一个可供创业公司参考的云网络可视化与安全解决方案(2)

通过 SDN 的能力我们把智能探针(Traffic Intelligence)部署在生产网络中,使用 Flow 的技术我们能及时发现哪些流量有问题,一旦发现有问题便拎出它的包再放大——采用 DPI 分析.整个过程不看用户的 payload 文件而只看 Packet “指纹”特征,这便是我们的 SDN.

这个是我们的一个软件架构,最底层是 Flow 的采集,这其中有一个缓存,在上面是数据关联,实际上数据从采集一直到展示出来是一个层层处理的过程.

当数据处理到达 Elastic Search 以后,我们对上提供 Restful API,这样用户自己可以开发应用或者第三方的合作伙伴一起开发应用,从而更好地利用我们的分析结果.

说了这么多,还是举个例子证明一下吧.首先是我们与合作伙伴对上海一家客户几个月的 Flow 数据做了点分析.

在这些 Flow 数据上做了大概 22 种攻击流量建模,得出来的其中一个结果就是这样.这个图下半部分大家能看到红线的数据是 0、蓝线是有数值的,这股流量只进不出,说明这是网络攻击.大家再对比一下这幅图中间部分的正常流量曲线数据,实际上底部所示的攻击流量是非常的小.

这其实更说明了我们 Flow 分析的价值,因为在一个云的内部网络流量非常大,而我们能从如此巨大的流量(上百G)中发现细微的流量(几个包、1000 多个字节)异常.经过我们这么一查,用户的问题就找到了.

绿盟基于我们的分析平台把各种安全模型全部统计出来,最典型的像检测 DDOS 攻击和恶意扫描.

但是这两种攻击是完全不一样.DDOS 攻击流量大很容易被发现,而恶意扫描通常都是非常小的一个包,比如一个云网络里面有三台虚拟机给每个人的远程桌面(3389 端口)发了一个包,虽然只有三个包,但是这种行为很恶劣,在这种情况下把它检测出来其实难度还是比较大的.

（编辑：ASP站长网）