FlowVision应用方案系列

FlowVision--基于NetFlow的流量分析系

--网络异常流量监测及实时告警

n        可灵活定制

FlowVision是一个专门面向流量的多维统计和分析引擎，无论是功能、界面、告警基线参数，还是数据采集参量的定义，均可根据用户的需求进行定制或灵活设置。

n        闭环控制系统

可以针对异常流量的来源产生相应 的安全策略，并生成访问控制命令，插入网络设备原有配置文件中，封堵或限制异常访问；待流量异常消失后，可恢复到原来配置。

n        部署成本低廉

FlowVision运行环境是普通的PC服务器和通用数据库，故可以根据具体需求，选择最适合的配置，并确保可以以低成本进行系统处理能力的扩充。因此建设和维护成本低廉，使大规模部署成为可能。

n        对现行网络影响最小

FlowVision数据采集Cisco NFC为非入式(non-intrusive)，使得一个采集单元可对多个目标设备进行数据采集，而且部署灵活，不影响现行网络结构及配置。NFC对数据采集及汇总的同时，还进行归并、过滤、关联和预处理，以及灵活的采集参数定义。

l       网络可用性的挑战

随着Internet覆盖范围和服务范围的急剧扩展，整个网络的安全性和网络的可用性成为广大用户和运营商日益关注的问题。运营商的管理核心任务也从设备管理和计费管理，迅速扩大到更为重要的网络质量和服务质量管理，即网络及其环境的安全管理，以最大程度地保证网络的可用性。

网络规模和应用范围的扩大，网络上所出现的异常或攻击，呈迅速上升的趋势。攻击手法不断更新，攻击频度不断提高，造成的损失也随之加大；被攻击的对象从过去单一或少数服务器演变为对整个网络设施的攻击，这些攻击中最为严重的就是DoS/DDoS攻击，其攻击后果是使骨干网络及相关的网络基础设施在很短的时间内“拒绝服务”，这种攻击以阻塞网络带宽，使DNS、骨干路由器等关键设施瘫痪为目的，波及的范围和危害程度也越来越大。

l       FlowVision—集中侦测,边界联合防护

FlowVision的异常流量监测及告警模块是一个基于NetFlow的、专门面向运营商网络的DOS/DDOS攻击和异常流量侦测系统。由于绝大多数异常流量或攻击的源发地及其目的地，都在网络的边界，因此FlowVision基于如下的理念构建系统：通过搜集关于网络边界的流量数据(包括攻击信息)，采用集中的智能分析和事件关联手段，在尽可能靠近攻击源头的地方封堵或限制攻击流量，进而保证整个网络的高可用性。

FlowVision对流数据进行计算，将计算结果与基线对比，继而发现异常流量，并结合其它的流量分析指标，如包大小的分布、TCP-Flag等规则，来判断网络是否存在异常。由于流数据的采集、分析和防范措施是分布在接入/分布层完成的，即最大限度靠近“源头”，因此确保侦测和定位最精确而防护也最有效率。

FlowVision对流量进行实时监控，根据已预定义的基线，判断是否有异常流量存在。当流量的统计结果超过基线的某个阈值，则产生一条告警信息。告警信息在告警事件列表窗口中呈现。告警事件的基线种类是系统内建的，未经授权不能随意修改。基线上各点的取值是以自学习算法得到的，也可根据实际情况用手工调整。同一告警原因可能因其持续性而产生多个告警事件，为了避免过多的重复告警事件，系统自动对告警事件进行合并消重。点击某一告警事件，则在左下窗口显示此类流量指标告警事件中所含的所有历史告警、等级及其发生的时间。右下窗口显示某告警事件对应的监控指标流量的近期变化趋势图。

l       配置和部署

FlowVision及其采集系统部署

n        采用Cisco NFC，实现对多种网络设备的快速、高效和低成本的数据采集及汇总，并进行归并、过滤、关联和预处理，以及灵活的采集参数定义；NFC支持多个NetFlow版本-V5/V7-9等。

n        在相关路由器上打开NetFlow的功能，其采样比可根据实际情况进行调整。