异常流量检测分析系统-ATA

Anomaly Traffic Analyse

——————

基于流量行为特征，检测和分析异常流量，发现异常工作组和主机，分析服务器主动外连。

为什么要监测分析异常流量

网络管理人员都希望在网络性能突然下降的时候找到“真凶”所在，并迅速解决问题。利用NetInside解决方案提供的某段时间内的流量、应用趋势分析，可非常直观的看到网络流量是否有突然增长或突然下降的现象，并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。并根据最终分析结果，网络管理人员可快速的解决掉网络异常问题，保证网络正常的运行。

我们是如何做到的

通常意义上的内部网络安全是通过IP Payload载荷中的某些特征值识别，来检测该IP流量是否属于某种病毒或网络攻击手段。这种特征值识别的技术的缺陷在于需要维护一个特征值的库并且不断更新，对于新出现的或变种的攻击手段无法识别和判断。
NetInside ATA可以通过一种特有的网络行为分析的功能来检测网络中的病毒和攻击行为。这一特色就是强大的网络行为分析（Network Behavior Analysis）的功能。通过对全网IP流量的监控，可以感知到所有主机的网络行为，对于其中一些“可疑”的网络流量和行为，通过内置的分析引擎可以自动检测并提供告警。这些“可疑”的流量包括主机扫描、端口扫描、蠕虫病毒、可疑连接等。

系统功能介绍

未知TCP应用发现

系统实时分析全流量信息，自动发现未知TCP应用，直观展示其运行轨迹和行为特征。

未知UDP应用发现

系统实时分析全流量信息，自动发现未知UDP应用，直观展示其运行轨迹和行为特征。

未知TCP应用流量分布分析

实时分析全流量信息，自动发现未知TCP应用，显示未知TCP流量分布状态和趋势。

未知UDP应用流量分布分析

实时分析全流量信息，自动发现未知UDP应用，显示未知UDP流量分布状态和趋势。

未知应用主机发现

系统实时分析全流量信息，自动发现未知TCP和UDP应用后进一步分析，察看任意未知应用流量产生时间，以及这段时间内相关主机信息。

未知应用数据导出

实时采集和分析的未知应用相关数据，可以通过简介的方式自动导出，以供进一步分析或记录备案。

系统部署方案

异常流量分析设备旁路部署在网络的各重要业务服务器功能区，通过交换机端口镜像采集的关键区域的网络通讯数据，分析并存储。服务器加载各个功能模块对采集得到的网络通讯数据做深入分析，取得需要的各种数据和产生相关警报。

用户不用安装任何第三方软件，直接通过浏览器对服务器采集的数据和分析结果进行集中的管理，实现集中的告警分析、报表汇总、配置管理等重要功能，同时提供数据的挖掘分析功能，方便用户进行查看、检索、数据挖掘等应用。

异常流量分析的价值

系统通过对采集的网络流量进行挖掘、关联性分析，与网络流量、访问行为和业务系统（应用）的安全结合起来，是帮助管理人员掌握网络资源使用情况、分析业务系统异常情况，保障业务系统的安全、稳定和高效运行的有力手段。
系统对应用和节点的流量信息和网络行为进行持续性统计和对比分析，快速发现流量和连接数的异常变化、网络行为中的异常访问操作和攻击操作，追踪和审计异常网络行为，为管理员提供报警通知和处理功能，并通过联动对网络异常行为采取阻断等进一步处理。