随着企业上云、5G落地、物联网设备激增,网络爆炸式发展,网络流量海量化、复杂化成为常态,如何有效识别、监测、分析网络流量成为重要研究方向和企业关注热点。
本期E企研究院重点聚焦网络流量分析(NTA),这一概念最早在2013年被提出,2017年入选Gartner”11大顶尖信息安全技术”。NTA通过DFI和DPI技术来分析网络流量,通常部署在关键的网络区域,对东西向和南北向的流量进行分析,完成流量监测与分析。
网络流量监测分析既指特定用途的硬件设备(如各安全厂商提供的NTA/NDR),也指基于网络层的安全分析技术。不同于主机层、应用层以日志、请求等为分析对象,流量分析面对的是更底层的网络数据包,信息元素更多,分析更复杂。
目前,很多网络流量分析产品集流量收集、分析、报告于一体,解决谁在什么时间、什么地方、执行什么行为等安全流程中的重要问题,帮助企业全面了解网络活动。
而本期我们将要解读的是武汉绿色网络信息服务有限责任公司(简称“绿色网络”)的流量样本仿真平台方案,这一方案面向具有网络流量分析类的客户,通过构造一个仿真的环境,对流量数据进行分析,或将已存储的真实网络报文进行样本分析和报文回放,完成对客户设备或产品的性能和功能上的测试评估,从而解决各厂商在流量分析类产品测试过程中遇到的问题。
更灵活的优势武汉绿网流量样本仿真平台方案主要解决客户使用真实流量对网络分析类、安全类产品进行反复测试的情况,Intel硬件架构,特别是AVX-512指令集和Intel DPDK以及绿网自研软件工具包等可以充分的融合在一起,从而具备高性能、低成本的优势,用户可以将高速捕捉到的报文,先通过武汉绿网内置的流量分析系统对报文进行分析、修改,再通过可自定义的速率对报文回放,以达到测试结果比对等不同的测试需求。
该方案相当于一款具备流量分析、编辑、回放的测试仪表,以更灵活易用的方式对真实报文进行定制,解决各厂商针对流量分析类产品的测试过程中遇到的问题。
方案可对样本流量进行实时抓取、保存,支持对样本文件进行高速分析、统计、流量编辑、组合等;可实现常见协议类型和应用类型的识别与统计,支持5G信令样本文件进行接口类型及消息类型统计;可以按照倍速进行样本流量回放打流,设置回放次数。
核心优势: 1、样本分析支持对大体积(500GB以上)的样本文件进行高速分析、统计、流量编辑、组合功能,处理速度不低于3Gbps。
支持识别常见协议类型40种以上,以及业务应用类型3000种以上,并按会话输出各类日志的话单统计。
支持对样本流量按五元组并发流数,带宽,特定目标特征进行流统计,可按时间、源目的IP地址范围分类统计流量。
支持5G信令样本文件进行接口类型及消息类型统计。
2、样本编辑支持通过界面对样本数据二进制解码内容进行查看,并且可对报文插入、删除、修改、等操作。
支持对流量样本的指定流量的还原样本文件进行修改并生成新的流量样本。
支持按协议类型,协议变量,五元组,应用类型等条件进行过滤流量样本,多个条件之间通过&&、||关系进行组合,支持>、<、==等运算操作符,对样本流量进行过滤。
3、样本回放支持对样本流量按自定义配置速率进行回放,对小于1G样本的最大回放速率需要达到网口线速,且支持按原速率或原速率倍速进行回放数据。
支持对样本流量的源目的IP,源目的端口,协议按进行修改,支持对样本流量指定的IP,端口,协议范围,并按步长进行递增后的样本流量进行回放。
方案配置 评估测试更易用利用武汉绿网提供的流量样本仿真平台搭建测试环境,可同时对三款流量分析类产品进行评估与测试,样本文件分析回放设备的整体处理流程如下:
第一,将分光接入的实际网络流量进行存储;
第二,对存储的文件进行协议及业务归类分析,调整个别的数据报文参数值;
第三,选定样本文件,通过10GE输出端口模拟进行流量回放。通过分流器,同时接到三款不同待测产品,使三款产品能够接收到相同的数据;
第四,对比三款产品的接收处理结果,根据回放样本文件的分析统计进行准确性判定。
方案拓扑图秉承“因为专注 所以强大”的理念,绿色网络专注于DPI(深度报文检测)、大数据、网络安全、边缘智能等领域,为运营商及其他政企客户提供电信级应用层网络设备解决方案。
目前产品已遍布中国31个省、160余个城市以及澳门特别行政区,产品覆盖链路超过500T。未来,绿色网络将继续凭借核心技术,携手商业伙伴,深度把握ICT融合的进程,用专业技术与服务,成就全球智能网络服务领导者。
