解决企业网络的系统安全管理所面对的挑战时刻存在着,是网络日常管理工作中的重点工作,各类病毒的反复发作是绝大多数网络问题的根源。由于病毒特征千变万化,我们目前很难做出及时有效的事先防范。PC 服务器的后门、网络的安全漏洞是永远补不完的,因此从网络平台上对病毒、后门等安全漏洞所产生的各种症候进行诊断和监视,将各类可疑网络行为分离出来,主动巡查的效果远比各种补墙术更令人安心,有效的预防和发现网络攻击与病毒的扩散,防患于未然。
1 多探针分布式部署
网络上可以在不同的地方部署多台数据协同分析探针服务器,各个探针服务器可以在本地分析采集数据,并可以将统计数据汇总到核心服务器上,由核心服务器进行汇总操作并将结果展现给用户。
因此用户可以实时查看到网络上的全网(所有探针服务器探测到的范围)的TOPN流量排序信息(而并不是一般的数据流分析系统只能分析某个网段内的流量TOPN排序),并可以根据自己的要求查看详细信息。
2 实时信息
网络上应用类别流量实时显示,可以显示当前网络上各种应用的流量,如:FTP、WWW、SMTP、POP3、数据库、内部应用….
可实现实时流量监控分析功能,可以直观地以图形方式和数据表格方式显示网络流量信息,并可以方便地设定数据过滤条件,从不同的角度对数据流量进行分析
滤取IP包内高层协议指定的数据(Tcp/Udp/RSVP/OSPF/EIGRP等等)
滤取指定高层协议端口的数据(Telnet/Http/Echo/Smtp/Ftp等等)
滤取指定数据包大小的数据
可以直接关注某部门对Internet的访问情况:细化到每个人;
可以关注各部门对特定应用的使用情况:细化到每个部门;
可以关心网络上特殊特征的数据流动情况:观察某一服务的用户分布及流量状况;(也可能是某病毒的特征,用来查源)
可以关心不同大小的数据帧的流量分布,提供评估网络处理能力的依据;
可以观察某类非IP数据帧流量情况;
在数据的图形输出上,支持按时间展开数据流,或按TopN排序方式展示各数据分量的即时比特流、帧流量、Sessions对话数;
在数据的表格输出方式上支持将某时刻原始数据进行全面展示,允许在原始数据基础上进行排序、归类、过滤等分析操作;
在任何时刻均保留"此刻以前10分钟原始数据"以供事后分析,避免了异常事件转瞬即逝的困境,可以进行"数据回放"分析。
可以将某一片刻数据流进行“快照”,截下所有数据,展开所有相关项,让时间"静止"下来,慢慢分析,从各个角度重新组合条件,转换视角,分析问题。
提供数据输出功能,可以将指定的原始数据导出到EXCEL文件中。
图1 实时分析 |
3 智能分析
BT下载:直接指出谁在进行BT下载,并可以进一步显示分析的依据。
DOS攻击:直接指出谁在进行DOS攻击,并可以进一步显示分析的依据。
冲击波病毒:直接指出谁中了冲击波病毒,并在进行扩散,并可以进一步显示分析的依据。
关于某台关键服务器的当前实时访问情况分析。
帧流量异常情况分析。
IP地址扫描和IP协议端口扫描分析。
IP高层协议端口密集访问分析。
图2 多数据源对比分析 |
4 历史记录报表
网络上各种服务的流量:
可以统计网络上各种应用的流量及占总流量的百分比,可以帮助用户清楚的了解网络上应用流量情况。并可以定时生成报表发送到指定邮箱中。
指定服务器的访问情况:
用户的网络上都有多台关键的服务器,这些服务器的流量如何?到底是谁在访问服务器?它们的流量如何?原先用户对此可能是一无所知,现在可以通过设置数据流历史记录的方式将服务器的流量情况保存在数据库中,用户可以随时进行查询和统计操作。并可以定时生成报表发送到指定邮箱中。