NTAS NTA产品白皮书
2. NTA核心技术优势 2.1. 传统防护分析手段的局限 传统的监测和防护手段主要包括SNMP、串行保护、分光技术、交换机镜像等,随着网络规模的扩大,人们对流量分析的细粒度要求越来越高,这些技术的缺点和局限性逐渐显现出来,已经无法满足目前高带宽,精细力度分析的需求。
如基于SNMP协议对设备接口流量进行统计的方式,只能提供诸如带宽利用率等粗粒度的统计指标,用户无法获得带宽利用的具体细节,无法掌握客户应用对带宽使用的信息,无法获知异常带宽的产生原因等等。
而基于真实包数据的串行防护和旁路(如分光和镜像)的IDS/IPS类设备,在迅速增长的网络带宽面前也有些力不从心,虽然借助集群技术可以解决部分问题,但是同时带来的巨大成本压力,也直接导致了继续扩容的投入产出比下降。
综上来说,继续使用传统的流量分析技术已经远远不能满足当前业务发展、网络建设、安全管理以及灵活计费的要求,急需采用一些新的技术来解决这类问题。
2.2. 成熟的分析手段——FLOW技术
伴随着传统分析监测手段的逐渐落伍,一种新的技术——Flow技术应运而生。Flow技术主要是基于“流”的概念,一个流是指来自相同的设备接口、有相同的源和目的IP地址、协议类型、相同的源和目的协议端口号、以及相同TOS(Type of Services,服务类型)的报文。具备Flow特性的设备可以把各个流的统计信息不加额外处理,直接封包输出;也可以把多个具有相同特征的流信息聚合成一条记录,再封包输出。
Flow技术在产生之初,就是定位于在“大网”的环境下应用,Flow分析中的网络流(Network Flow)通常被定义为给定源节点和目的节点之间传输的单向数据包/帧序列。通常,网络设备(3层交换机、路由器等)本身提供了基于IP包头的分析功能,负责网络流数据的分析和整理,按照一定的条件和定义良好的数据格式向流采集器(Flow Collector)输出数据,然后再由相关的软件将采集到的流数据进行整理、分析和客户端展现。这种方法具有价格低廉、部署和配置方便的特点,可适应长期的、大流量环境下的数据采集和分析。最近,IETF的技术人
Rising Technology Co., Ltd.
http://www.unirst.com
Page 6 of 28
NTAS NTA产品白皮书
员正在制订IPFIX(IP Flow Information Export)规范,使得网络中流量统计信息的格式趋于标准化。IPFIX基于Cisco的NetFlow V9设计,是一种针对数据输出的、基于模板的格式,具有很强的可扩展性。
但是,在一些需要应用协议识别、应用协议分析以及用户行为分析的场景下,Flow技术由于不具备四层以上的分析能力,无法完全满足实际的需要。为此,日讯科技提出了多种技术手段相结合的解决方案——IAE?,将在下面的章节做详细的阐述。
2.3. 日讯科技独创的复合分析引擎技术IAE?
不同的采集技术在处理效率、检测精度和数据负荷等方面存在巨大差异,如Flow技术能够面向数百G以上流量提供整体上的流量分析与监测,镜像和分光可针对千兆级别带宽进行逐比特的特征匹配和文本比对,SNMP可以在网络设备接口层面进行流量快照,而BGP协议提供了整个Internet的传输路径,可以提供基于AS/运营商的流量流向分析。如何有效的在各种技术之间取长避短、并充分发挥多种技术的复合优势,NTA为此提供了集中化的逻辑实现。
日讯科技独创的复合分析引擎技术——IAE?(Integrated Analysis Engine),将多种成熟的技术有机的结合起来,在流量流向方面主要采用Flow技术,在协议识别和分析方面使用DPI技术,同时配合SNMP技术和BGP路由协议分析技术,不仅能够促进“面—线—点”各层面之间分阶段逐级检测思路的实现,保持高带宽流量分析性能和应用级检测深度的高度统一,同时还提高了系统针对异常流量做出抑制响应动作的时效性和自动化程度,大幅度降低同类其他设备所必需的人工介入负担。
Rising Technology
7/28
NTAS NTA产品白皮书
日讯科技NTA系统采用的复合分析引擎IAE ?具备以下的优势:
包含信息丰富,非常适合于网络分析,可适应长期、大流量环境下的数据采集和分析。可以形象化的表示单个路由器和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决能力,同时可以获知不同类型应用的带宽占用情况。例如,网络管理员可以查看Web、文件传输协议(FTP)、Telnet和其它著名的TCP/IP应用所占通信量的百分比。Internet内容和服务提供商可以根据这些信息来规划和分配网络资源以满足用户需求,还能帮助运营商获得用户利用网络和应用资源的详细情况,进而用于高效的规划和分配资源,并保障网络的安全运营。
具有价格低廉、部署和配置方便的特点,Flow和SNMP技术不需要其他硬件流量设备的支持,开启和关闭都非常方便,因此在国外已有很多运营商用来收集流量,服务于网络规划、设计和优化等领域。
传统的安全解决方案不能定位攻击的来源,只能被动防御,日讯科技独创的IAE ?技术可以清晰的定位攻击的源地址,目的地址,以及从哪个路由器的物理接口进来,从哪个物理接口出去,这样可以在物理接口上配置ACL,适时的切断蠕虫或DDoS的流量,进而保护整个网络不受影响。
长期在线的细粒度分析,可以指导网络流量分析及容量规划。经过长时间的数据采集,可以了解整体网络流量和重要应用带宽的占用状况及其变化趋势,为今后的网络规划和升级提供决策参考。
方便用于流量计费,复合分析引擎可实现多种计费方式,如基于流量、不同的时间段、QoS(Quality of Service,服务质量)、应用类型、自治域计费等。通过对大客户接入链路上的流量进行分析,可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数,同时为基于IP的计费应用和SLA的校验服务提供数据依据。
结合边界网关协议(BGP)路由信息,可以更加精确的分析路由信息和互联流量的自治域(AS)属性和路径(AS-Path)属性。通过对与其他网络互联流量的监控,分析网络内部用户访问其他外部网络的业务特点和主要流量的去向,准确掌握内部用户对外网的兴趣点,找到最多应用的热点信息内容。根据分析结果进行相应网络内容服务的建设,将用户感兴趣的热点信息内容放到内部网络,减轻互联链路的压力。
安全监测特性,DPI技术在分析包头的基础上,增加了对应用层的分析,当IP数据包、TCP或UDP数据流经过基于DPI技术的设备时,系统通过深入读取IP包
Rising Technology Co., Ltd.
http://www.unirst.com
Page 8 of 28
NTAS NTA产品白皮书
载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,这样可以有效的发现应用层的漏洞利用等攻击手段,并识别因为隧道、加密等方式伪造各类业务的情况。
根据采集的多种数据,可综合利用模式匹配、基线分析等手段,进行DoS/DDoS攻击和蠕虫病毒检测,从而快速定位网络中的异常行为。
Rising Technology 9/28
NTAS NTA产品白皮书
3. 解决方案特性 3.1. 大型网络三级部署
网络环境:电信运营商IP骨干网或能源、电力、金融等行业纵向网络。 方案简述:采用“1 + N + N”模式,通过多台Collector设备对分布在不同位置的各类网络设备进行流量分析,采集包括SNMP、Flow、BGP路由信息、原始数据包等信息,构建分布式的流量监控体系,并依靠Controller和Console实现对全局所有流量数据的汇总监测与分析呈报。
3.2. 移动通信业务系统部署
适用环境:移动通信业务网络。
Rising Technology Co., Ltd.
http://www.unirst.com
Page 10 of 28