网络流量分析解决方案PPT.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络流量分析,杨林海,1,网络流量分析是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具，通过对网络信息流（,NetStream,）的采集并分析可帮助网络管理者得到网络流量的准确信息，为网络的正常、稳定、可靠运行提供保障。,2,流量分析方案背景,网络的可视性,网络利用率如何？,什么样的程序在网络中运行？,主要用户有哪些？,网络中是否产生异常流量？,有没有长期的趋势数据用作网络带宽规划？,3,当前网内有哪些应用？,分别产生了多少流量？,网络中应用使用的模式是什么？,企业内部重要应用执行状况如何？,4,用户使用网络模式的可视性：,哪些用户产生的流量最多？,哪些服务器接收的流量最多？,哪些会话产生了流量？,分别使用了哪些应用？,5,Net Stream,技术介绍,“,流”概念,Net Stream,的流定义为：由源到目的方向的一系列单向的数据包。,Net Stream,流是通过,7,元组来标识的，即通过,接口索引、源,IP,地址、目的,IP,地址、源端口号、目的端口号、协议号和,ToS,组成的七元组确定一个,Net Stream,流，设备根据七元组信息对过往的数据包进行,Net Stream,统计。,6,分析下图中四条流：,7,上图包括的四种数据流,从,Client A,到,WWW Server,方向通信时产生的流；,从,WWW Server,到,Client A,方向通信时产生的流；,从,Client B,到,FTP Server,方向通信时产生的流；,从,FTP Server,到,Client B,方向通信时产生的流；,8,从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。,形象地说，通过,NetStream,流可以记录下来网络中,who,、,what,、,when,、,where,、,how,。,9,Net Stream,技术,路由器,/,交换机,统计数据,路由器,/,交换机,对,IP,包统计分析,网流采集器,网流分析器,数据库,进一步分析处理,10,Net Stream,技术可利用网络中数据流创造价值，并可在最大限度减小对路由器,/,交换机性能影响的前提下提供详细的数据流统计信息。,11,NTA,解决方案,Network Traffic Analysis,解决方案包括：,网流采样设备（,NTE,）（,Net Traffic Exporter,）：,采集和发送,网流流采集设备,NTC,（,Net Traffic Collector,）：,流量统计,数据分析处理设备,NTP,（,Net Traffic Processor,）：,直观的图表、报表,12,Net Traffic Exporter,：,网流采样设备,提供,Net Stream,技术接口的网络设备（路由器和交换机及的路由器），负责对设备各个端口进出的网络报文进行流分类统计，然后打包输出。,作为支持,NetStream,的网络设备，首先需要打开网络设备的侦听端口，然后配置将,NetStream,日志要发送到哪个,IP,的哪个端口（即,NTC,设备的监听端口）。这样，设备就会把,NetStream,日志以,UDP,包的形式发往,NTC,，而,NTC,则可从侦听端口源源不断的接收,NetStream,日志。,13,Net Traffic Collector,：,网流采集设备,NTC,可以采集多个,NTE,设备输出的数据，对数据进行过滤和聚合，并将数据存储在数据库中供分析处理。,NetStream,日志被,NTC,设备采集到之后，将会做聚合处理，这样可减少最终存入数据库的的数据量，并提高了分析的效率；同时，,NTC,设备也会对存入数据库的数据作进一步的统计处理，以便快速产生各类分析报表。,14,Net Traffic Processor,：数据分析处理设备,NTP,是一个网络流量的分析工具，对采集来的流量数据进行分析处理。为便于网络管理人员的操作，采用基于,Web,形式访问，提供直观的、图形化的管理界面，所有数据输出都以友好的形式直接在,Web,页面中显示。,NTP,对,NTC,生成的所有数据进行分析，对数据进行二次聚合、统计分析，分析的结果以非常直观的图表、表格等形式展示给用户，通过这些分析结果，用户可以监控网络使用状况、应用使用状况、用户网络访问行为，并可监控到流量异常状况以便用户进一步做分析。,15,报表功能,用户可根据统计分析的需求，自定义报表生成规则，由报表引擎生成报表，并将统计分析的结果以饼图、曲线图、统计信息表格等直观的形态展示出来。,16,报表展示,流量统计报表,-,给出一段时间内入出流量的趋势图，以及按入出流量统计总流量、最大速率、最小速率、平均速率，并给出流量明细信息：,17,应用统计报表,-,给出一段时间内流入、流出的各种应用以及趋势图。,18,应用明细报表,-,给出应用统计报表中某个应用的明细信息，包含该应用的趋势、使用该应用源节点以及目的节点应用统计报表,-,给出一段时间内流入、流出的各种应用以及趋势图。,19,来源统计报表,-,给出一段时间内，作为源,IP,的各个节点产生的流量的信息。以饼图的形式展示，并给出产生流量最多的节点：,20,来源明细报表,-,给出来源统计报表中某个节点的明细信息。并给出与源节点通信的,top,目的节点以及与源节点通信的,top,应用,21,目的统计报表,-,给出一段时间内，作为目的,IP,的各个节点接收的流量的统计信息。以饼图的形式展示，并给出接收流量最多的节点,22,目的明细报表,-,给出目的统计报表中某个节点的明细信息。并给出与目的节点通信的,top,目的节点以及与目的点通信的,top,应用,23,会话统计报表,-,给出会话节点流量,TOP,分布图，以及会话节点流量,TOP,列表,24,会话明细报表给出会话统计报表中，某对,IP,之间在一段时间内产生的流量的趋势，并给出这对,IP,之间通信所使用的应用,25,DIG,采集设备,DIG,采集设备针对一些不支持,Net Stream,技术的网络设备，有一种,DIG,采集设备，只要网络设备支持端口镜像，,DIG,采集设备能直接从镜像端口收集网络流量信息，并形成,DIG,日志提供给,NTC/NTP,进行流量分析。,26,DIG,采集设备,DIG,日志采集器所需要做的工作是把流经设备端口的数据报文中，按照,DIG,日志的数据格式对数据报文进行过滤和统计，最终形成,DIG,日志输出。,27,DIG,采集设备采集类型,1,、从镜像端口采集,对于支持镜像端口的交换机、路由器设备，可以将镜像端口直接同,DIG,日志探针组件的采集网卡相连，实现数据采集。此类采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡的类型匹配、带宽匹配。,28,DIG,采集设备采集类型,2,、分流器采集在设备不支持镜像端口的情况下，为了不影响设备性能，比较专业的采集方案是采用分流器，从设备端口接收网络数据报文。此方案通常应用于光纤链路，价格高昂。,29,3,、共享式,HUB,采集,对于不支持端口镜像的设备，且需要监控的端口带宽小于,100M,的情况下，可以使用共享式,HUB,实现对端口数据的采集。但这种方式很容易引起网络单点故障，不推荐使用。,30,NTA,解决方案的典型组网,NetStream,日志可以开启在路由器中、汇聚层,/,核心层交换机中。,31,NTA,的应用场景,Net Stream,技术定义了一种路由器,/,交换机向管理系统输出流量数据的方法，通过采集和分析流量数据，并将流量数据与管理控制台中的其他网络和应用性能指标建立关系，对网络运行状态进行管理。,Who,：谁（,IP,）使用了网络？,What,：网络流量的类型是什么？,When,：在什么时间使用网络，使用了多长时间？,Where,：网络流量流向何处？,利用,NTA,网流分析系统对这些数据进行统计分析，就能从中提取出网络流量特征，从而为网络管理员提供一张丰富而详尽的网络利用视图。,32,网络优化,通过,NTA,解决方案，可以使网络管理员及时掌握网络负载状况，网内应用资源使用情况，尽早发现网络结构的不合理，或是网络性能瓶颈，尽快作出网络优化方面的决断，使网络带宽分配最优化，为用户提供高品质的网络服务，并且避免了网络带宽和服务器瓶颈问题。,33,网络优化,34,网络规划参考,利用,NetStream,流日志以及,NTA,长期监控网络带宽而形成的各类趋势报表，有助于网络管理员跟踪和预测网络链路流量的增长，从而能有效的规划网络升级（例如，增加路由服务、端口或使用更高带宽的接口）。,35,WAN,流量监测,对于一个企业来说，,WAN,带宽通常是有限的，如果,WAN,链路上的流量增大，通常企业的做法就是进行投资以升级,WAN,链路,但是如果企业能掌握,WAN,流量的特征，制定相应的策略（比如,QoS,和针对源或目的,IP,地址作流限制），就能使,WAN,带宽得到最合理最充分的使用，避免进行不必要的升级投资,而,NTA,解决方案所提供的分析结果能够使网络管理员洞察,WAN,链路的流量特征、承载的应用、用户使用状况，从而针对是否应投资升级带宽快速的作出快速响应！,36,37,网络流量异常监测,网络管理员都希望在网络性能突然下降的时候找到“真凶”所在，并迅速解决问题。利用,NTA,解决方案提供的某段时间内的流量、应用趋势分析，可非常直观的看到网络流量是否有突然增长或突然下降的现象，并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。,38,常见的流量监制软件,Sniffer,，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。,当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。,Sniffer,技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上,Sniffer,技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。,39,40,第三只眼,员工工作时间，都认真工作了？,还是在玩游戏？,浏览与工作无关的网站？,收发私人邮件？,甚至将公司的机密资料拷贝带走？或是通过邮件或聊天工具泄密？,解决之道,41,统计员工工作效率,对员工的所使用的程序的频率进行统计，从上图可看出,9,月份该员工,QQ,使用的频率最高、说明聊天最多。,42,及时报警,对员工的某些操作进行及时报警，员工插入移动存储设备或者拷贝文件带走时、或者其他自定义的限制操作进行的时候、都会向管理者报警。,43,自动搜索员工,局域网自动搜索员工，并将自动与员工网卡绑定，即使员工更改,ip,或者更换操作系统重新登陆，更或者重新安装系统，都可以第一时间辨别。,44,历史纪录,-,屏幕纪录,可对员工的所有的操作进行屏幕截图并保存,管理者可以查看过去任意时间段员工计算机的屏幕状况,追溯历史操作,45,历史纪录,-,邮件纪录,收发邮件纪录，可以记录收发邮件的详细的内容及附件等,46,历史纪录,-,网页浏览,网页浏览纪录，可记录员工浏览过的网站,47,历史纪录,-Web,邮件,邮件记录,(web,邮件,),48,历史纪录,-,外发纪录,可记录计算机外发信息的纪录,(,包括,web,邮件,),，包括正文内容，附件等。,49,历史,纪录,-Ftp,纪录,ftp,纪录，可监控通过,ftp,上传或者下载的纪录,50,历史,纪录,-,文件操作纪录,可监控员工计算机的所有的文件或者文件夹的复制，剪切，删除，重命名等操作,51,历史,纪录,-,聊天纪录,聊天纪录：,QQ,聊天纪录,52,历史,纪录,-,聊天纪录,聊天纪录：贸易通 聊天纪录,53,实时监控,可对员工的当前状况进行实时的监控,54,多画面实时监控,多画面实时监控，可同时监控多个员工的当前的计算机屏幕,55,硬件管理,列出员工计算机所有的硬件，并可对员工的通讯设备以及存储设备等硬件进行禁用或者启用,56,internet,版本功能,1.,拥有局域网版本的所有监控功能,2.,可以监控全球范围内的所有可以联网的员工,3.,可以在全球任意可以上网的计算机上对员工进行监控,57,应用范围,1,、私营企业,2,、台资、外资企业,3,、国有企业,4,、政府、行政单位,5,、涉密单位,6,、学校,58,