Conscience situationnelle de réseau pour contrôler le robinet de réseau par l'interface d'intégration de données d'api

Conscience situationnelle de réseau pour contrôler le robinet de réseau par API Data Integration Interface

Fond situationnel de conscience

La conscience situationnelle (SA) a été présentée la première fois dans le domaine militaire. Pendant les années 1980, l'Armée de l'Air des États-Unis a présenté le concept de la conscience situationnelle, couvrant trois niveaux de perception (perception), compréhension et prévision. Pendant les années 90, le concept de la conscience situationnelle commence à être accepté graduellement, et avec la hausse du réseau et la hausse pour la conscience situationnelle « réseau (conscience de situation de cyberespace, CSA) », se rapporte à l'environnement réseau à grande échelle au facteur de sécurité du changement de la situation de réseau obtenant, compréhension, affichage, et la tendance de développement récent de remettent des prévisions à plus tard, et le but final est de faire des décisions et l'action. Cet article se concentrera sur les sujets suivants pour discuter quelques problèmes communs dans la conscience situationnelle de réseau :

La base de la perception de réseau : couche réseau, capteur

Technologie d'analyse réseau : SNMP, NetFlow, sFlow, NetStream, serrage de paquet

Visualisation de données de réseau : WireShark, NTopng, ganglions, GeoIP

La base de la conscience de réseau

1. Aucun capteur n'est tout-puissant

Les étapes générales pour mesurer un réseau sont comme suit : d'abord, obtenez la topologie de réseau, la méthode de connexion de réseau, la liste de points d'observation potentiels, etc. Déterminez alors le point d'observation potentiel, déterminent la position peut voir l'écoulement ; En conclusion, le plan optimal de couverture est déterminé. Dans un réseau complexe, aucun capteur ne peut être entièrement couvert, ainsi des capteurs multiples doivent être utilisés ensemble. Selon le champ de la collection, des capteurs peuvent être divisés en trois catégories :

Réseau : système de détection anti-intrusion (identification), collecteur de NetFlow, collecteur de TCP (tel que le tcpdump)

Centre serveur : résidez sur le centre serveur, surveillez les activités (accès, ouverture et déconnexion de dossier) sur le centre serveur, le trafic de carte réseau

Services : messages de courrier, demandes de HTTP des services spécifiques

2. Influence de réseau posant sur des capteurs

Généralement le centre du capteur de réseau est la couche 2 | 4 dans le modèle OSI, alors que le centre du capteur de service est la couche 5 et en haut. Dans l'impact d'une couche sur le trafic réseau, il est également nécessaire de considérer le Maximum Transmission Unit (MTU) : la limite supérieure du format de l'image de données, qui affecte la taille maximum des paquets qui peuvent être transmis dans le milieu. La couche session de la couche 5 de modèle OSI doit considérer la situation est chiffrage de session, l'information chiffrée ne peut pas être directement comprise ; Dans les couches 6 et 7, vous devez connaître les détails de protocole pour extraire l'information signicative.

Technologie d'analyse réseau

Le trafic réseau reflète l'état courant du réseau et est le principal à juger si le réseau fonctionne normalement. Si le trafic reçu par le réseau dépasse sa capacité de chargement réelle, la performance du réseau sera dégradée. Les divers paramètres du trafic dans le réseau incluent principalement la réception et envoyant des datagrammes, le taux de perte de paquet, datagrammes retardent.

1- SNMP (Simple Network Management Protocol) contient un protocole de couche application, un schéma de base de données, et un ensemble d'éléments de données

2 - les données de surveillance de réseau de RMON (surveillance de réseau à distance, RFC2021) contiennent un ensemble de statistiques et de métrique de représentation qui sont échangées entre différents moniteurs (ou sondes) et systèmes de console. Elles peuvent activement surveiller le périphérique distant et dépister les informations routières sur le segment de réseau relié par le port de dispositif. Tant que donnez à ressources appropriées au détecteur, il peut également être d'empêcher l'équipement de données protecteur de contrôle des performances, diagnostic d'équipement à actif sur la performance du réseau et la performance du réseau record, en cas d'un échec à opportun informent les directeurs des informations, l'information relative est divisée en statistiques, histoire, les alarmes, événements, tels que quatre groupes, des règles peut être préréglée.

3 - NetFlow contre le sFlow contre NetStream

4 - protocole et identification de l'utilisateur

Selon le contenu de l'en-tête de rapport de données, l'IP address, le numéro d'accès, le protocole, le format de message et d'autres caractéristiques peuvent être analysés. Après classification, de divers protocoles de couche application peuvent être exactement identifiés, comme P2P (coup de foudre), la messagerie instantanée (QQ, WeChat), VPN, envoient et ainsi de suite. Naturellement, c'est seulement détection « peu profonde » de paquet, ressemblante à l'expéditeur et au récepteur sur une enveloppe.

La détection « profonde » de paquet, qui transforme le sens comme sonde en contenu d'une paire de lettres, est plus artistique que la force brutale d'ouvrir l'enveloppe. Au lieu de lire réellement le contenu d'un paquet, elle collecte des informations périphériques et fait un « profilage » du train de données de données. Une équipe de recherche en Chine a par le passé édité un document sur la « classification du trafic réseau, le progrès de recherches et les perspectives », qui ont mentionné un grand choix de technologies pour « Deep Packet Inspection » (DPI) utilisant l'apprentissage automatique

Votre réseau est soumis aux attaques ? L'intégration de la cybercriminalité se produisent quotidien.

Prenez le contrôle et résolvez les problèmes plus rapides ;

Visibilité et dépannage de Nouvelle Génération d'expérience ;

Réalisation de l'assurance de service à travers des environnements de Multi-nuage ;

La sécurité futée est ici !

Contactez notre équipe aujourd'hui, voyez ce que les autres ne peuvent pas, soyons un associé, nous sont ici pour accélérer votre voyage de NFV !

Le système de gestion visuel de collection du trafic de MATRIX peut être accompli en se déployant :

1- Topologie de réseau de présence de nuage d'e-gouvernement, les relations entre l'emplacement de point de collection et topologie de réseau de présence, la topologie de réseau de collection elle-même, équipement d'analyse des valeurs (détection d'intrusion, audit, FLOWEYE, etc.) et tout autre équipement global impliqué dans la chaîne de surveillance entière d'acquisition et d'analyse d'écoulement pour la visualisation et la surveillance unifiées.

2- suivi en temps réel et collecte des informations d'état d'opération saine du lien, y compris l'affichage en temps réel de la courbe actuelle de débit ; Enquête et affichage de courbe historique de débit ; Des liens sont montrés basés sur différents modèles de distribution de longueur de paquet pour refléter des caractéristiques d'application de message. Des liens sont présentés basés sur les modèles de distribution du différents unicast/multicast/messages à diffusion générale pour refléter le profil de santé de réseau.

3- Suivi en temps réel de sortie d'informations d'état du trafic à différents systèmes d'analyse des valeurs principaux. Basé sur le fait que les différents systèmes d'analyse des valeurs peuvent se concentrer sur des données différentes de types de trafic, le système de MATRIX peut surveiller le statut de courbe d'écoulement et la sortie de statistiques à chaque système d'analyse en temps réel.

4- Surveillance en temps réel d'état du lien d'acquisition/du lien sortie d'écoulement. En cas d'anomalies de lien ou d'anomalies significatives dans le modèle d'écoulement, le système peut produire des avertissements et les produire à la plate-forme de conscience de situation de sécurité par l'interface pour la présentation unifiée. Les utilisateurs peuvent plus loin traiter les anomalies en temps utile pour améliorer la disponibilité du système entier.

5 - Le système de gestion visuel d'acquisition d'écoulement de MATRIX pour effectuer l'échantillonnage MATRIX dans chaque visualisation d'unité d'équipement de gestion de stratégie de distribution d'écoulement, basée sur la vue de topologie de réseau actuel et à entrer profondément dans l'application de la classification latérale d'écoulement a décrit la stratégie peut être une description plus claire de la configuration complète de distribution d'écoulement, réduisent considérablement des stratégies de gestion de trafic de difficulté d'entretien.

Le système de gestion visuel de collection du trafic de 6 matrices peut non seulement indépendamment fournir une interface visuelle de WEB, mais fournit également WEBSERVICE, prise et d'autres types d'interface d'api pour intégrer avec la plate-forme de gestion de sécurité, et accepte la gestion centralisée unifiée de la plate-forme de gestion de sécurité pour présenter une vue unifiée de gestion aux utilisateurs.

Pour résumer, par le déploiement de la collection d'écoulement de SDN et la distribution MATRIX et la collection de l'écoulement de MATRIX et la distribution des parties du système visuelles de gestion à la gestion de sécurité de nuage ont unifié la plate-forme d'e-gouvernement et étroitement intègrentes avec la construction de plate-forme, réaliser la base de l'administration unifiée de l'effet de gestion des données du trafic réseau de nuage d'e-gouvernement, pour l'analyse du système situationnel de sécurité de réseau et de conscience de sécurité pour fournir le soutien important.

3. 100G par acquisition de données, saisie de données et carte de service de commutateur/robinets réseau de module pour la conscience situationnelle de réseau (SA)

ROBINET NPB.pdf de réseau de NT-FTAP-32QCX