网络流量处理解决方案

东软NetEye网络流量处理解决方案Copyright2008ByNeusoftGroup.Allrightsreserved网络流量处理解决方案全文共50页，当前为第1页。我们将了解到所谓处理：检测和响应NTARSv2.0产品特性介绍NTPGv2.0产品特性介绍解决方案典型应用场景网络流量处理解决方案全文共50页，当前为第2页。Part1所谓处理：检测和响应网络流量处理解决方案全文共50页，当前为第3页。方案要素

网络流量处理解决方案全文共50页，当前为第4页。市场定位

所谓高端网络，指的就是以提供网络骨干传输为主导业务的承载类网络，如运营商承载网、地市级以上城域网、高等院校校园网和大型行业性网络等。在接入用户网络常见拓扑中，一般都会将之放在最上端，并且用云团简单表示高端网络不直接面向桌面系统提供服务，而是面向客户整体网络提供统一的宽带接入高端网络一般没有显著的计算资源存在高端网络是Internet概念的主要实现载体，是各接入客户网络云团之间的唯一互联路径ISP1#ISP2#ISPn#高端网络接入用户网络流量处理解决方案全文共50页，当前为第5页。网络中的点、线、面

“枪挑一条线，棍扫一大片”，设备应用因其角色而异“点”设备：Anti-Virus、PersonalFirewall“线”设备：FW、NTPG、IPS、UTM、VPN“面”设备：合格的SOC、还有我们的NTARS网络流量处理解决方案全文共50页，当前为第6页。传统的工作面

观测设备运行状态检查系统配置文件分析现行路由信息留意链路负载变化然后……忍受大客户的抱怨！网络流量处理解决方案全文共50页，当前为第7页。问题的症结所在

视角不同客户相信其所看到的，运维人员相信其所做到的关注点不同：客户关注最终的服务质量，运维人员关注设备平稳运行权责范围不同客户有权得到符合合同要求的服务质量，运维人员则必须在己方范围内独立实现该承诺，然而却无法对客户网络提出额外要求。网络流量处理解决方案全文共50页，当前为第8页。在面上，应该做些什么？

确定“点”的定义归纳“线”的特征以“面”来包容所有的“点”与“线”对所有的“点”与“线”加载安全策略网络流量处理解决方案全文共50页，当前为第9页。Internet流量分析行为检测特征匹配合规检查服务保证关键业务桌面系统用户服务质量订购自适应约束指令网络流量处理解决方案全文共50页，当前为第10页。Part2NTARSv2.0产品介绍网络流量处理解决方案全文共50页，当前为第11页。NetworkTraffic

Analyse&ResponseSystem

——网络流量分析与响应系统NTARS定位于骨干网络流量图式的检测分析，通过对链路流量特征信息的提取、建模，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件的发生，进而驱动响应系统进行阻断防御。同时，NTARS系统面向管理员提供流量图式、趋势预测、路由抖动等各种针对骨干网络运行状况的统计分析数据，帮助运管人员监控和掌握骨干链路及关键资源的运行情况。请注意我名字中的“R”网络流量处理解决方案全文共50页，当前为第12页。NTARS系统结构

收集器(Collector)：主要完成流量收集及特征提取/建模两部分职能。该部分属于系统的低层模块，是系统面向网元设备的接口单元并进行数据上收和格式转换、特征提取等预处理操作，处理逻辑较为简单。该部分对系统整体的影响主要反映在协议支持数量和处理性能两方面；控制器(Controller)：主要完成模式分析、策略响应并最终提供人机交互GUI界面。控制器Controller是异常流量分析系统中逻辑运算高度集中的单元部分，在收集器上报数据的基础上进行行为判别及智能响应职能。该部分对系统整体的影响主要存在于行为判别准确性、策略响应AI机制和人机交互友好程度几个方面。网络流量处理解决方案全文共50页，当前为第13页。NTARS技术原理

网络流量处理解决方案全文共50页，当前为第14页。NTARS的万国护照

旁路式的检测系统，保护原有网络的稳定性兼容各类高速链路(如POS、万兆以太等)的数据采集技术灵活、无损的数据采样技术，可灵活适应网络扩展需求保持海量处理性能，却颇具应用层DI深度检测能力ICA智能调度，可对异常流量自动作出实质性抑制网络流量处理解决方案全文共50页，当前为第15页。广泛的检测范围覆盖

采集方式支持品牌常用版本备注NetFlowCiscoV1、V5、V7、V8、V9应用最广sFlowFoundry、Alcatel、Extreme等V4、V5描述能力强CFlowdJuniperV5、V8厂商专属NetStream华为V5、V8、V9与NetFlow较为类似IPFIXIETF标准规范RFC3917以NetFlowv9为蓝本SNMPAlmostAllRFC1213/2011~2013提取系统状态信息SPANAlmostAll因产品而异获取原始报文TAP/分光AlmostAll与产品无关获取原始报文动态路由AlmostAllBGPv4、OSPF/RIP路由导出及注入CLIAlmostAllRS-232、Telnet深度介入操作网络流量处理解决方案全文共50页，当前为第16页。智能的ICA复合机制

网络流量处理解决方案全文共50页，当前为第17页。详尽的流量流向分析

网络流量处理解决方案全文共50页，当前为第18页。高效率的特征沉降加速

TFLD©物理介质应用层特征匹配格式化检测加速网络流量处理解决方案全文共50页，当前为第19页。自学习的动态基线调整“浪”型流量一般具备相对稳定的“平均水位”和较为清晰的波峰波谷界定，其对网络整体服务质量的影响是短暂的，比较适合固定基线和传统动态基线的工作；然而，“涌”型流量却呈现长周期、慢增长、低曲率、大振幅等特点，无法通过固定基线及传统动态基线予以识别，却能够对网络服务质量造成长期、广泛的危害。对此，NTARS系统采用了由东北大学、东软信息学院和NetEye网络安全实验室持续多年的联合研究成果，实现了多种网络流量趋势预测算法，能够通过对未知特征的网络流量进行一定周期的采样分析后，自动完成对该部分流量的图式建模和基线描述，并持续跟踪实际流量的变化曲率而对基线进行动态调整，从而保证了NTARS系统对于网络流量演变趋势的自学习能力，能够有效避免随机杂波的偶发干扰、显著提高系统检测命中率。网络流量处理解决方案全文共50页，当前为第20页。应用层深度检测能力

在DDOS攻击之外，还可识别各种应用层攻击方式，如：缓冲区溢出、权限提升…常用应用协议的内容恢复，如http、telnet、smtp、pop3、msnSPAM检测：统计分析蠕虫检测：病毒特征库网络流量处理解决方案全文共50页，当前为第21页。对增值业务的支持

以较低的投入成本，向全部客户提供全面服务；集中身份鉴权和粒度化的功能划分，便于向客户提供定向、定量的增值业务销售；为每个客户提供可定制的安全防护能力，客户可根据己方业务特点自行设置安全策略；为每个客户提供其所得到的服务质量的履行情况分析报告，增强服务质量的量化分析能力；为每个客户提供专门的访问接入界面，客户可在访问权限范围内获得对各类分析数据的直接读写控制，保证数据的真实性和透明度。网络流量处理解决方案全文共50页，当前为第22页。IDC流量监控为用户带来直接的增值业务以较低的投入成本，向全部客户提供全面服务；集中身份鉴权和粒度化的功能划分，便于向客户提供定向、定量的增值业务销售；为每个客户提供可定制的安全防护能力，客户可根据己方业务特点自行设置安全策略；为每个客户提供其所得到的服务质量的履行情况分析报告，增强服务质量的量化分析能力；为每个客户提供专门独立的登录界面，客户可在访问权限范围内获得对各类分析数据的直接读写控制，保证数据的真实性和透明度。网络流量处理解决方案全文共50页，当前为第23页。客户独立的访问界面

IDC流量监控平台，在提供全局的异常流量分析以及保障服务质量的同时，可以通过细致的用户管理权限划分，给客户提供额外的增值服务功能，分配给客户相关服务器或网段地址的数据分析查看的权限，客户可登陆到相应的独立界面进行管理以及查看相关服务器或网段的流量情况。网络流量处理解决方案全文共50页，当前为第24页。提供详细的长期流量监测IDC流量监控平台系统可在管理员指定范围内生成总流量、特定协议/应用流量、包大小分布等统计报表，并可设置不同时间周期，如最近五分钟的实时数据、任意小时/日/周/月/季度/年或自定义时段的统计数据等。统计结果包括平均值、最大值、最小值、基线值等各项指标，能够以曲线图、饼状图或列表格式显示，并提供Excel、XML等格式进行导出。IDC流量监控平台支持管理员进行报表定制，无论是报表固定模板还是管理员定制报表都可进行定期自动生成并发送。IDC流量监控平台系统报表模块支持饼状图、柱状图、曲线图、数据列表等多种方式，并可导出为Excel、XML等通用格式。网络流量处理解决方案全文共50页，当前为第25页。提供实时流量检测IDC流量监控平台系统可在管理员指定范围内为客户提供实时流量检测：根据传输协议（如：TCP/UDP）进行实时流量检测；根据应用协议（如：TCP80端口，UDP137端口）进行实时流量检测；根据TOS种类进行实时流量检测；根据链路帧封包大小进行实时流量检测；根据源IP地址进行实时流量检测；根据目标IP地址进行实时流量检测；网络流量处理解决方案全文共50页，当前为第26页。为客户提供异常流量检测IDC流量监控平台可对实时流量和异常流量进行监控以及分析，对流量进行控制的前提是正确提取当前网络流量中被认为异常的那部分流量特征，并通过源目的IP、协议号、端口号予以标识。IDC流量监控平台对异常流量的定义是自动学习的。众所周知的攻击行为可以通过IDC流量监控平台内置的并可实时更新的特征库进行描述，而其他隐蔽性比较强或未获得具体特征描述的网络滥用行为(如海量文件传输、新出现的DDoS攻击等)则由IDC流量监控平台根据不断调整的“正常流量图式模型”进行排查。网络流量处理解决方案全文共50页，当前为第27页。长时续航能力

流量分析报告自动生成与定向发送流量数据自动备份与空间维护能力流量抑制指令的ICA智能加载与撤销应用层深度分析的ICA智能调度外挂协同设备的ICA智能联动与回馈存储介质硬件化的容灾、扩容机制关键部件(如CPU、电源)冗余备份网络流量处理解决方案全文共50页，当前为第28页。自动化的响应机制

ICA智能调度自动溯源定位黑洞路由注入可疑流量牵引：引导流量接受进一步处理QoS调整及流量整形：优先满足关键业务需求网络流量处理解决方案全文共50页，当前为第29页。响应机制

之注入黑洞路由NTars可通过BGP或CLI命令行向路由器注入黑洞路由，使路由器直接抛弃可疑流量，既可对异常流量作出抑制又可避免对路由器效率的影响AS65500AS65000AS64500EBGPEBGPASD

路由注入C垃圾桶引导流量B

检测命中IBGP网络流量处理解决方案全文共50页，当前为第30页。响应机制

之流量牵引及净化NTars可通过BGP或CLI等方式向路由器注入策略路由，将可疑流量从正常路由路径中剥离出来并将之送入深度分析/过滤模块(如FW、IPS、NTPG)，净化后的流量将由过滤模块再次送入正常路由路径中AS65500AS65000AS64500EBGPEBGPASD

路由注入C专项过滤设备引导流量B

检测命中IBGP净化流量网络流量处理解决方案全文共50页，当前为第31页。响应机制

之调整ACL/TrafficshapingNTars可自动调整路由器的ACL或流量整形策略，使主要业务应用优先得到带宽资源AS65500AS65000AS64500EBGPEBGPASD

策略调整CB

检测命中IBGP网络流量处理解决方案全文共50页，当前为第32页。产品型号分布

产品型号基本配置市场定位NTARS60001U，30,000records/s3*10/100/1000Base_Tx单电源供电企业级用户NTARS65002U，60,000records/s4*10/100/1000Base_Tx1+1冗余电源供电IDC数据中心NTARS68002U，100,000records/s4*10/100/1000Base_Tx2+1冗余电源供电运营级骨干NTARS88002U，150,000records/s4*10/100/1000Base_Tx2+1冗余电源供电运营级骨干NTARS-Collector1U，30,000records/s3*10/100/1000Base_Tx单电源供电单收集器ExtendedDataModuleRAID0/1/5/10/01,300G~1.2TFor6500andabove网络流量处理解决方案全文共50页，当前为第33页。NTARS产品优势

与主要竞争对手相比，NTARS首先是安全设备。竞争对手大多属于流量分析仪表；在流量抽样统计分析基础上，NTARS具备深度检测功能。由于很多网络资源滥用行为(如P2P通信)无法通过Flow得以详细描述，因此NTARS提供了应用协议深层检测模块，并可由ICA进行驱动调节，按需启动协议分析、内容过滤、报文还原等操作，既可保证流量分析范围的横向幅度，又可实现关键流量检测的纵向深度，从而达到处理能力与分析深度的协调统一；NTARS兼顾了对网元设备的监控分析。在图论中，节点与连线均为构成一个图的基本元素，对于网络拓扑同样如此。网络整体性能完全取决于构成这张拓扑图的“节点元素”(网元设备)和“连线元素”(物理链路)，片面地对某单一元素的检测分析都无法得出当前网络真实的状态。因此，NTARS把链路流量图式和网元设备状态同时纳入系统分析基础数据库中并进行高度关联分析，不仅能够大幅度提高流量分析结果的准确率，而且还可直接对异常流量进行抑制响应；增加更具实际意义的响应手段。分析报告生成几乎是竞争对手的主要数据输出方式，但网络管理员几乎没有足够的时间对那些流水帐进行一一分析并作出合理修正。NTARS通过ICA机制一举扭转了这种“不作为”的局面，能够自动对异常行为作出智能响应以快速缓解异常流量造成的后果，如自动调整路由设备ACL/防火墙过滤策略/交换设备端口接入控制(NAC)、诱导异常流量进入应用检测/DDOS防护/病毒过滤等针对性功能单元，可大幅度降低管理员作业负担并提高系统防护力度。针对运营级骨干网络环境，NTARS流量分析与响应系统从网络安全防护体系和网络运行维护体系两个层面双管齐下，综合运用网络安全技术和管理维护技术的互补优势，直接面向高度网络运行维护实际需求，是运营网络为最大程度实现客户服务质量承诺条款的有利支撑工具。网络流量处理解决方案全文共50页，当前为第34页。Part3NTPGv2.0产品介绍网络流量处理解决方案全文共50页，当前为第35页。NetworkTrafficPurifyingGateway

——网络流量净化网关NTPG网络流量净化网关，是面向骨干链路流量实时甄别、异常流量过滤的网关类设备，其主要设计用途在于对高带宽流量中夹杂的DDoS、蠕虫传播、协议滥用(如BT、Emule、MultiMedia等P2P通信)提供实时检测过滤，保证网络主导业务(如HTTP、Email、FTP等应用)所需带宽、延迟等各项服务质量指标的优先提供，为满足运营商、大型企业用户网络应用基本面的服务质量保证提供总体控制。我比防火墙快多了网络流量处理解决方案全文共50页，当前为第36页。NTPG系统结构

流量净化单元：流量净化单元是NTPG的主要功能实现载体，是NTPG对过往流量进行异常甄别、过滤净化的具体操作点，即可作为单独设备独立运行，又可成为流量分布处理矩阵的集成模块；负载分配单元：负载分配单元是NTPG面向高带宽链路提供的流量分配模块，其主要用途在于把高达数十G的海量带宽链路按照策略要求主动切割为多条子链路，从而为NTPG流量分布处理矩阵提供统一的流量入口。NTPG阵列原始路径网络流量处理解决方案全文共50页，当前为第37页。ASIC硬件加速硬件松耦合，软件紧耦合：东软自主产权；无OS设计：固化协议栈提供电路级吞吐性能，10Gbps；端口密度:2~10*GE(SFP);可支持10GE(XFP)端口；处理延迟:<30us；检测引擎：多级、树状，提供60K安全规则网络流量处理解决方案全文共50页，当前为第38页。树状检测引擎

执行机构：70%硬件，30%软件；检测效率：↑300%；RootLeaves网络流量处理解决方案全文共50页，当前为第39页。主要功能简介

防范DDoS：可发现并拦截各类Flooding类的DDoS攻击；流量流向分析：以源目的IP/协议/端口/带宽占用率/上下行速率差/并发会话等为条件，通过列表、图形等形式予以统计分析，可供管理员直观掌握链路流量走向及协议分布；QoS策略执行：能够根据IP、协议、端口等特征提供包括带宽限制、带宽保证、优先级在内的服务质量保证策略；应用业务识别：针对BT、eMule、eDonkey、PPLive、SIP、H.323、MultiMedia等P2P通信进行检测识别。网络流量处理解决方案全文共50页，当前为第40页。多维协同通道

与NTARS：NAP，指令下发、命中回馈；与MC：NAP，状态监控、流量分配；与NTPG：Heartbeat，状态监控、A-S选举；与路由器：BGP/CLI，流量引导、路由学习。网络流量处理解决方案全文共50页，当前为第41页。运营级适用性保证

专用ASIC板卡：无OS，2s启动时间；专用负载分配器：保护原有网络稳定性；端口适配性：GE/10GE，电/光；吞吐性能：2/4/10Gbpsfor64bytes；硬件Bypass：线路级、板卡级；伪串联部署方式：物理上呈现旁路方式，按需介入可疑流量转发路径。网络流量处理解决方案全文共50页，当前为第42页。产品型号分布

产品型号基本配置市场定位NTPG5001U，500Mbps2*10/100/1000Base_Tx企业级用户NTPG10002U，2Gbps2*10/100/1000Base_TxIDC数据中心NTPG21103U，2Gbps(64bytes)2*10/100/1000Base_TxIDC数据中心NTPG41103U，4Gbps(64bytes)4*10/100/1000Base_Tx运营级骨干NTPG1013010U，10Gbps(64bytes)2*10GE运营级骨干NTPG-MatrixController3U，10Gbps(64bytes)1*10GE+10*10/100/1000Base_Tx负载分配器网络流量处理解决方案全文共50页，当前为第43页。NTPG产品优势

重量级的自主产权硬件平台。10Gbps吞吐性能，10GE/10*GE端口配置；广阔的检测幅面。DDoS、网络攻击、应用业务识别、QoS策略执行，多头并进，覆盖防DDoS、FW、SI/SC多个功能角色；高效的集成方案。单机部署、双机热备(A-S/A-A)、多机堆叠、处理矩阵多种模式，并具备专门的负载分配单元以提供矩阵前端控制职能，同时能够通过NAP协议完成与NTARS系统的上下行协同；NTPG网络流量净化网关可广泛应用于运营级骨干链路检测、大中型企业网络边界防护、IDC流量净化等多个市场领域。网络流量处理解决方案全文共50页，当前为第44页。