瑞安科技

安全管理

存储管理

优化管理

视频会议

网络流量分析系统

产品简介

随着互联网服务的普及，网络上各个环节的带宽越来越大。国际出口的带宽以及国内运营商之间互联带宽都在成指数趋势增长。城域网的出口带宽大部分都超过了10Gbps，IDC的出口带宽很多也都超过5Gbps。不仅运营商网络带宽在不断扩充，很多行业与政府专网的带宽也有很大增加。伴随着带宽的增加，网络上的应用和业务也不断的丰富，如基于流媒体的音视频服务，基于MPLS的VPN业务等等。

网络基础建设及互联网业务迅速发展的同时，同时也存在很多的不和谐音符，网络的安全问题日益凸显，网络攻击的成本和技术门槛大幅下降，各种攻击和异常流量大量出现。在这种网络流量成分日益复杂，异常流量海量涌现的情况下，对网络流量进行深入分析，从而全面了解各类流量的分布以及变化趋势就势在必行了。

绿盟科技网络流量分析系统（NSFOCUS Network Traffic Analyst, 简称 NSFOCUS NTA）是一款基于流技术的骨干网流量分析产品，它作为绿盟科技品牌下的一个重要成员，主要功能包括异常流量检测和流量统计分析，能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。它既可以作为流量分析系统单独部署，也可作为异常流量检测产品与绿盟抗拒绝服务系统的Defender产品一起构成抗DDoS攻击的解决方案。

产品特性

先进的基线生成算法
由于异常检测指标的变化特征各不相同，为保证流量检测的准确性，流量分析系统中应采用不同的基线进行比对。NTA系统采用了两种不同的基线算法，一种是周期性基线，用来检验其变化趋势中明显带有周期性的流量指标，例如端口总流量，某种应用的总流量、某个IP群组的流量趋势；另一种是移动窗口基线，用来检测非周期变化的流量指标。基线值是根据一组历史流量数据利用加权平均和置信区间的算法得到的，超出可信范围的历史数据不参与基线的计算，从而保证了基线的有效性。

丰富的异常检测算法
NTA系统提供了多达17大类50余种检测指标，每一种检测指标都对应一种检测算法，能够全部覆盖骨干网上的各种异常流量的检测。利用这些检测算法，能够被准确检测到的网络异常流量包括以下７大类包括：

DDoS攻击
SYN Flood
UDP Flood
ICMP Flood
ACK Flood
DNS Query Flood
Http Get Flood
LAND Flood
IGMP Flood
TCP Flag NULL
TCP Flag误用
Protocol NULL
蠕虫事件
Code Red
硬盘杀手
SQL Slammer
冲击波
冲击波杀手
震荡波
邮件蠕虫
WinNuke攻击
网络误用
私有IP异常
Dark IP异常
流量超常
bps超常
pps超常
会话数超常
协议比例异常
TCP比例异常
UDP比例异常
ICMP比例异常
IGMP比例异常
流量分布异常
源地址分散度异常
目的地址分散度异常
端口分散度异常
P2P流量
BitTorrent
电驴
迅雷
pplive
P2P流量(未知应用)

灵活高效的检测
NTA系统的计算引擎采用框架加插件模式，这样就在结构上保证了系统的灵活性和高效性。在应用中，每一种或几种检测算法都对应一种插件，用户可根据自身的网络特征和业务特征加载最适当插件，另外，为方便不同类型的典型用户群，系统也提供一些预设的插件模板。例如在电信运营商的骨干网的运维工作中，对应用层攻击的关注程度就很低，而相反在IDC的环境中，对应用层攻击的关注就显得要重要的多，因此在这两类用户环境中，就可以灵活选择是否加载相应的检测插件。

强大的处理性能
NTA系统在设计时选用高性能硬件平台，同时优化计算引擎的底层算法，从而使得流量分析系统的处理性能最高可以达到每秒处理8万条流记录（flow）的能力，能够完全满足电信级骨干网的流量分析要求。

即插即用
NTA系统在设备上线以后，只需要非常简单的配置操作，即可生效运行。例如在配置监测IP地址范围时，不需要手工输入，系统可直接从路由交换设备的路由表中自动提取IP地址段的备选清单，而运维人员只需在备选清单中选择拟监测的IP地址段即可。类似的自动过程还有很多，比如系统可对IP地址段按照流量趋势的变化规律，自动聚合形成IP地址分类；再比如，路由器物理端口号与名称的对应关系的自动生成，等等。

资料下载

绿盟流量分析系统产品白皮书