GenieATM流量流向分析与异常流量监测系统

GenieATM流量流向分析与异常流量监测系统
GenieATM设备是一款功能强大的流量流向分析和异常流量检测系统（ATM=Advanced Traffic Mining）
介绍：随着日趋复杂的网络应用和不断扩大的网络规模，传统的基于软体的网络流量分析系统已经不能满足网络运营商的需要，网络运营商（ISP）需要功能更为强大的网络管理系统，来整合不同层次的流量分析信息，把网络流量、应用类型、BGP路由等信息进行整合分析，以提供运行维护决策支持的数据依据。另外，恶意网络攻击与流量的异常不仅会危及信息安全，更会导致网络性能下降。而许多安全相关的技术，如防火墙（Firewall)、IPS/IDS、防毒产品，他们并不能彻底有效地解决安全威胁，而且不能适应运营商级别高带宽大覆盖的网络架构，也无法实现基于BGP路由的异常检测。我们的GenieATM设备正是解决这些问题的全新网络安全解决方案。
3、数据流量步骤：
GenieATM系统就是通过数据采集、流量分析，异常检测、再到异常缓解这四个步骤来实现这一网络安全解决方案的。
数据采集（Collect）：GenieATM的流量采集依据主要是Flow，但是为了更精确的分析，我们也采集SNMP与BGP路由信息来辅助流量采集的工作，因此数据采集的来源包括：
Flow：支持各NetFlow (v1,v5,v7,v9)；sFlow (v4,v5)；华为NetStream；
SNMP：支援SNMP v1, v2c；（支持MIB进行例如数据报表二次开发）
BGP：支持BGP4及TCP MD5签章的BGP通讯保护
流量分析（Analyze）：
GenieATM能够根据预定义的网络模型，自动而且快速的将采集到的流量进行分类、统计、排序等运算，并做成报表：
流量模型分析：内建智能网络分析模型，可迅速准确地分出本网、邻网、子网、骨干网、客户网等各类流量，自动产生报表。
基础报表：针对有兴趣的Flow字段，自行组合过滤条件进行流量分析，自订符合需求的流量分析报表与监测。
流量矩阵报告：可自动分析子网、邻网之间的流量流向，做成流量矩阵报告，简化管理者的设定。
属性分析：可针对应用、协议、协议+端口号、TOS值、或是封包大小等进行Top-N分析排名。
强大的TopN动态排名分析：可指定任意时段和自定义检测条件，寻找该区段的TopN排名。内建流量比对加速引擎，在高流量的网络环境下，也能准确分析流量。
异常检测（Detect）：
流量异常：在检测网段内，如果突然产生了与往日不同的巨大持续流量，很可能是遭受不明的网络攻击，我们通过系统分析可以查看到攻击的流量，持续的时间，源IP，目的IP，流经的路由器端口等详细信息。以便于网管人员对突发事件的快速管控。
蠕虫攻击：一些已知其流量特性的

攻击，如MSBlaster, Sasser, Code Red, SQL Slammer等等。
DoS/DDoS攻击：如TCP SYN Flooding, RST Flooding, ICMP Flooding等等。
端口异常：能够侦测设备的效能、网络接口的流量速率、带宽使用是否满载、路由器传送错误封包、丢包、过多广播流量等异常，由SNMP协议支持。
BGP路由的异常：透过BGP路由讯息中的AADIFF / AADUP / TUP / TDOWN / UPDATE讯息量的统计分析，来监测BGP路由是否稳定，BGP信息更新过于频繁等
Action异常流量的缓解
告警与通知：
在异常事件发生时，系统发出红、黄二级告警，并可通过eMail、syslog、或是SNMP Trap对网管人员发出通知。
在线侦错：内建灵活的在线快速除错工具，具备弹性多样的分析条件选择、也提供各种Top-N排序。能够逐次缩小异常流量的范围，找出问题。
流量报表重建：可留存异常事件发生时的原始流量，配合网管人员做历史数据的分析整理。
异常缓解：支持黑洞路由的设定、或检查到异常流量后将流量送给运营商的流量清洗中心做清洗，还可以结合Cisco Guard流量清洗设备、或是透过Juniper路由器的Flow-spec机制或者与华为E8000系列防火墙配合等等，直接截断恶意攻击的流量，达到异常缓解的目的。