣的热点信息内容放到内部网络,减轻互联链路的压力。
安全监测特性,DPI技术在分析包头的基础上,增加了对应用层的分析,当IP数据包、TCP或UDP数据流经过基于DPI技术的设备时,系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,这样可以有效的发现应用层的漏洞利用等攻击手段,并识别因为隧道、加密等方式伪造各类业务的情况。
根据采集的多种数据,可综合利用模式匹配、基线分析等手段,进行DoS/DDoS攻击和蠕虫病毒检测,从而快速定位网络中的异常行为。
解决方案特性
大型网络三级部署
网络环境:
电信运营商IP骨干网或能源、电力、金融等行业纵向网络。
方案简述:
采用“1+N+N”模式,通过多台Collector设备对分布在不同位置的各类网络设备进行流量分析,采集包括SNMP、Flow、BGP路由信息、原始数据包等信息,构建分布式的流量监控体系,并依靠Controller和Console实现对全局所有流量数据的汇总监测与分析呈报。
移动通信业务系统部署
适用环境:
移动通信业务网络。
方案简述:
将Gn、Gi、WAPSP、MM1/3/4/7接口数据进行镜像,并接入NTA系统。
通过对获取的报文进行解析、重组、统计分析,实现多种移动业务的评估、分析及优化。
集中资源部署
网络环境:
运营商省/地市出口,行业用户的边界出口。
方案简述:
根据实际带宽,部署一台或多台NTA,对本地区域与外部网络的流量进行监控和分析,并及时发现可能的网络异常流量,自动采取抑制措施对流量进行干预。
产品功能
基于流量分析的网络智能优化
NTA可以精确分析本地网与Internet、本地网内部之间的流量传递路径,管理员可以清晰的查看到每条路径的流量构成,针对网络中的“热点”路径具备直观的认知手段。
同时根据对“热点”的协议、IP、会话排名等结果,及时调整网络结构,合理的对网络资源进行分配,保证某些优质业务和重点大客户的用户体验,减少“低质量”业务以及“非法”业务对网络资源的滥用行为。
NTA系统可以获取一段时期内网络的变化趋势,协助规划是否需要扩容设备、端口以及提供更高带宽的接口,还包括提供升级计划、路由规划等。
能够帮助节省网络维护成本,最大限度的提高网络的性能、容量以及可靠性。
网络规划必须建立在长期数据收集以及趋势分析的基础上的,才能在海量的数据中提取出最有价值的信息。
BGP安全监控机制
NTA可以对eBGP或iBGP邻居的更新信息进行监控统计,一旦更新的信息有异常的变化,或侦测出BGP路由劫持的状况,系统便会依据统计分析的结果,对使用者发送告警通知,并提供实时和历史的统计分析资料作为路由管理的依据。
NTA支持BGP4协议,并支持TCPMD5加密保护。
根据“基线”预测算法的异常监测
内建的异常流量监测模型,可以针对大型网络提供有效的异常流量监测,不仅能及时的侦测来自网内及网外的网络攻击、DoS/DDoS、路由的不正常状态等等,还能有效的定位出可能的攻击来源及被攻击端,并且对确认的异常流量做出ACL命令、黑洞路由、流量限速的建议。
在威胁行为对网络的正常服务造成巨大的危害之前,及时通知网络运维人员做适当的处置,以防止灾害的形成和扩散。
定位异常流量真实源头的地址回溯
NTA会实时采集路由器、交换机的SNMP信息,并经过合并处理之后保存在自带的数据库中。
其中记录了IP地址、MAC地址、所在的VLAN、所在的交换机的物理接口号、主机名等信息;同时对于无法获取信息的外网地址,还内置了“whois”查询工具,直接显示出外网地址所在国家和地区,以及是否绑定国际域名等信息。
当网络中出现可疑流量的时候,管理员可以借助地址定位模块,迅速定位到交换机的物理接口,采取临时断线、速率限制等手段来缓解威胁。
由于TCP/IP协议本身的漏洞,攻击者经常会伪造大量的IP地址进行攻击,面对此类攻击单单依靠IP地址的地域定位无法找到真实的攻击源头。
比如攻击者可能利用位于联通网络内的“肉鸡”,伪造成电信的源IP地址发动DDoS攻击,这会让管理员无法定位到流量是从哪个互联线路流入的。
日讯科技NTA可以通过数据深度挖掘,还原出攻击流量在网络中的真实传播路径,而不依赖于源地址的真实性。
针对来自外部的攻击,NTA可以定位到最接近攻击源的网络边界,以及流量在本地的传播路径——“从哪个路由器的哪些接口流入,流经了哪些路由器,最终流入了哪个接入链路”;针对由本地网络发起的攻击,NTA可以直接定位到攻击源是从哪个接入路由器的哪个接口发出的。
深度协议分析
日讯科技NTA内置DPI协议识别引擎,能够提供高效率DPI深度检测,快速识别应用协议,并针对协议识别结果,生成详细的图文报表,展现特定对象的出/入流量和各协议(组)所占的百分比。
并且,协议识别引擎识别的协议类型,可以作为一个条件,提供给如自定义条件报表,自定义流量监控等其他模块,来产生细粒度的报表或进行流量监控。
如具备更细粒度的应用层协议分析需求,可以选配日讯科技NTA上网行为分析模块,对各类应用协议进行深层的分析,包括基于协议内容的“热点”定位,多种协议的解码和内容恢复等。
值得一提的是,上网行为分析模块对移动通信相关业务的协议也提供准确的分析,涵盖了WAP、彩信、WLAN、手机报等业务。
通过对“热点”问题以及各项业务成功率的分析,运营商可以进行有针对性的主题优化,迅速定位问题,提高自身的整体服务质量。
.
DNS监控
DNS服务器作为重要的Internet基础设施,它的安全直接关系到海量互联网用户的上网体验,而且一旦出现安全事件,造成的影响和损失也将难以估量。
如国内09年的“5.19”事件,导致了大面积的电信用户无法使用网络,这已经给我们敲响了警钟,DNS服务的安全性应该得到足够的重视,并采用切实有效的手段降低和避免可能的安全威胁。
日讯科技NTA系统针对DNS服务,提供专业的分析手段,对DNS请求和应答做基于7层的分析,从查询次数、查询频率、响应时间、流量占用、IP地址排名、域名排名等方面给出详细的报表,并提供历史数据的细粒度查询,为问题定位和缓解异常提供准确的数据依据。
同时针对不同的报表,NTA还采用固定阈值或动态基线的方式,对报表变化趋势进行监控,可以及时发现DNS应用的异常情况,并产生告警。
NTA系统还提供实时性能监控的手段,掌握服务器的性能变化趋势,在服务器资源占用异常的情况下,自动告警并通知给管理员。
分布式的多层系统结构
日讯科技NTA体系结构支持2层和3层化结构,存在多个设备的情况下由核心控制器进行统一管理和配置,并实现数据关联,无须对多个设备实现单独的授权和管理。
这种“分布式部署,集中式管理”的架构,能够大范围的采集到网络中的流量信息,又能简化流量分析系统的管理和配置,同时在关键节点,可以采用冗余部署的方式提高系统的稳定性和健壮性。
实用的数据查询工具
某些时候,管理员并不能将所有的对象预先定义出来,比如一些之前未知的攻击方式,或者是一些新扩容还没有来得及添加的地址段等。
在这种没有显式的定义对象的情况下,NTA仍然可以利用其提供的强大的数据查询工具,对未知对象进行分析。
NTA提供一套同类产品中功能最完善的数据查询工具包,可以提供SQL语句级别的条件式检索,可以支持相当复杂的多条件组合查询方式,结果以图形和列表的方式进行展现。
细致完备的内建报表
日讯科技NTA提供丰富的内建报表,采用图形、列表等形式对网络链路流量分布进行精确描述,不需复杂设定便可轻松获取各类报表信息。
纵向层面:
提供本地区域、路由器(组)、路由接口(组)、路由下一条、源发/相邻AS号、IP地域(国家/省/运营商)、子区域(组)、客户网(组)等多种用户不同层面的常规对象,生成分类别的统计分析、对比/排序等报告;
横向层面:
涵盖整体流量、传输协议、应用协议、TOS、封包大小、IP(PeerIP)等各类属性,按照流量(bps)、包速率(pps)、会话速率(fps)的单位进行展现。
弹性化的自定义报表
NTA允许对Flow中的原始项、BGP路由的替换项、处理之后的结果项(如协议识别的结果)进行自由组合,配合复合的逐级匹配引擎,对某些常规报表无法表述的网络对象进行分析,不仅仅包含了流量(bps)、包速率(pps)、会话速率(fps)的分析,还包括自定义条件的TOPTalker报表。
高效稳定的异常流量清洗模块
多时候,面对大规模的DDoS流量,在监测设备发现异常之后,依靠一般的防御手段并不能达到一个令人满意的防御效果。
如黑洞路由会导致被攻击的目标暂时在网络中“消失”,ACL的方式在某些路由器上会带来较大的性能损耗,并受到条目数的限制。
这时候用户急需一种专业的对抗与防御设备,一方面具备异常流量清洗功能,能够将夹杂在正常应用中的DDoS攻击等异常流量过滤掉,令一方面又具备良好的适用性和稳定性,能满足用户多样复杂的网络接入条件。
具备此类需求的用户,可以选择日讯科技NTA系统的异常流量清洗模块来完成异常流量的防御,清洗
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NTAv117 WP