《流量监测分析系统技术白皮书》由会员分享,可在线阅读,更多相关《流量监测分析系统技术白皮书(17页珍藏版)》请在金锄头文库上搜索。
1、目录一、前言2二、以业务应用为中心的监测分析技术32.1 需求背景32.2 反常流量分析系统简介42.3 系统架构与流程52.4 系统特点与优势5三、功能73.1 核心功能73.1.1 流量统计分析83.1.2 反常流量分析83.1.3 报警与追踪取证93.1.4 统计报表93.2 特色技术103.2.1 快速流量数据处理技术103.2.3 先进的流量分析技术113.2.3 敏捷高效的反常分析123.2.4 准时有效的处理机制123.2.5 智能的跟踪分析技术133.3 产品部署133.4 产品技术参数15四、硬件配置参数16五、总结17一、前言业务安全是政府和企业安全需求的核心;在信息化时代
2、, 越来越多的政府和企业业务由 网络化应用系统承载;我们就不难懂得,保证应用系统的安全稳固和高效运行是IT 治理部门的主要工作内容和目标;随着信息化工作的推动,越来越多的应用系统交叉部署于网络;从关键应用(如 PKI、基础资源库综合查询等) 、一般应用(如 OA系统等)到未批准的应用(如网络嬉戏、 P2P程序);未批准的应用对网络、服务器等基础设施资源的非受控使用导致网络系统鱼龙混杂、性能难以提高、资源铺张严峻; 并导致关键应用系统对基础设施的使用权被侵占,系统运行的稳固性和高效性难以保证,甚至故障频发;随着网络规模的扩大和复杂化,网络行为越来越复杂且不易掌握;对应用系统的网络拜访操作的合规性
3、难以得到保证,窃取、 破坏数据等攻击行犯难以被检测和发觉;政府和企业的业务安全受到严峻威逼;为保证应用系统的安全、稳固和高效运行,IT治理部门需要监测各个应用系统流量和网络行为, 精确把握各应用系统的底层网络状况和内部运行情形,进而评估应用系统的健康状况;当反常发生时,仍需要进行追踪审计、报警处理、联动阻断等进一步的操作;“反常流量监测分析系统”正是依据这些需求而设计;二、以业务应用为中心的监测分析技术2.1 需求背景应用系统是信息化时代政府和企业核心业务赖以开展的基础; 网络基础设施、 软硬件基础设施和安全基础设施都是为应用系统服务的; 为了安全、 稳固和高效地运行应用系统, IT 治理部门
4、也实行了各种治理手段,并投入了大量的运维工作;防火墙、 防病毒、 入侵检测等安全产品作为传统安全基础设施的主要组成部分,供应了网络边界的拜访掌握、病毒木马的查杀和一般性网络攻击行为的防范等功能,主要起到保证网络和软硬件基础设施的作用;但是, 要保证应用系统安全稳固运行,必需针对具体应用进 行安全配置, 对特定应用系统的网络拜访操作进行特定监测分析和合规性检查;这种超越网络层安全和物理层安全,面对应用的可定制化安全措施是保证业务应用安全的重要手段,也是目前的安全基础设施难以达到的层面;网管软件和流量分析治理软件专心于网络基础设施的运行状况;如通信线路的连通性、节点流量情形、以及各类协议在流量中的
5、分布等;而IT 治理部门关怀的重点在于:哪些流量属于哪些应用系统、哪些协议在哪个应用系统中使用、以及注册运行的应用系统在总带宽中占有多少比例、哪些带宽被未注册或不合规的流量占用等;这些正是传统网管系统和流量分析治理系统难以做到;在带宽和流量方面,IT治理部门仍期望把握各个应用系统流量的时间分布、节点分布等信息;入侵检测和入侵防范技术是依据通用策略库对网络上的数据模式和行为模式进行实时检测和报警的; 其策略库不针对应用系统,因此难以检测网络上对应用系统的各种网络拜访 操作的合规性;例如,针对数据库的UPDATE TABLE操作在 IDS/IPS看来是正常的,但是对于某些应用系统来说,数据库特定表
6、的更新操作是不合规的,这也是 IDS/IPS不能保证应用安全的实例;IT治理部门期望依据各应用系统的特点,对以应用系统为目标的网络拜访操作行为进行合规性检查,来确保应用系统及其关键数据的安全;2.2 反常流量分析系统简介“反常流量监测分析系统”作为安全基础设施的进一步延长和扩展,以应用系统为核心,监测和治理信息化基础设施资源(如网络带宽)的使用安排、流量分布与变化、网络拜访操作的合规性,日益显现其直接保证业务应用安全的重要作用;具体来讲,“反常流量监测与分析系统”主要起到以下作用: 保证应用系统的带宽使用;监测带宽等资源使用的合规性,区分流量带宽中的注册流量和非注册流量;通过流量识别, 以各应
7、用系统流量特点为依据对流量信息进行 分类归并,使流量带宽情形一目了然;具体包括:网络进出流量带宽中,注册的应用系统占了多少带宽?各个应用系统的带宽分别是多少?随时间变化规律如何?被违规使用的带宽占多少?是被谁使用的?等 对应用系统所属流量数据的细节信息进行连续性统计和对比分析,描画出各应用系统的正常流量轮廓,快速发觉流量反常变化情形;具体包括: 每个应用系统的流量细节如何?连接数、吞吐量、 连接时间等按客户端节点排名情形如何?每个应用系统流量的协议分布、节点分布、时间分布如何?等 对应用系统的网络拜访行为进行针对性监测,准时发觉网络中的反常拜访操作和攻击行为, 确保针对应用系统的网络使用和拜访
8、操作的合规性;如针对数据库治理系统( SQL SERVE、R Oracle 、MySQL、SYBAS)E 的各种SQL语句和关键数据表名、邮件发送及接收、WEB拜访、文件传输等操作进行检测; 追踪和审计反常网络行为, 供应报警处理、 报表等功能, 通过联动对网络反常行为进行阻断等进一步处理; 如反常数据操作的时间、 节点位置、 负责人等情形的追踪和报警,当月某应用系统的总体运行情形报告和健康状况评估报告等通过这些功能, IT 治理部门能够精确把握各应用系统的底层网络状况和内部运行情形, 对应用安全稳固运行可以做到心中有数,并可依据把握的情形对应用系统的底层网络和内部结构进行优化,提高运行效率,
9、最终达到保证应用系统的安全、稳固和高效运行的目标;2.3 系统架构与流程反常流量监测分析系统采纳监听方式从网络的中心节点收集流量信息,对各网络设备和节点的流量信息和网络行为进行连续性统计和对比分析,快速发觉流量中的吞吐量和连接数 等的反常变化、网络行为中的反常拜访操作和攻击操作,可追踪反常网络行为、进行安全审计,同时为治理员供应报警和处理功能,并可通过联动对网络反常行为进行阻断等进一步处理;系统架构如下列图:反常流量监测分析系统通过“设置、报警、追踪、取证、处理”五个步骤完成从一个反常的发觉到反常的处理完毕工作;其中,第一设置“关注主机”以及与之对应的基于业务应用的策略,依据策略当有反常流量发
10、生时就会“报警”,系统将引起“报警”的设备称之为 “嫌疑主机” ,然后对“嫌疑主机”通过“追踪取证”的工作,最终确定“嫌疑主机”引起反常情形的事实;这里“主机”的概念是一台拥有IP 地址的设备;具体工作流程如下图示所示:2.4 系统特点与优势由于采纳了以业务应用为核心的设计方法,相对于通用型的传统网络安全产品,反常流量监测分析系统具备针对应用进行安全配置、保证应用安全的特点;具体来说:1. 传统的安全产品采纳通用性设计,可以保证网络的基础安全,无法针对具体业务操作配置安全措施;的不同点在于, 可以针对应用系统特点进行针对性配置,如对指定数据的指定操作行为进行记录、报警2. IDS/IPS基于特
11、点的检测系统是依靠人为的预先设定报警规章和不间断的对样本的升级来实现的,其样本库是通用的,难以针对特定应用系统的特点而设置;可以在部署的第一步即依据用户实际运行的应用系统进行针对性配置,帮忙治理人员准时明白到网络的正常流量状况、应用系统的正常工作状态,并通过对比监测到网络中的反常流量 和攻击行为,及其导致的应用系统反常等3. 传统的安全设备运行规章可以简洁懂得为“是”或者“否”,例如典型的防火墙判定并发连接数规章是“上限1000”,高于 1000 的连接就是非法的连接;无法对在这之 间反常变化的情形做出记录或判定;可以连续跟踪网络的连接、流量,对网络的连接数、流量数量阶跃进行智能判定;如某个时
12、刻连接数突然从平均值50 跃升至 900,这种反常情形将被快速监测到;采纳反常流量监测分析系统,用户可以在以下方面获得收益:1. 精确把握网络运行概况、流量分布与变化、带宽使用情形等,定位网络瓶颈,优化网络使用,为带宽升级和网络规划供应牢靠依据;2. 各应用系统的流量轮廓,包括参加节点、协议、连接数、连接时间、吞吐量等,并通过对比分析评估应用系统的健康状况;3. 针对应用系统定义其敏锐的网络拜访操作行为,并进行监测分析,快速定位应用系统故障缘由和引发故障的源节点,准时解决应用系统运行故障;4. 对可疑网络节点的行为进行审计追踪,便于事后取证和分析;总之, 通过反常流量监测分析系统, 用户可以提
13、高网络运行效率, 保证关键业务系统和关键数据的安全性, 快速解决应用系统的运行故障并极大降低故障率, 延长平均无故障时间间隔;三、 功能3.1 核心功能反常流量监测分析系统便于治理员明白网络运行状况、关键服务器的拜访情形、网络反常情形等,是网络规划、网络治理和安全运营等工作的重要工具;功能包括:1. 连续性的流量统计与对比分析连续统计并储存全网流量、最高流量、 平均流量等; 依据需要查看当前和历史统计数据;2. 应用系统流量监测可针对关键应用系统进行流量重点监测;包括流量累计、流量阶跃、连接数、连接连续时间和拜访数五大类监测项目;如流量阶跃监测, 当被监测对象本周期内的流量达到上一周期的指定百
14、分比时系统自动产生一个报警;3. 应用系统网络行为监测针对关键应用系统进行网络行为重点监测;包括数据库操作行为监测和指定协议操作行为监测两大类;数据库操作行为监测可对带有指定关键字的指定数据库类型的指定操作进行监测,并在指定时间内该行为重复指定次数后进行报警;指定协议操作行为监测可对指定协议的带有指定关键字的操作行为进行监测,并在指定时间内该行为重复指定次数后进行报警;4. 反常行为追踪审计针对可疑或反常的网络行为, 系统可以对其进行解析、 重现和记录, 形成安全审计,供取证和备查; 可记录并重现数据库拜访、 邮件发送接收、 文件传输以及 WEB拜访等网络行为;5. 报警和处理针对反常流量和反常网络行为,系统可产生报警,并供应报警的审核、归类、处理和记录工具;紧急情形下的报警,系统可以通过邮件和短信实时发送给治理员;6. 网络攻击检测防范和联动处理通过扩展入侵监测模块,系统可以依据策略库对网络上的数据模式和行为模式进行实时报警, 起到 IDS 的作用; 通过与基础信息库和“终端治理系统”等联动处理,可以进行节点定位、连接阻断、掌握可疑主机等高级功能;3.1.1 流量统计分析系统可对监听到的数据流量进行统计分析;统计分析内容包括全网数据的流量总和,可按最高、最低和平均流量进行分析,或按历史流量、IP 流量、非IP 流量等进行分析,并且 以实时动态的饼图或柱状
