Logo of NSFOCUS
English Version Chinese Version Japanese Version
产品与解决方案 专业服务 客户支持 安全研究 工作机会 关于我们
解决方案
安全产品
产品简介
随着互联网服务的普及,网络上各个环节的带宽越来越大。国际出口的带宽以及国内运营商之间互联带宽都在成指数趋势增长。城域网的出口带宽大部分都超过了10Gbps,IDC的出口带宽很多也都超过5Gbps。不仅运营商网络带宽在不断扩充,很多行业与政府专网的带宽也有很大增加。伴随着带宽的增加,网络上的应用和业务也不断的丰富,如基于流媒体的音视频服务,基于MPLS的VPN业务等等。

网络基础建设及互联网业务迅速发展的同时,同时也存在很多的不和谐音符,网络的安全问题日益凸显,网络攻击的成本和技术门槛大幅下降,各种攻击和异常流量大量出现。在这种网络流量成分日益复杂,异常流量海量涌现的情况下,对网络流量进行深入分析,从而全面了解各类流量的分布以及变化趋势就势在必行了。

绿盟科技网络流量分析系统(NSFOCUS Network Traffic Analyst, 简称 NSFOCUS NTA)是一款基于流技术的骨干网流量分析产品,它作为绿盟科技品牌下的一个重要成员,主要功能包括异常流量检测和流量统计分析,能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。它既可以作为流量分析系统单独部署,也可作为异常流量检测产品与绿盟抗拒绝服务系统的Defender产品一起构成抗DDoS攻击的解决方案。
 
产品特性
先进的基线生成算法

由于异常检测指标的变化特征各不相同,为保证流量检测的准确性,流量分析系统中应采用不同的基线进行比对。NTA系统采用了两种不同的基线算法,一种是周期性基线,用来检验其变化趋势中明显带有周期性的流量指标,例如端口总流量,某种应用的总流量、某个IP群组的流量趋势;另一种是移动窗口基线,用来检测非周期变化的流量指标。基线值是根据一组历史流量数据利用加权平均和置信区间的算法得到的,超出可信范围的历史数据不参与基线的计算,从而保证了基线的有效性。


丰富的异常检测算法

NTA系统提供了多达17大类50余种检测指标,每一种检测指标都对应一种检测算法,能够全部覆盖骨干网上的各种异常流量的检测。利用这些检测算法,能够被准确检测到的网络异常流量包括以下7大类包括:

  • DDoS攻击
    •  SYN Flood
    •  UDP Flood
    •  ICMP Flood
    •  ACK Flood
    •  DNS Query Flood
    •  Http Get Flood
    •  LAND Flood
    •  IGMP Flood
    •  TCP Flag NULL
    •  TCP Flag误用
    •  Protocol NULL
  • 蠕虫事件
    •  Code Red
    •  硬盘杀手
    •  SQL Slammer
    •  冲击波
    •  冲击波杀手
    •  震荡波
    •  邮件蠕虫
    •  WinNuke攻击
  • 网络误用
    •  私有IP异常
    •  Dark IP异常
  • 流量超常
    •  bps超常
    •  pps超常
    •  会话数超常
  • 协议比例异常
    •  TCP比例异常
    •  UDP比例异常
    •  ICMP比例异常
    •  IGMP比例异常
  • 流量分布异常
    •  源地址分散度异常
    •  目的地址分散度异常
    •  端口分散度异常
  • P2P流量
    •  BitTorrent
    •  电驴
    •  迅雷
    •  pplive
    •  P2P流量(未知应用)

灵活高效的检测

NTA系统的计算引擎采用框架加插件模式,这样就在结构上保证了系统的灵活性和高效性。在应用中,每一种或几种检测算法都对应一种插件,用户可根据自身的网络特征和业务特征加载最适当插件,另外,为方便不同类型的典型用户群,系统也提供一些预设的插件模板。例如在电信运营商的骨干网的运维工作中,对应用层攻击的关注程度就很低,而相反在IDC的环境中,对应用层攻击的关注就显得要重要的多,因此在这两类用户环境中,就可以灵活选择是否加载相应的检测插件。

强大的处理性能

NTA系统在设计时选用高性能硬件平台,同时优化计算引擎的底层算法,从而使得流量分析系统的处理性能最高可以达到每秒处理8万条流记录(flow)的能力,能够完全满足电信级骨干网的流量分析要求。

即插即用

NTA系统在设备上线以后,只需要非常简单的配置操作,即可生效运行。例如在配置监测IP地址范围时,不需要手工输入,系统可直接从路由交换设备的路由表中自动提取IP地址段的备选清单,而运维人员只需在备选清单中选择拟监测的IP地址段即可。类似的自动过程还有很多,比如系统可对IP地址段按照流量趋势的变化规律,自动聚合形成IP地址分类;再比如,路由器物理端口号与名称的对应关系的自动生成,等等。
 
产品功能
指标 Collapsar-NTA-SP2000
告警监控 实时显示告警图示及告警事件列表,点击某个告警事件,可详细显示该告警事件的具体细节。
流量分析 实时监控当前的流量,或给出时间范围回放流量的历史情况。从网络、路由器、端口、子网、IP群组等各种不同的角度透视网络上的流量。
设备监控 用SNMP采集到的设备运行状态信息和端口流量信息。以及流量分析设备接收到网元设备发出的flow数据包的情况。
统计报表 允许用户从界面选择一些报表生成条件,如时间范围,统计周期、报表类型、报表模板等,以非常灵活的方式生成报表。支持RTF、PDF、HTML、EXCEL格式的报表输出。
路由分析 通过分析路由消息和路由表信息,得到关于路由稳定性和合理性的结论。
运行配置 对系统的运行参数进行配置操作。系统运行参数包括:设备管理、引擎运行参数、自治域列表、告警配置、存储策略、流量群组、路由参数配置、检测IP配置、IP聚类配置、应用/端口配置、黑洞牵引配置。
系统管理 流量分析系统自身的管理操作,主要包括:用户管理、系统基本信息、网络配置、许可证管理、系统升级。
日志管理 允许进行详细的日志查询浏览操作。日志分为审计日志和牵引日志两类。审计日志记录的是系统上的历史操作。牵引日志记录的是NTA 设备向抗DDOS 设备发送的牵引建议的历史记录。
 
资料下载
绿盟流量分析系统产品白皮书
售前咨询
联系绿盟科技销售代表获得最近的销售代表联系信息请  点击此处
法律声明 联系我们 在线客服
  ©2010 绿盟科技京ICP备05004765号