Conciencia circunstancial de la red para manejar el golpecito de la red a través de interfaz de la integración de datos del API

Conciencia circunstancial de la red para manejar el golpecito de la red a través de API Data Integration Interface

Fondo circunstancial de la conciencia

La conciencia circunstancial (SA) primero fue introducida en el campo militar. En los años 80, la fuerza aérea de los E.E.U.U. introdujo el concepto de conciencia circunstancial, cubriendo tres niveles de opinión (opinión), la comprensión y la predicción. En los años 90, el concepto de conciencia circunstancial comienza a ser aceptado gradualmente, y con la subida de la red y la mejora para la conciencia circunstancial “red (conciencia de la situación del ciberespacio, CSA)”, refiere al ambiente de red en grande al factor de seguridad del cambio de la situación que obtiene, comprensión, exhibición de la red, y la tendencia de reciente desarrollo de pospone pronósticos, y el propósito final es hacer decisiones y la acción. Este artículo se centrará en los temas siguientes para discutir algunos problemas comunes en conciencia circunstancial de la red:

La base de la opinión de la red: capa de red, sensor

Tecnología del análisis de red: SNMP, NetFlow, sFlow, NetStream, captura del paquete

Visualización de los datos de la red: WireShark, NTopng, ganglios, GeoIP

La base de la conciencia de la red

1. No hay sensor todopoderoso

Los pasos generales para medir una red son como sigue: primero, obtenga la topología de red, el método de la conexión de la red, la lista de puntos de observación potenciales, el etc. Entonces determine el punto de observación potencial, determinan la posición puede ver el flujo; Finalmente, se determina el esquema óptimo de la cobertura. En una red compleja, ningún sensor puede ser cubierto completamente, así que los sensores múltiples necesitan ser utilizados juntos. Según el campo de la colección, los sensores se pueden dividir en tres categorías:

Red: sistema de detección de intrusión (identificación), colector de NetFlow, colector del TCP (tal como tcpdump)

Anfitrión: resida en el anfitrión, supervise las actividades (acceso a archivos, clave y salida del sistema) en el anfitrión, tráfico de la tarjeta de red

Servicios: mensajes del correo, solicitudes HTTP para los servicios específicos

2. Influencia de la red que acoda en los sensores

En general, el foco del sensor de la red es la capa 2 ~ 4 en el modelo de OSI, mientras que el foco del sensor del servicio es la capa 5 y arriba. En el impacto de acodar en tráfico de red, es también necesario considerar el Maximum Transmission Unit (MTU): el límite superior del tamaño de marco de datos, que afecta al tamaño máximo de los paquetes que se pueden transmitir en el medio. La capa de sesión de la capa 5 del modelo de OSI necesita considerar la situación es encripción de la sesión, la información cifrada no puede ser entendida directamente; En las capas 6 y 7, usted debe conocer los detalles del protocolo para extraer la información significativa.

Tecnología del análisis de red

El tráfico de red refleja el estado corriente de la red y es el dominante a juzgar si la red está corriendo normalmente. Si el tráfico recibido por la red excede su capacidad de carga real, el funcionamiento de red será degradado. Los diversos parámetros del tráfico en la red incluyen principalmente la recepción y enviando datagramas, la tarifa de la pérdida del paquete, datagramas retrasa.

1- El SNMP (protocolo SNMP) contiene un protocolo de la capa de aplicaciones, un esquema de base de datos, y un sistema de objetos de datos

2 - los datos de supervisión de la red de RMON (supervisión de la red remota, RFC2021) contienen un sistema de estadísticas y de las métricas del funcionamiento que se intercambian entre diversos monitores (o las puntas de prueba) y los sistemas de la consola. Pueden supervisar el dispositivo remoto y seguir activamente la información de tráfico sobre el segmento de la red conectado por el puerto del dispositivo. Mientras dé los recursos adecuados al detector, puede también ser prevenir el equipo de datos protector de supervisión de funcionamiento, diagnosis del equipo a activo en el funcionamiento de red y el funcionamiento de red de registro, en caso de fracaso a oportuno notifica a los encargados de información, información relacionada se divide en las estadísticas, historia, alarmas, acontecimientos, tales como cuatro grupos, las reglas puede ser preestablecido.

3 - NetFlow contra sFlow contra NetStream

4 - protocolo e identificación del usuario

Según el contenido del jefe del informe de los datos, la dirección IP, el número de puerto, el protocolo, el formato del mensaje y otras características pueden ser analizados. Después de la clasificación, los diversos protocolos de la capa de aplicaciones se pueden identificar exactamente, por ejemplo P2P (rayo), la mensajería inmediata (QQ, WeChat), VPN, envían por correo electrónico y así sucesivamente. Por supuesto, ésta es solamente detección “baja” del paquete, como la mirada del remitente y del beneficiario en un sobre.

La detección “profunda” del paquete, que tiene sentido como punta de prueba en el contenido de un par de letras, es más artística que la fuerza bruta de abrir el sobre. En vez realmente de leer el contenido de un paquete, recoge la información periférica y hace un “perfilado” de la secuencia de datos. Un equipo de investigación en China publicó una vez un documento sobre “la clasificación del tráfico de red, el progreso de la investigación y las perspectivas”, que mencionaron una variedad de tecnologías para “Deep Packet Inspection” (DPI) usando el aprendizaje de máquina

¿Su red está bajo ataque? La integración de la ciberdelincuencia sucede diario.

Tome el control y solucione los problemas más rápidos;

Visibilidad y localización de averías de Next Generation de la experiencia;

Realización de garantía del servicio a través de ambientes de la Multi-nube;

¡La seguridad elegante está aquí!

¡Entre en contacto con a nuestro equipo hoy, vea lo que no pueden el otros, seamos un socio, nosotros están aquí acelerar su viaje de NFV!

El sistema de gestión visual de la colección del tráfico de la MATRIZ puede ser terminado desplegando:

1- La topología de red de la presencia de la nube de la administración electrónica, la relación entre la ubicación del punto de la colección y la topología de red de la presencia, la topología de red de la colección sí mismo, el equipo del análisis de seguridad (detección de la intrusión, auditoría, FLOWEYE, etc.) y el otro equipo total implicado en la cadena de supervisión entera de la adquisición y del análisis del flujo para la representación visual y la supervisión unificadas.

2- supervisión en tiempo real y colección de información de estado de la operación sana del vínculo, incluyendo la exhibición en tiempo real de la curva actual del flujo; Investigación y exhibición de la curva histórica del flujo; Los vínculos se exhiben basados en diversos modelos de la distribución de la longitud del paquete para reflejar características del uso del mensaje. Los vínculos se presentan sobre la base de los modelos de la distribución de diversos mensajes del unicast/del multicast/de difusión para reflejar el perfil de la salud de la red.

3- Supervisión en tiempo real de la salida de información de estado del tráfico a diversos sistemas de análisis de seguridad finales. De acuerdo con el hecho de que diversos sistemas de análisis de seguridad pueden centrarse en diversos tipos de datos del tráfico, el sistema de la MATRIZ puede supervisar la situación de la curva de flujo y la salida de las estadísticas a cada sistema de análisis en tiempo real.

4- Supervisión en tiempo real del estado del vínculo de la adquisición/del vínculo de la salida del flujo. En caso de anomalías del vínculo o de anomalías significativas en el modelo de flujo, el sistema puede generar advertencias y hacerlas salir a la plataforma de la conciencia de la situación de la seguridad a través del interfaz para la presentación unificada. Los usuarios pueden procesar más lejos las anomalías a tiempo para mejorar la disponibilidad del sistema entero.

5 - El sistema de gestión visual de la adquisición del flujo de la MATRIZ para realizar la MATRIZ del muestreo en cada visualización de la unidad del equipo de la gestión de estrategia de la distribución de flujo, sobre la base de la opinión de topología de red actual y a entrar profundamente el uso de la clasificación lateral del flujo describió estrategia puede ser una descripción más clara de la configuración completa de la distribución de flujo, reduce grandemente estrategias de gestión de tránsito de la dificultad del mantenimiento.

El sistema de gestión visual de la colección del tráfico de 6 matrices puede no sólo proporcionar independientemente un interfaz visual de la WEB, pero también proporciona WEBSERVICE, el zócalo y otros tipos de interfaz del API para integrar con la plataforma de la gestión de la seguridad, y acepta la gestión centralizada unificada de la plataforma de la gestión de la seguridad para presentar una opinión unificada de la gestión a los usuarios.

Para resumir, con el despliegue la colección del flujo de la colección del flujo de SDN y de la MATRIZ y de la MATRIZ de la distribución y distribución de los componentes de sistema de gestión visual a la gestión de la seguridad de la nube unificó la plataforma de la administración electrónica e integrada firmemente con la construcción de la plataforma, alcanzar la base de la administración unificada del efecto de la gestión de datos de tráfico de red de la nube de la administración electrónica, para el análisis del sistema circunstancial de la seguridad de la red y de la conciencia de la seguridad para proporcionar el fuerte apoyo.

3. 100G de adquisición de datos, captura de datos y tarjeta del servicio del interruptor/golpecitos de la red del módulo para la conciencia circunstancial de la red (SA)

GOLPECITO NPB.pdf de la red de NT-FTAP-32QCX