数据安全加固 NPM/nTracker 网络流量行为监控系统的解决方案

 
数据安全加固工程 Network & Business Operation Performance Monitor

NPM/nTracker   网络流量行为监控系统 解决方案 适应于大型服务器网路和集群机站系统  数据中心及传输系统流量趋势分析 迎合电信/联通运维服务，证券系统，服务器机站，数据中心，科研机构和数据中心网络安全监管机构，可与防火墙及路由中继系统集成，全网络监控，数据跟踪，拥堵预警，链路跳转等

方案特点:

全网流量数据采集, 无需探针, 数据传输量微小

         保守计算公式: 实际物理流量每 10 Gbps,  产生流的带宽小于 4 Mbps

         10 Gbps 对应于: 2500 flow/second (1:500采样比) size=2500 * 200 * 8 = 4 Mbps

全网性能数据采集，无需探针，性能数据传输量微小

         保守计算公式: 500个拨测性能测量，数据传输量小于 50 Kbps

采用DFI(深度流检测)技术实现全网异常行为(包括攻击行为，如 DoS/DDoS,蠕虫等)监测及控制

与传统的基于数据包检测技术的异常检测(如: IDS/IPS)等对比而言，基于流的DFI检测异常行为技术，可以实现全

网范围内的异常检测，比较适合于运营商、大型网络的内网安全检测。

在技术层面上是互相补充和互动的关系，他们之间的互补能更好地解决用户网络安全检测问题。

但是由于技术实现手段及原理的不同，现在针对DFI和DPI技术实现异常行为检测的不同点，概述如下:

DFI由于采用流数据技术的行为检测，很容易实现全网范围，尤其是内网范围的网络异常行为检测，DPI技术

       主要基于数据包捕获技术进行解析数据包分析，这样在全网内部部署代价非常昂贵，且容易造成网络单点故障

       的可能性。

DPI技术采用基于会话的保存状态信息的异常检测方法由于现有网络流量的不断变大将逐步受到限制,并且网络

        结构的调整对其检测和部署影响非常大，而DFI技术基于流数据并且基于流量特征向量的检测，网络结构及环

       境的调整对其影响不大

核心业务运行流量的可视化、运行性能监控、运行性能故障定位

对业务传输中的问题以及损耗进行监控、监测、调试和定位及响应

业务传输实时性能

实时可视化监控关键业务运行:

业务运行路径性能监控，在线监控接入端到中心服务端每一跳性能，

如: 响应时间、时延、抖动、丢包

(2) 实时监测各客户端到中心服务端

session的性能，如: 响应时间、时延、

抖动

(3) 智能关联各客户端到中心服务端的

session流量，数据包等运行流量行为

(4) 多维精准定位故障及问题，如:

服务响应时间慢，系统自动关联运行

行为，精准定位到具体异常客户端

(5) 帮助用户把握核心运行性能趋势及

异常运行行为告警

提供“安全”&“高可用性”服务

 

Challenges

关键特征

 可以检测和缓解 (ACLs, BGP black holing, BGP flow spec, and fingerprint sharing) DDoS攻击,蠕虫病毒(ACLs), 恶意扫描(ACLs)等异常及攻击行为

   可以检测并手术式清洗网络层以及应用层攻击流量

   可以实时监测业务运行异常行为(基准线)

 提供高可用的用户管理接入界面

 为网络可视化和威胁管理提供同一管理平台和界面

收益

 降低用于检测和阻止那些影响基础网络并危害用户安全的DDoS,蠕虫等攻击的花费

 确保关键性业务以及应用的安全和高可用性

网络可视化分析

全网应用流量行为、客户上网行为分析:

流量分布、趋势、流入 / 流出、流向

 TOPN 排序、同比、环比、任意时间段

 关联比较 (如: 应用+客户+流向+带寛%)

 异常流量 (DDoS 攻击、非法扫描、病毒)

 全网业务运行性能, 业务状态, 关联资源状态

等关联分析:

核心业务应用流量分析,趋势

 业务应用TOPN 排序、同比、环比分析

 关联比较 (如: 应用+客户+流向+带寛%)

 关联资源分析

 业务性能及关联资源性能分析

应用场景示例

运营商

网络运营支撑中心 – 流量及性能分析(流量流向, 异常行为, 性能分析)

业务运营支撑中心 -  业务性能监控及安全加固

大中型企业

企业科技部门, 信息中心, 通信网络, 调度网络等

部署及规格说明

(1) 设备为专用硬件分析仪

(2) 设备在网络中旁路部署

(3) 安装条件,只要求IP可达

产品规格 nTracker 1000 nTracker 2000

网络数据处理性能1 10,000 flows/s 40,000 flows/s

系统内存 2GB DDR-II (400 ECC) 4GB DDR-II (400 ECC)

硬盘驱动器 160GB SCSI-II 320GB SCSI-II

磁盘阵列 可选项：支持 RAID 0, 1, 5 可选项：支持 RAID 0, 1, 5

网络接口 (NIC) 2 x Ethernet 10/100/1000Base-T 2 x Ethernet 10/100/1000Base-T

系统 Console RS-232 (DB-9) RS-232 (DB-9)

设备尺寸规格 重量： 重量：

 1U 高度/宽度/深度：

注：可安装于标准19吋或23吋机柜 2U 高度/宽度/深度：

注：可安装于标准19吋或23吋机柜

电源规格 1x 300W冗余电源, 支持热插拔

交流电压：100-240VAC 2x 560W冗余电源, 支持双电源

交流电压：100-240VAC

工作环境 环境温度：10到35℃ (50 to 95℉), 相对湿度：8到90% (Non-condensing) 

安全认证 UL Listed (USA), FCC 15, EN 60950/IEC 60950-Compliant, CUL Listed (Canada), TUV Certified (Germany), CE Marking (Europe) 

电磁干扰 EN 55024/CISPR 24, (EN 61000-4-2, EN 61000-4-3, EN 61000-4-4, EN 61000-4-5, EN 61000-4-6, EN 61000-4-8, EN 61000-4-11) 

射频干扰 FCC Class B, EN 55022 Class B, EN 61000-3-2/-3-3, CISPR 22 Class B 

Note:

网络数据处理性能为：系统每秒钟接收处理Netflow 包的性能。

产品规格 nTracker 4000 nTracker 8000

网络数据处理性能1 80,000 flows/s 120,000 flows/s

系统内存 8GB DDR-II (400 ECC) 16GB DDR-II (400 ECC)

硬盘驱动器 320GB SCSI-II 320GB SCSI-II

磁盘阵列 可选项：支持 RAID 0, 1, 5 可选项：支持 RAID 0, 1, 5

网络接口 (NIC) 2 x Ethernet 10/100/1000Base-T 2 x Ethernet 10/100/1000Base-T

系统 Console RS-232 (DB-9) RS-232 (DB-9)

设备尺寸规格 重量： 重量：

 2U 高度/宽度/深度：

注：可安装于标准19吋或23吋机柜 2U 高度/宽度/深度：

注：可安装于标准19吋或23吋机柜

电源规格 2x 560W冗余电源, 支持热插拔

交流电压：100-240VAC 2x 560W冗余电源, 支持双电源

交流电压：100-240VAC

工作环境 环境温度：10到35℃ (50 to 95℉), 相对湿度：8到90% (Non-condensing) 

安全认证 UL Listed (USA), FCC 15, EN 60950/IEC 60950-Compliant, CUL Listed (Canada), TUV Certified (Germany), CE Marking (Europe) 

电磁干扰 EN 55024/CISPR 24, (EN 61000-4-2, EN 61000-4-3, EN 61000-4-4, EN 61000-4-5, EN 61000-4-6, EN 61000-4-8, EN 61000-4-11) 

射频干扰 FCC Class B, EN 55022 Class B, EN 61000-3-2/-3-3, CISPR 22 Class B 

Note:

网络数据处理性能为：系统每秒钟接收处理Netflow 包的性能。

详情请见：

http://www.ccnee.net/idc/ntracker.pdf