【正文】 給攻擊貼標(biāo)簽： 當(dāng)檢測(cè)到異常時(shí)，Peakflo。這些模型根據(jù)很多不同的時(shí)間段和矢量了解網(wǎng)絡(luò)和用戶的流量。子系統(tǒng): 功能:告警產(chǎn)生器 配對(duì)，建立模型，和核對(duì)流量啟發(fā)式誤用檢測(cè)器 根據(jù)攻擊類型對(duì)異?，F(xiàn)象貼標(biāo)簽不變量過濾器 為攻擊不變量生成指紋特征（fingerprint ）分類子系統(tǒng) 區(qū)別表面上的異常，查明真正的攻擊表格：Peakflow DoS SPAD 結(jié)構(gòu)的組成部分Peakflow DoS 使用 SPAD 結(jié)構(gòu)：檢測(cè)拒絕服務(wù)攻擊：SPAD 告警產(chǎn)生器依賴于網(wǎng)絡(luò)里流量和資源利用的基礎(chǔ)模型。這種方法依賴 Statistical Protocol Anomaly Detection （SPAD） 來鑒定攻擊。作為它的檢測(cè)和追蹤過程的一部分，Peakflow DoS 發(fā)現(xiàn)拒絕服務(wù)攻擊中不變的關(guān)系。Arbor Networks Peakflow DoS 解決方案能夠檢測(cè)并且關(guān)聯(lián)在拒絕服務(wù)攻擊期間數(shù)據(jù)包之間固定和變化的關(guān)系。為運(yùn)營(yíng)商用戶查明路由問題： 采用了 Peakflow SP 的解決方案，一個(gè)客戶的網(wǎng)絡(luò)管理人員能夠檢測(cè)影響網(wǎng)絡(luò)前綴（Prefixes ）的路由異常。Peakflow DoS 直接從網(wǎng)絡(luò)流量數(shù)據(jù)中進(jìn)行分析從而能夠追蹤到拒絕服務(wù)攻擊的進(jìn)入點(diǎn)。當(dāng)運(yùn)營(yíng)商能夠快速查明針對(duì)其核心路由和交換網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊并且做出反應(yīng)，其網(wǎng)絡(luò)將可以為用戶的連接性和可用性提供一條更有效的導(dǎo)管。這種能力對(duì)運(yùn)營(yíng)商的網(wǎng)絡(luò)服務(wù)提供顯著的改善，最終能夠?yàn)橛脩籼峁案蓛簟钡膸?。直接的檢測(cè)： Peakflow DoS 能夠有能力直接檢測(cè)瞄準(zhǔn)運(yùn)營(yíng)商用戶和其計(jì)算機(jī)終端資源的重要的基于洪流的拒絕服務(wù)（DoS）攻擊。這種方案與侵?jǐn)_式（Intrusive）解決方案有著明顯的差別, 那些解決方案有必要在和平時(shí)期 的需求高峰時(shí)段把用戶流量轉(zhuǎn)移。連續(xù)的學(xué)習(xí)： Peakflow DoS 得到來自對(duì)等路由器輸出的數(shù)據(jù)流, 從而可以學(xué)習(xí)網(wǎng)絡(luò)用戶和運(yùn)營(yíng)商的行為。TR 網(wǎng)絡(luò)流量分析解決方案下面是一系列 Peakflow DoS 的關(guān)鍵特征：連續(xù)的檢測(cè)： Peakflow DoS 實(shí)時(shí)提供網(wǎng)絡(luò)異常的連續(xù)檢測(cè)。一般，在沒有使用 Peakflow DoS 的情況下，運(yùn)營(yíng)商意識(shí)到有攻擊的發(fā)生會(huì)是以下兩種方式之一： 攻擊使運(yùn)營(yíng)商骨干網(wǎng)絡(luò)癱瘓，或者攻擊未被留意直到運(yùn)營(yíng)商的用戶接觸運(yùn)營(yíng)商的運(yùn)維部門發(fā)出投訴。該系統(tǒng)可保持52 周的數(shù)據(jù)匯總和統(tǒng)計(jì)資料。缺省地,，Peakflow SP 提供當(dāng)前（current） 、平均（average） 、最大及突發(fā)（max）數(shù)據(jù)信息，以及基于天、周、月和年的時(shí)間框架，用戶可以從任意的時(shí)間段內(nèi)查看所需要的數(shù)據(jù)。 Peakflow SP 也支持可配置的每天、每周和每月電子郵件報(bào)表。? 提供來自于用戶 profile 的網(wǎng)內(nèi)（on）和出網(wǎng)（off）的流量值。? 顯示最主要路徑的數(shù)據(jù)和進(jìn)出每一個(gè) profile 的源/目的 ASN，顯示每一對(duì)profiles 之間的流量值。在資源統(tǒng)計(jì)方面，Peakflow SP 可以實(shí)現(xiàn)以下主要功能：? 提供進(jìn)/出每個(gè)跨越本地邊界（local boundary）和本地 BGP 邊界（local BGP boundary）的 profile 的流量值。? 顯示針對(duì)某一個(gè)對(duì)等（peer） ，有多少經(jīng)過網(wǎng)絡(luò)的流量， 下一個(gè)跳（NextHop）地址是什么，以及它們之間有多少流量。 ? 反映出流經(jīng)用戶網(wǎng)絡(luò)的數(shù)據(jù)中，主要的源／目的 AS 之間的流量水平．例如，多少流量是從 A1 到 A2，多少流量是從 A2 到 A1。? 提供必需的工具來評(píng)估/比較存在的對(duì)等關(guān)系，并決定用于對(duì)等的可行的新的資源。? 展示進(jìn)出每個(gè)網(wǎng)絡(luò)對(duì)等（peer）的協(xié)議和 TCP/UDP 端口號(hào)的數(shù)據(jù)細(xì)目。? 針對(duì)出入每個(gè)網(wǎng)絡(luò)對(duì)等（peer）的流量顯示 AS 距離特性。? 對(duì)特定的對(duì)等（peer） 、路由器、接口或者 profile 從最近的收集周期中提供Netflow 的實(shí)際采樣。TR 網(wǎng)絡(luò)流量分析解決方案? 提供生成定制的網(wǎng)絡(luò)資源組“profiles” ，以 CIDR 塊（block） 、AS regexp、subAS 或者 BGP munity 屬性，并指定什么接口形成這些網(wǎng)絡(luò)資源的邊界。? 提供一個(gè)自動(dòng)一次或循環(huán)生成報(bào)告的機(jī)制。? 提供能夠基于從 BGP 和 Netflow 提供的數(shù)據(jù)生成定制化的流量 /路由報(bào)告。 系統(tǒng)應(yīng)能產(chǎn)生一年內(nèi)任一時(shí)間段的這些圖表。? 提供對(duì)每一個(gè)網(wǎng)絡(luò)，每一個(gè)上游（upstream）提供商/對(duì)等（peer ） ，每一個(gè)路由器，以及每一個(gè)端口提供實(shí)時(shí)， 最大的，和平均的流量數(shù)據(jù)，使用戶能看到網(wǎng)絡(luò)容量的利用率及發(fā)現(xiàn)網(wǎng)絡(luò)通信的“熱點(diǎn)” 。在數(shù)據(jù)測(cè)量和報(bào)告方面，Peakflow SP 能夠?qū)崿F(xiàn)以下主要功能：? 監(jiān)視和跟蹤網(wǎng)絡(luò)流量，所有被監(jiān)視的路由器及關(guān)聯(lián)接口的網(wǎng)絡(luò)拓?fù)渥兓?Arbor Peakflow SPPeakflow SP 的網(wǎng)絡(luò)范圍內(nèi)的異常檢測(cè)結(jié)構(gòu)可以被用作為用戶流量的詳細(xì)分析。因此， 網(wǎng)絡(luò)管理人員可以有效知道現(xiàn)有的安全威脅（如 ICMP Flood、Syn Flood 等）以及全新、從未發(fā)現(xiàn)過的威脅， 即使攻擊是未知的，它將造成異常的網(wǎng)絡(luò)行為,，Peakflow 也具有檢測(cè)和發(fā)現(xiàn)的能力。由于 Peakflow 靈活的圖形化能力和基于 XML 的 schema，用戶能夠建立各種各樣的圖表和報(bào)表，包括從詳細(xì)的統(tǒng)計(jì)分析到管理報(bào)表, 這樣可以使整個(gè)機(jī)構(gòu)的溝通變得容易。因此，在無需進(jìn)行大型的網(wǎng)絡(luò)升級(jí)或重新規(guī)劃的情況下，網(wǎng)絡(luò)管理人員就能夠得到整體網(wǎng)絡(luò)范圍的流量信息和拓?fù)湫畔⒌哪Ｐ汀D：Peakflow 系統(tǒng)平臺(tái)測(cè)量Peakflow 對(duì)穿越整個(gè)網(wǎng)絡(luò)的流量數(shù)據(jù)和路由數(shù)據(jù)進(jìn)行定時(shí)采樣，并且匯集和關(guān)聯(lián)這些數(shù)據(jù)以建立一個(gè)分布式，但卻包含全網(wǎng)的分析角度。 這個(gè)平臺(tái)能夠從網(wǎng)絡(luò)的邊緣到核心建立正常網(wǎng)絡(luò)行為的模型, 然后把這個(gè)基線與實(shí)時(shí)流量進(jìn)行比較以進(jìn)行異?，F(xiàn)象的檢測(cè), 而這種功能也是非常獨(dú)特的。 這些報(bào)表使包括對(duì)等評(píng)選、網(wǎng)絡(luò)容量計(jì)劃、路由安全、網(wǎng)絡(luò)應(yīng)用的監(jiān)控、和協(xié)議使用等許多較大的網(wǎng)絡(luò)功能的實(shí)施變得容易。Peakflow SP 是建立于 Peakflow DoS 的基礎(chǔ)上。這種異?，F(xiàn)象檢測(cè)方法提供一種非常可靠的途徑來檢測(cè)和追蹤源于惡意攻擊, 網(wǎng)絡(luò)配置而造成的合法流量變化，以及新服務(wù)的啟動(dòng)等原因所導(dǎo)致的網(wǎng)絡(luò)變化。Peakflow 拒絕服務(wù)（DoS）平臺(tái)通過使用這數(shù)據(jù)庫里的信息，建立運(yùn)營(yíng)商網(wǎng)絡(luò)正常情況的模型。Arbor Networks PeakflowTM 解決方案為大規(guī)模 IP 網(wǎng)絡(luò)提供實(shí)時(shí)監(jiān)控和異常現(xiàn)象的檢測(cè)。Peakflow 解決方案已經(jīng)出廠超過一年, 并且被廣泛部署在很多網(wǎng)絡(luò)里, 包括產(chǎn)品最初研究工作開展的密西根大學(xué)和Mich —— 一家在密西根地區(qū)服務(wù)于很多主要學(xué)術(shù)機(jī)構(gòu)的地區(qū)因特網(wǎng)運(yùn)營(yíng)商。 Arbor 研究人員最新和進(jìn)行中的研究 （在同行評(píng)審的雜志里出版，在 NANOG、IETF等會(huì)議中發(fā)表） 繼續(xù)在 BGP 協(xié)議行為的知識(shí)、數(shù)據(jù)流采樣技術(shù)和因特網(wǎng)蠕蟲和保安方面保持領(lǐng)先的技術(shù)水平。目前，Arbor 已經(jīng)先于其它廠家完成了對(duì) Netflow V9 的支持，從而實(shí)現(xiàn)了對(duì) MPLS 業(yè)務(wù)的支持（Cisco 設(shè)備打開 MPLS 后只能發(fā)送 Netflow V9 格式的數(shù)據(jù)） ，這在很大程度上就得益于 Arbor 和 Cisco 的良好合作關(guān)系。 長(zhǎng)遠(yuǎn)的發(fā)展Arbor Networks 與 Cisco、Juniper 和 Foudry 公司具有良好的合作伙伴關(guān)系，因?yàn)橛兴伎茷楣咎峁┵Y金，Arbor 網(wǎng)絡(luò)直接涉及 NetFlow 標(biāo)準(zhǔn)的發(fā)展， Arbor 也是Juniper 高級(jí)合作伙伴 （得到這種身份唯一的公司） ，Cisco 和 Juniper 都擁有 Arbor Networks 的股份。Arbor Peakflow 系統(tǒng)本身內(nèi)置字典功能并支持用戶自定義字典，能夠自動(dòng)將這些數(shù)字翻譯成實(shí)際的業(yè)務(wù)名稱，如將 TCP 的 80 端口翻譯成 WWW，AS4134 翻譯成 ChinaNET 等。用戶可以非常方便的以 EXCEL 等格式下載歷史結(jié)果，并通過簡(jiǎn)單的 OFFICE 操作得到需要的圖表，并可以查詢得到每個(gè)具體時(shí)間段（具體到 5 分鐘）的實(shí)際數(shù)據(jù)。系統(tǒng)管理員能夠非常方便的了解系統(tǒng)運(yùn)行的情況，并對(duì)系統(tǒng)的歷史運(yùn)行情況進(jìn)行查詢。系統(tǒng)支持對(duì)不同業(yè)務(wù)質(zhì)量等級(jí)的業(yè)務(wù)按照其 TOS 值進(jìn)行分析。系統(tǒng)還能夠通過 Email、SNMP TRAP、SYSLOG 等方式直接將不同級(jí)別的告警按照系統(tǒng)管理員的配置發(fā)送給系統(tǒng)管理員、日志服務(wù)器或者直接發(fā)送給網(wǎng)絡(luò)用戶。為了能夠?qū)⒘髁糠治鱿到y(tǒng)融合到運(yùn)營(yíng)商現(xiàn)有的網(wǎng)管系統(tǒng)中，系統(tǒng)提供了 SNMP MIB 可供運(yùn)營(yíng)商現(xiàn)有的網(wǎng)管系統(tǒng)調(diào)用。系統(tǒng)能夠提供指定時(shí)間的流量分析結(jié)果，提供指定時(shí)間段，指定時(shí)間周期的報(bào)告，方便進(jìn)行分析。 這套系統(tǒng)還提供總體圖表和允許網(wǎng)管人員把圖表放大以詳細(xì)觀看流量趨勢(shì)中細(xì)小的變化。全部統(tǒng)計(jì)資料都能從每個(gè)接口、每個(gè)路由器、每個(gè)對(duì)等、每個(gè)配置模板、和全網(wǎng)范圍的基礎(chǔ)上得到。 與需要數(shù)周時(shí)間作額外配置或?qū)?Scripts 的免費(fèi)軟件和其他系統(tǒng)不一樣， Peakflow系統(tǒng)所提供數(shù)據(jù)立即可用，適用于關(guān)鍵業(yè)務(wù)和工程流量決定所需要的報(bào)表。因此，多臺(tái) Arbor Peakflow 組成的是真正面向大型的運(yùn)營(yíng)商網(wǎng)絡(luò)的系統(tǒng)，而不是孤立的多臺(tái)設(shè)備。 完善的系統(tǒng)功能 統(tǒng)一的系統(tǒng)管理界面與其它設(shè)備廠家的系統(tǒng)不同，Arbor Peakflow 系統(tǒng)能夠通過分析服務(wù)器（Controller）管理系統(tǒng)中的所有設(shè)備，而不需要逐一對(duì)所有設(shè)備進(jìn)行配置。在 ATamp。 自動(dòng)生成防攻擊控制策略Arbor Peakflow 系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后，提出報(bào)警，實(shí)現(xiàn)源追蹤（包括源地址和物理的入網(wǎng)源頭） ，可以根據(jù)攻擊的來源和攻擊方式根據(jù)設(shè)備類型（Cisco ，Juniper 或Foudry）自動(dòng)生成 Cisco、Juniper 等設(shè)備的 ACL/ratelimit 等防攻擊建議配置文件，并提示網(wǎng)絡(luò)管理員應(yīng)將該配置部署到網(wǎng)絡(luò)中某臺(tái)設(shè)備的具體端口。TR 網(wǎng)絡(luò)流量分析解決方案 真正的網(wǎng)絡(luò)安全設(shè)備基于自身獨(dú)特的流量模型以及分析策略，能夠發(fā)現(xiàn)小流量但是致命的安全攻擊。通過下載 FingerPrint 數(shù)據(jù)庫，運(yùn)營(yíng)商可以充分借鑒其它運(yùn)營(yíng)商的經(jīng)驗(yàn)，并提高網(wǎng)絡(luò)的防攻擊能力。Arbor 公司在美國(guó)部署了一套 FingerPrint（安全攻擊指紋特征）數(shù)據(jù)庫服務(wù)器。一旦出現(xiàn)這種攻擊，普通的流量分析由于流量太小根本無法監(jiān)控，而通過 Arbor 的安全分析手段將能夠在出現(xiàn)傷害之前馬上定位攻擊的源頭并提出控制建議，避免造成傷害．這個(gè)方案同簡(jiǎn)單通過流量分析方式發(fā)現(xiàn)攻擊病毒的方案 存在很大的本質(zhì)不同。TR 網(wǎng)絡(luò)流量分析解決方案 自動(dòng)發(fā)現(xiàn)偽造地址攻擊同樣，我們自動(dòng)發(fā)現(xiàn)私有 IP、Dark IP 地址欺騙事件并追蹤到物理的設(shè)備源頭，在這種情況下如果只發(fā)現(xiàn)源地址而不發(fā)現(xiàn)物理進(jìn)入網(wǎng)絡(luò)的物理源頭，是不可能有效控制的，Arbor 的產(chǎn)品將會(huì)定位物理的源頭，提供有效的控制。 真正實(shí)現(xiàn)的攻擊病毒的源追蹤通過異常流量的觀察分析病毒源和攻擊源，這里分析的源不但包括病毒的源地址和目的地址、上層端口、協(xié)議類型等特點(diǎn)，同時(shí)包括進(jìn)入整體網(wǎng)絡(luò)的物理源頭，方便實(shí)現(xiàn)控制。這種方法對(duì)于新型和/或變種的攻擊是完全無效的。Peakflow DoS 然后匯集從被監(jiān)控路由器所收集的數(shù)據(jù)以提供所有異常的總結(jié)，而且提供對(duì)受影響網(wǎng)絡(luò)部件的追蹤資料。系統(tǒng)保存成千上萬種不同網(wǎng)絡(luò)模板并且使用它們與實(shí)際的流量采樣作比較。DoS 平臺(tái)使用從運(yùn)營(yíng)商網(wǎng)絡(luò)里的路由器收集的 Netflow 數(shù)據(jù)來建立一個(gè)關(guān)于網(wǎng)絡(luò)流量的動(dòng)態(tài)基線。與 Peakflow DoS 系統(tǒng)相配合，能提供業(yè)界領(lǐng)先的拒絕服務(wù)攻擊檢測(cè)和防衛(wèi)。 例如，與一個(gè)接口相關(guān)的正常對(duì)等和 IP子網(wǎng)范圍是什么？用來到達(dá)這些前綴塊通常的 AS 路徑是什么？ 網(wǎng)絡(luò)服務(wù)器流量突然下降 40%的根本原因 – 是因?yàn)?5,000 個(gè) BGP 前綴的丟失嗎？ Peakflow SP 提供重要的異常檢測(cè)和事件獲取能力，包括對(duì)于流量變化的告警（每個(gè)對(duì)等、每個(gè)用戶、每個(gè)路由器、等等） 。TR 網(wǎng)絡(luò)流量分析解決方案 強(qiáng)大的安全功能 異常流量檢測(cè)Peakflow SP 的核心包括一種尖端的拓?fù)浜土髁磕Ｐ鸵妗rbor Networks 目前已經(jīng)開發(fā)了 Management Portal 模塊（目前正在北美的商用網(wǎng)絡(luò)上進(jìn)行測(cè)試，并計(jì)劃在明年一季度正式商用） ，用來給運(yùn)營(yíng)商的大客戶提供增值自服務(wù)功能。通過分析大型用戶的業(yè)務(wù)特點(diǎn)，提供運(yùn)營(yíng)商最需要的重要用戶的應(yīng)用特點(diǎn)和最多應(yīng)用 IP 的分析。Arbor Peakflow 能夠?qū)\(yùn)營(yíng)商的用戶的流量進(jìn)行詳細(xì)的分析。同時(shí)系統(tǒng)還能自動(dòng)記錄網(wǎng)絡(luò) BGP 路由的振蕩情況。可根據(jù)這一點(diǎn)將其內(nèi)容拿入到內(nèi)部，減少在 Peer 上的花費(fèi)，同時(shí)提高內(nèi)部網(wǎng)絡(luò)的服務(wù)質(zhì)量?；诮涌趯哟瘟髁磕Ｐ?，Peakflow Traffic 將準(zhǔn)確測(cè)量進(jìn)入和外出的流量，即使在嚴(yán)重 BGP 路由不對(duì)稱的情況下。TR 網(wǎng)絡(luò)流量分析解決方案Peakflow Traffic 自動(dòng)學(xué)習(xí)并且區(qū)分面向?qū)Φ?、骨干和面向用戶的接口。Peakflow 從多個(gè)接口、路由器、用戶自定模板和對(duì)等匯集流量統(tǒng)計(jì)資料。與那些單點(diǎn)解決方案或其他基于數(shù)據(jù)流收集的產(chǎn)品不一樣，Peakflow Traffic 連續(xù)跟蹤并且關(guān)聯(lián)骨干路由器上的網(wǎng)絡(luò)流量，而且使用非常詳細(xì)的拓?fù)淠Ｐ?。系統(tǒng)能夠充分利用網(wǎng)絡(luò) BGP 信息對(duì)網(wǎng)絡(luò)與每個(gè) PEER 和每個(gè) AS 之間的流量進(jìn)行深入的分析。 增強(qiáng) BGP 功能分析Netflow 的原始數(shù)據(jù)中只提供 IP 包的原