Genie ATM广域网流量分析监测系统

一、概述

      面对现今不断成长、愈趋复杂的网络环境，网络服务业者(xSP)需要一个功能更为强大的网络管理系统来整合不同层面的流量分析信息，包含流量、应用别及BGP路由等信息的整合分析，以提供营运决策的参考依据。

      此外，日益猖獗的网络攻击对网络服务业者的营运及服务效能造成严重威胁与挑战。尽管许多安全相关的技术，如防火墙(Firewall)及防毒产品等，已成为用来解决安全相关问题的方案，但它们并不能有效地解决所有的安全威胁。尤其是对网络服务业者(xSP)的大规模网络架构、高频宽骨干网络对解决方案效能的要求、以及大型网络运作的安全相关技术(如BGP相关安全性议题等)的重视等，都是目前市场上的网络安全产品所无法提供的。

      GenieATM 6000 正是能满足这些需求的完全解决方案。

二、方案架构

 

      GenieATM 6000 【分布式部署，集中式管理】的架构，能够大范围地采集到网络的流量信息，又能简化流量分析系统的管理与设定，有效降低客户的整体持有成本(TCO)。它是透过部署在各地的收集器(Collector)来采集各地区性网络交换机与路由器的流量信息，并将采集来的流量资料经过分析处理后传送给中央管理中心的控制器(Controller)，使用者便可经由控制器来集中进行各收集器的设定管理、数据的汇整分析、全网域的流量监控、异常告警、以及流量报表的呈现。

 

      GenieATM 6000 采用专用设备构架，性能优越且方便部署；亲切的中英文操作接口，易学易用；Web 远程操作方式，可以随时随地的进行流量分析和安全监测；内建式报表，不需复杂设定便可轻松获取各类报表信息；内置数据库，具有智能的自我维护功能；远程在线系统升级方式和完善的设备管理功能，可有效的节约后期维护成本。

      GenieATM 控制器(Controller)具备VRRP 能力，可在中央管理中心部署两台控制器互相备援，提高整个系统的可用性。

      多样化的数据储存支持GenieATM 控制器(Controller) 具备内建147GB 硬盘，也可利用SCSI 外接硬盘数组(Disk Array) 或是以网络外接NFS 服务器(NAS)，灵活弹性扩充储存的容量。

      智能型的网络流量分析模型透过内建的网络流量分析模型，系统会自动分类网络流量，简化并导引系统设定工作，减少使用者繁琐的设定过程，智能化地分析计算以防止流量统计的误算及重复计算等问题。GenieATM6000 的网络流量分析模型有: 因特网、相邻自治区网络、骨干网络、路由器、以及子网等五种流量分析模型。

      内建式报表分析使用者只需具备初步的网络知识与营运经验，并选择欲分析的网络流量分析模型，及提供简单的相关网络信息，系统便会自动产生需要的流量分析报表。

      互连(Peering)与转送(Transit)流量管理剖析现有的互连(Peering) 关系及转送(Transit) 流量、评估潜在的互连网。网络管理者可以藉此调整其网络互连与转送流量的策略，以期逹成最大的成本效益。

      网络频宽的规划与管理整合性的分析工具与报表，让网络管理者可以在网络成长前就事先规划，准确地预测并防止频宽拥塞点的形成，提高整体的网络运作效能。

      路由(Routing)管理网络管理者可根据系统所提供的路由分析数据，来监控、调整网络的路由状态，以降低路由器的效能负荷、逹到最优化的网络路由。

      弹性的扩充能力不受限于某特定大小的网络规模，GenieATM 收集器(Collector) 的部署可依据使用者的需求随时做弹性的调整，快速且方便，更无须异动原有的网络结构。

      BGP 通讯状态监控提供与相邻自治区之间实时的BGP 更新信息(BGP Update Message) 的监视，网络管理者可以随时掌握BGP 通讯的最新状态、能够对BGP 异常的状态做实时的反应。

      异常流量侦测(Anomaly Traffic Detection) GenieATM 6000 动态地剖析网络流量信息，学习并建立被监测网络的正常流量基准线(Baseline) ，再根据正常流量基准线来侦测新的或是未知的网络攻击(Zero-day Aattacks) 。另外，透过比对流量特征的方式，对于Code Red、Slammer 等已知的网络攻击，也能够及时有效地侦测出来。

      异常追踪(Anomaly Traceback) GenieATM 可以快速地建构起攻击的全貌，被攻击端信息与攻击端信息，包括来源/目的IP 地址、通讯协议、端口号、及TCP Flag 值等等，皆能够清楚地呈现出来，节省网管人员许多在相关信息搜寻上的时间，因此可以迅速地针对攻击进行处置，降低攻击的伤害。

 

三、功能和特点

      GenieATM 6000 内建的智能网络流量分析模型，充分了解大型网络服务供货商之阶层式的(hierarchical) 网络架构，可以迅速且准确地分类出各类网络流量，做出最恰当的分析，并自动产生各类相关的内建流量报表，提供用户最适切有效的统计分析数据，让用户能够轻松有效地监控网络的运行状态。

      GenieATM 6000 内建的异常流量侦测(Anomaly Traffic Detection) 模型，可以针对大型网络提供有效的异常流量侦测解决方案，不仅能及时地侦测来自网内及网外的网络攻击，有效地定位出可能的攻击来源及被攻击端，并且对确认的异常流量作出处理方案的建议。GenieATM 6000所具备的异常流量侦测引擎，对于DoS/DDoS 攻击、路由的不正常状态等，在它们对网络的正常服务造成巨大的危害之前，能够及时地侦测到异常并通知和建议网络维运人员做适当的处置，以防止灾害的形成或扩散。

      GenieATM 6000 可以对相邻自治区(Neighbor AS) 的BGP 更新讯息进行监控统计，一旦统计资料有异常的变化，或侦测出BGP Hijack 的状况，系统便会依据统计分析的结果，对使用者发送告警通知，并提供统计分析资料作为路由管理的决策依据；另外，在BGP 安全机制方面，系统支持TCP MD5 签章的BGP 通话加密保护，可有效阻绝GenieATM 与BGP 路由器间的BGP 通讯遭受到攻击的危险。

   

因特网流量分析(Internet Traffic Analysis)：

      用户根据实际网络状况定义其网络的因特网边界(Internet Boundary)后，系统的因特网流量模型就会自动分类进出因特网(Internet)的流量，并产生各项深入分析报表，包括：总合报表、细部分析报表、与属性分析报表。其中总合分析是大范围因特网流量的总量分析，如流入、流出及进出本域网络的总量等等；细部分析是针对因特网流量的内容进行细部范围的流量分析，如各局部网络进出因特网、以及至某特定原始自治区间的流量等等；属性分析是针对一些常用的流量属性所进行的分析，如应用协议、传输协议及埠号等等。

   

相邻自治区流量分析(Neighbor AS Traffic Analysis)：

      用户根据实际网络状况定义其网络与相邻自治区的网络边界(Neighbor AS Boundary) 后，系统的相邻自治区流量模型就会自动分类进出用户网络(也就是本域网络)与其邻相自治区间的流量，并产生各项深入分析报表，包括：总合报表、细部分析报表、与属性分析报表。

      其中总合分析包含了本域网络与各相邻自治区间的流量分析比较，以及针对各相邻自治区流量的详细分析，如由相邻自治区转送至本域网络、以及由某相邻自治区进入本域网络再转送至其它相邻自治区的流量分析等等；细部分析是针对相邻自治区流量的内容进行细部范围的流量分析，如某相邻自治区进出各子网、以及至某其它相邻自治区间的流量等，另外，它还提供BGP 讯息分析报表；属性分析是针对一些常用的流量属性所进行的分析，如应用协议、传输协议及埠号等等。

   

骨干网络流量分析(Backbone Traffic Analysis)：

      用户根据实际网络状况定义其骨干网络边界(Backbone Boundary) 后，系统的骨干网络流量模型就会自动分类进出用户骨干网络的流量，并产生各项深入分析报表，包括：总合报表、核心路由器报表。

      其中总合分析是针对所有进出骨干网络的流量进行分析，包含了本域网络至本域网络的流量(Home to Home ，又称On-net 流量)、因特网至本域网络的流量(Internet to Home ，也就是由因特网流经骨干网络的流量)、本域网络至因特网的流量(Home to Internet ，也就是经骨干网络再至因特网的流量)、以及因特网至因特网的流量(Internet to Internet，也就是由因特网流进骨干网络再流出本域网络至因特网的流量，又称Transit 流量)；核心路由器分析包括了进出所有核心路由器的总流量比较分析与进出各核心路由器的详细流量内容特性分析。

   

路由器流量分析(Router Traffic Analysis)：

      针对所有已在GenieATM 上登录的路由器进行状态与流量的监控。用户一旦将路由器的数据输入。在系统中，系统便会自动进行监控。在路由器流量分析模型中，除了各路由器运行状态的监控之外(包括了CPU 与内存的使用状态)，并针对路由器上各个接口的数据炼结层流量行进统计分析比较。

 

   

子网流量分析(Sub-Network Traffic Analysis)：

      用户根据实际网络状况定义其网络的子网边界(Sub-Network Boundary) 后，系统的子网流量模型就会自动分类进出子网 (Sub-Network) 的流量，并产生各项深入分析报表，包括：总合报表、细部分析报表、与属性分析报表。

      其中总合分析包含了各子网的流量总量比较，以及针对各局部网络流量的详细分析，如从本域网络至某子网、或从因特网至某子网的流量等等；细部分析是针对子网络流量的内容进行细部范围的流量分析，如某子网进出其它子网及某子网与相邻自治区间的流量等等；属性分析是针对一些常用的流量属性所进行的分析，如应用协议、传输协议、以及埠号等等。

 

   

客户网分析(Customer Analysis)：

      用户根据需要定义其重视而要进行异常流量监控的网络区域为客户网(Customer)后，系统的客户网流量模型就会自动分类进出客户网的流量，对该网络范围进行异常流量监控，并产生各项相关流量分析报表及异常事件检视器。被授权该客户网权限的使用者也可对该定义的客户网范围进行实时Top-N 流量分析。

 

   

实时流量分析(Instant Top-N)：

      实时流量分析功能，可以快速地呈现某特定网络范围内的瞬间流量状态，并做成Top-N 排序报表。用户可依据流量来源和目的的「IP 区段」、「通讯协议」、「网络接口」、「端口号」、「TCP Flag 」、「TOS 值」、「子网」、「相邻自治区」...等多种分析条件与指定的分析范围进行Top-N 分析，分析结果可依据流量率、封包率或联机率进行实时的排序。通过对网络内实时数据的排名分析，用户可以掌握目前网络应用流量的最新状态，也能够及时发现网络中异常流量的来源和目的、及其流量特性，以作为网络障碍排除的重要依据。

 

   

异常流量侦测(Anomaly Traffic Detection)：

      除了支持全网域流量分析的技术以外，GenieATM 6000 也提供了异常流量侦测功能，它可以透过针对所要监测的对象或范围进行简单的设定，即可达成对用户所重视或欲特别防护的网络范围与重要网络设备的异常流量侦测。GenieATM 6000 内建数种异常流量检测模型及技术，针对特定网络范围的侦测模型有: 流量异常(Traffic Anomaly) 模型、通讯协议异常(Protocol-Misuse Anomaly) 模型、网络应用异常(Application Anomaly)模型; 针对网络设备(路由器)的侦测模型则有: 网络接口流量异常(Interface Traffic Anomaly) 模型、BGP 路由更新讯息异常(BGP Message Anomaly) 模型、以及BGP 路由相关分析为基础的异常检测分析。系统透过多种不同的异常流量检测模型，能有效地侦测出已知和未知的网络攻击。其中，? 流量异常(Traffic Anomaly)侦测模型是经由系统依据正常的网络流量活动，动态地建立一个流量基线模型，再藉由此基线模型来进行实时的异常流量分析与侦测，以便对新出现的攻击能够在最早的时间点发现问题流量；? 通讯协议异常(Protocol-Misuse Anomaly)侦测模型是透过系统内建的通讯协议异常规则，对网络上多种通讯协议流量，进行实时性的异常比对，快速有效发现网络中常见的协议滥用和DoS/DDoS 攻击的问题；

      网络应用异常(Application Anomaly)侦测模型是根据系统内建或使用者所定义的攻击流量特征进行检测，来侦测已知的网络蠕虫(病毒) 与DoS/DdoS 等网络攻击；

      网络接口流量异常(Interface Traffic Anomaly) 侦测模型是以SNMP Polling 为基础的基线检测模型，支持至网络第二层流量的分析。系统对网络设备流量所作的量测包含了网络接口的：流量速率(Throughput) 、封包数量(Packet)、频宽使用率(Interface Utilization) 、实体层传送错误数量(CRC Error)、丢包数量(Discards)、组播及广播流量比率(Percentage of Multicast + Broadcast ) 等统计分析；

      BGP 路由更新讯息异常(BGP Update Message Anomaly)侦测模型是对BGP 路由器的BGP 路由更新讯息进行统计分析，当侦测到路由更新讯息异动数量超出正常范围之外，系统便会发出异常告警；

      BGP 路由挟持异常(BGP Hijack Analysis)侦测模型是对参与BGP Routing 的路由器所收到的路由宣告进行比对分析，以侦测网络上是否有BGP 路由挟持(BGP Hijack) 的情形发生，并发出异常告警。

 

   

异常流量告警的报告、追踪、及处理:

      GenieATM 6000 于侦测到异常流量之后，不仅能实时地产生完整的相关性报表信息，而且能够有效地追踪攻击流量的最新状态，自动对于确认的异常流量特征提供处理方案的建议，有效降低人员处理不当的风险。

      GenieATM 6000 将所侦测到的异常流量归纳为两大类的告警：异常告警(Anomaly) 与系统告警(Alert) 。异常告警是列示所有基于流量基线(Traffic Baseline) 所侦测出来的异常流量; 而系统告警则是列示其它非基于流量基线所侦测的问题。另外，系统并提供的网络状态的摘要面版(Status Summary Console)，汇总所有侦测到的种种异常事件，让使用者能够一目了然，迅速掌握最新的状态。

      除了提供异常流量的告警报表之外，GenieATM 6000 也将实时流量分析(Instant Top-N) 功能整合至异常流量告警功能内，方便用户透过快速连结进行异常流量的实时追踪。用户可以针对侦测到的异常流量特征，进行某特定网络范围的实时流量快照，将网络上该异常流量的各项特征值分布，详尽而深入地呈现出来，以加强异常流量侦测的准确性。

      问题流量确认之后，系统便会自动针对此流量特征，提出适当的、能够有效限制流量的存取控制列表(ACL)指令，以作为建议性的解决方案。网管人员可因此节省相关信息收集的时间成本，以便快速地针对攻击进行处置，阻絶攻击或减缓伤害，实现网络安全检测与故障处理。