NetEye异常流量分析与响应系统(Ntars)主要用于骨干网络的监控检测和分析,通过对骨干网络流量信息和系统信息的收集,采用多种方法进行分析、检测,实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件,提取异常特征,并启动报警和响应系统进行过滤、阻断和防御。
系统特性
1. 集成了特征匹配、异常识别、协议分析、行为分析、应用审计等多 种检测手段的综合性异常流量分析与响应系统;
2. 针对不同的攻击,采用分类检测技术,使用异常检测法来检测拒绝服务攻击、蠕虫爆发等异常流量,使用特征匹配法检测特征明确的攻击,使用杀毒引擎来检测病毒、蠕虫、木马等恶意文件的传播,使用增强的Bayesian等算法检测垃圾邮件,从而实现准确、全面的 检测各种攻击行为;
3、分析引擎采用专用服务器设计,标准机架安装,部署使用方便,无需额外软硬件,有多种型号产品,可以适用于中小型企业网络到大型骨干网络;
4. 分析引擎采用旁路的部署方式,不消耗网络资源,不影响关键链路通信;
5. 采用B/S架构,不需要单独安装管理控制客户端,可以在网络中的任意节点上使用浏览器进行操作;
6. 支持安全的管理方式:提供HTTPS和SSH管理方式,允许管理员在任何地点安全地访问本系统,配置简单方便易使用;
7. 多种数据输入支持:支持使用SNMP、Flow数据、BGP协议进行数据采集,还支持交换设备镜像直接提取数据流量;
8. 支持各种主流flow格式和多种版本,包括Cisco Netflow(包括v9)、Juniper cflowd、sFlow、华为Netstream。系统支持Netflow v9 ,实现了对MPLS业务的支持。
9. 长时间监控能力:基于策略(IP、协议、端口、应用类别等组合),对符合过滤条件的流量进行长时间监控分析,并具备大容量数据本地存储能力;
10. 深入分析能力:内置完备的NetEye异常行为特征库,通过特征匹配 、内容检测、协议分析、行为分析等技术快速判断流量中隐藏的异常行为,同时允许管理员定制各类异常判断阈值,以增加符合客户网络实际环境的检测特征表项;
11. 应用服务质量跟踪:监视并统计比较关键应用的响应延迟以及负载分布情况,可有效记录客户关键应用服务的可用程度,如HTTP、SMTP、FTP、DNS等;
12. 专业的图形化报表:提供专业的统计查询分析工具,输出专业的图形化报表,支持系统自动生成报表,邮寄至管理员。可将报表导出成Excel、XML等标准格式;
13. 数据审计查询功能:系统提供灵活、强大的查询功能,为用户提供有效的审计手段;
14. 全面的报警响应机制:管理界面、系统日志、邮件报警、Email报警、SNMP Trap报警等,还可以与NetEye SOC安全运维管理平台实时交互,并通过启动设备ACL、黑洞路由、防火墙、IPS、防垃圾邮件系统等安全设备,实现对攻击的及时防御;
15. 内置多种用户角色和分权限系统管理:系统管理员、安全管理员、审计管理员角色分立,可以控制每个用户所具备的操作权限;
16. 系统支持自身审计:系统会记录全部操作的详细信息,并且只有专门的审计管理员才有权进行询和删除操作;
17. 自动存储维护功能:系统提供海量数据本地存储空间,可自动删除 过旧的历史数据,维护存储空间的使用分配,并在约定时间自动进行数据备份操作;
18. 内置默认策略模板,并支持自定义功能。自带数据库,自动维护,按需检索;
19. 支持多级分布式部署:通过单独的集中管理模块或者NetEye 安全运维管理平台,多台NetEye异常流量分析与响应系统能够接受集中管理控制台的指令并向其提交监控分析结果,满足大型骨干网络部署的需要。
