NTARS应用运营商网络解析

行业背景

随着网络规模的持续扩大和业务系统的不断拓展,运营商的网络面临越来越严重的安全威胁。近几年来蠕虫病毒的爆发日趋频繁, 大规模的分布式拒绝服务攻击事件也时有发生,垃圾邮件和P2P等异常流量日益泛滥,这些对于网络的可用性都提出了严峻的考验。

对于运营商网络而言,其核心的部分是承载了众多业务系统的IP网络。IP网络一般下辖IP骨干网、地市城域网、各业务网络、直属单位网络,规模庞大、业务支撑系统众多。服务器、存储设备、采集机、数据库、应用软件、业务终端等构成了非常复杂的业务应用。因此整个网络的安全可靠运行成为对多用户和复杂应用提供高质量网络服务的保障基础和前提条件。

客户需求

对于众多的非法流量,长期以来一直没有一种很好的技术手段能够从根源上解决这些问题,因此运营商的管理员们有时不得不面临窘境,如:

  • 缺乏对异常流量的检测:当IP网络产生了较大数据流量时,包括IP网络内部产生较大数据流量和IP网络出口位置产生较大数据流量,这些严重影响了网络带宽和服务质量的异常流量,难以被及时检测;
  • 无法对异常流量进行溯源:当检测到异常流量时,不能准确溯源到产生异常流量主机的源IP地址和MAC地址,尤其不能定位到交换设备的物理端口;
  • 无力对异常流量进行分析:当检测到异常流量时,不能及时地对发生的异常流量进行概要分析,不能准确识别出异常流量的攻击方向;
  • 缺乏对异常流量的处理:对常见的异常流量,没有自动的有效处理措施,如:自动发送指令控制交换机和路由器做出一些防护措施,如速率限制或者直接关闭端口等;
  • 缺乏对异常流量的告警:当检测到异常流量时,不能及时通过mail或短信的形式进行告警;

解决方案

东软NetEye NTARS,即NetEye异常流量分析与响应系统,采用独创的ICA技术为运营商的网络提供了全方位、立体化的流量监控、分析与响应体系,为整个网络的安全稳定运行提供了坚实的基础。

通过接收各种网络设备的Flow数据、SNMP信息、原始数据包、BGP路由等不同层面的网络流量数据,对系统网通信状况进行实时监控,利用特征知识库,采用流量分析、攻击检测、协议分析、行为分析、内容分析等技术,检测网络异常和网络攻击,并把相应统计分析数据汇总到数据中心,备份存储,面向管理员,提供流量趋势、网络状况、事件报告等的网络信息审计。如果发现攻击和网络异常,启动响应组件。响应组件根据相应策略,对DoS/DDoS攻击、蠕虫与病毒攻击、垃圾邮件、非法访问等进行阻断和防御。

NetEye NTARS包括管理控制中心和分析引擎,结合响应系统,构成完整的针对网络异常流量的解决方案。管理控制中心可以集中管理和控制在全网中多个节点分布式部署的NetEye分析引擎,不需要单独安装管理控制客户端,便可以在网络中的任意节点上使用浏览器进行操作。

方案实施

根据对某运营商的IP网络系统调研与分析东软部署了NTARS方案,如图所示:

网络中核心层采用两台防火墙部署在网络出口位置,汇聚层通过核心交换机接入到防火墙。其中NetEye NTARS的监控对象为IP网络的边界路由器、核心层交换机和汇聚层交换机设备,这样的设置不仅可以监控外部网络和IP网络之间的流量,同时也可以监控IP网络内部的网络流量状况。

通过配置边界路由设备接口的FLOW功能,对进出IP网络的流量采用标准的Flow协议进行数据采集并加以分析;通过配置两台核心交换机的FLOW功能,对IP网络的内部流量采用标准的FLOW协议进行数据采集并加以分析;通过将NetEye NTARS连接到两台核心交换机的SPAN接口上,使NetEye NTARS系统对IP网络的全部流量进行原始数据包分析;通过配置所有网络设备的SNMP功能,对所有网络设备的物理接口进行管理和监控。上述配置的完美搭配,帮助用户实现:

NetEye NTARS通过对边界路由设备和核心交换设备采用标准的FLOW协议完成数据采集,通过对网络流量中异常行为的鉴别,实时检测因大量数据包的泛滥式攻击造成的网络流量异常,包括网络中的DoS/DDoS攻击、蠕虫病毒、大量的垃圾邮件等异常流量。

NetEye NTARS通过采用标准的SNMP协议完成核心交换设备信息的收集,关联异常流量行为特征的分析结果,迅速将异常流量源头准确定位到核心交换设备的物理端口级别上,管理员可通过采用限制端口速率、设置ACL或者直接关闭端口等措施实施防护响应。

NetEye NTARS自动发送指令启动核心交换机指定端口的SPAN功能,完整采集原始数据源,采用数据流智能重组、特征检测、协议分析相结合的检测方法,根据强大的攻击特征库准确检测IP网络内部的攻击行为,并提供攻击报告和解决方案。针对特殊的应用协议,进行内容检测、协议解码分析,可检测隐藏在正常应用协议中的非法网络流量,如:P2P流量等。

NetEye NTARS对于检测到的攻击入侵、蠕虫病毒、DoS/DDoS攻击、垃圾邮件以及其他网络异常事件,将通过声音、Syslog、Email、SNMP Trap等方式进行报警,并可进行深度防御和响应,如调整ACL、配置黑洞路由,与防火墙、防垃圾邮件系统等安全设备互动。

实施效果

目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,虽然这些系统对于已知攻击行为的检测率较高,但是也暴露了这类安全产品的弱点:无法对未知攻击方式或者异常访问行为进行识别和检测。

而NetEye NTARS基于FLOW技术的网络异常流量检测和分析机制,完美地填补了这块空白。尤其综合采用FLOW、SNMP、SPAN技术的网络异常流量检测和分析机制,在面对已知的攻击入侵、变异的蠕虫病毒、新型的DoS/DDoS攻击时,都表现得游刃有余。

东软NetEye NTARS正是这类高端产品的典型代表。