迈普TAS(Traffic Analysis System)流量审计分析系统是一套软硬一体数据分析设备,采取旁路方式部署,在不影响用户原有业务系统的情况下,通过高速抓取、存储和分析网络数据,对网络性能、应用性能等实施有效的检测与分析,迅速发现业务路径的性能问题,以全面、直观、量化的方式为IT管理、故障诊断、责任界定、运维评估、性能优化、资源分配、投资规划提供科学合理的决策依据。
迈普TAS流量审计分析系统
产品特征
可视化分析
可视化分析功能是将网络中传输的看不见、摸不着的数据流量以直观的图表形式进行展现,帮助运维人员更好的掌控单位网络的运行情况。主要包括以下功能:
· 网络利用率分析:通过对各个网络节点的吞吐量、字节数、数据包数量等指标的分析,精准掌握网络带宽资源的占用情况,为线路改造、投资决策提供有效依据。
· 应用性能分析:通过对各应用系统的连接情况、服务响应情况、应用资源情况等指标的分析,分别从应用协议、服务器、客户端的角度,掌握应用系统的整体运行情况,为应用管理和系统优化提供支持。
· 网络性能分析:通过对网络延时、丢包重传、乱序数据包等网络性能指标的分析,直观的掌握网络链路性能质量,快速定位网络故障根源,为网络运维保障提供有力支撑。
风险预警
流量审计分析系统的风险预警功能是系统根据自动学习和手工指定的条件,在网络流量发生异常时,及时发出告警,通过Syslog、SNMP Trap和Email的方式将告警信息及时发送给相应的管理者。支持三种告警数据源:
1. 流量特征建模:通过对常见异常流量的流量特征进行建模,实现对异常流量的发现和告警。
2. 基线数据:自动学习历史分析数据,获得流量基线特征数据库,并以此为基准,发现流量异常变化的事件。
3. 数据包特征:基于已知攻击手段的数据包特征字进行发现和告警,支持
· 恶意IP地址和端口库检测
· 恶意DNS库检测
· DNS高危域名的访问
· DDOS/SYN Flooding
· ICMP和ARP
· 勒索病毒和僵尸客户端
· SQL注入攻击,跨站脚本攻击(XSS),文件注入攻击, 目录遍历攻击,PHP/Node.js/Java代码注入
回溯分析
流量审计分析系统通过对网络流量多维度的性能指标监测分析,逐层挖掘,直至原始数据包,快速而准确地定位故障点和源头,通过数据包级场景还原,剖析出故障现象的根源,为排除故障提供科学依据和指导。
· 数据回溯: 系统对网络高速抓取、实时分析的同时,还能够完整保存网络通信流量。用户可依据IP地址、端口、URL、业务组等参数,事后对数据进行数据包级的回溯分析和检索。
· 场景还原:故障现象往往具有随机性,流量审计分析系统将原始数据流量进行存储,在排查故障时,可以提取原始数据包,对故障现象进行还原,剖析故障现象的根源。
· 关联分析:系统自动将应用协议、服务器、客户端进行关联,在应用使用过程中出现故障情况时,通过关联分析,可以快速的从众多服务器和客户端主机之中找到出现问题点,并根据异常指标信息快速分析出故障原因,节约大量故障排查时间,提高故障处理效率。
网络环境是由多种类、多品牌的网络设备和软硬件资源集成,各个设备在运行过程难免出现异常情况,在问题排查和解决的过程中,容易出现责任界定不清楚、各厂商互相推责的现象。
流量审计分析系统通过全面深入的性能指标监测分析,结合关联分析和场景还原功能,快速准确定位故障点,明确界定网络与应用,软件与硬件之间的责任。
产品规格
功能类别 | 功能项 | 功能描述 |
可视化 | 操作界面 | B/S界面,支持中文显示,支持>10个用户并发操作 |
链路分析 | 对接口、子接口流量、协议组成、TOP IP及IP对,可联动分析 | |
系统拓扑 | 支持自定义交互拓扑,显示业务系统流转在关键设备、链路、应用等节点的响应时间、网络延时、重传、并发量、流量、告警等KPI | |
系统评分 | 支持自定义组成系统的各应用组件的KPI权重,以满分100分的形式展示系统健康度,并展示造成减分的KPI与应用组件 | |
报文回放 | 支持Tcp dump格式报文载入,实现数据回放 | |
亚秒级分析 | 支持接口、逻辑子接口<10ms精度的主机、通讯对的流量、包率、速率、利用率排序 | |
会话层分析 | 客户/服务器端识别 | 支持根据TCP会话建连的Syn报文发起方IP,自动识别会话的客户端与服务器端 |
IP会话实时监控 | 支持对IP会话的流量进行回溯分析,能够提供单个IP会话的流量趋势图,所有统计指标支持按1秒时间精度刷新分析 | |
TCP会话实时监控 | 支持对TCP会话的流量进行回溯分析,能提供单个TCP会话的流量趋势图,所有统计指标支持按1秒时间精度刷新分析 | |
性能统计 | 支持链路、站点、VLAN、自定义应用统计指标:建连延时、重传数量、丢包数量、重传率、零窗口数量,可区分客户/服务器端;总请求个数、总响应个数、响应时间(RTT)、快速响应数量、正常响应数量、超时响应数量、平均请求传输时间、平均响应传输时间 | |
会话统计 | 支持IP主机、IP会话、TCP会话、UDP会话、网段的1秒颗粒度指标统计;可根据捕获接口、链路层/网络层逻辑子接口(组)、自定义规则(组)区分统计指标,标注会话的开始及最后时间 | |
可用性统计 | 支持链路、站点、VLAN、自定义应用统计指标:建连成功/失败数量、建连成功率、SYN/FIN/RST数量(可区分客户/服务器端) | |
建连失败分析 | 记录应用每组建连失败会话,自动识别失败原因(客户端超时、服务器超时,RST等),并可图形化展示该会话的三次握手报文交互 | |
ACK延时分布 | 支持基于应用的客户端的ack时延个数,服务器端的ack时延个数ack时延进行统计。 | |
协议层分析 | DHCP | 支持DHCP通讯对消息类型(请求/响应)、MAC地址、发起/结束时间的查询与检索 |
DNS | 支持DNS请求域名,解析IP地址,发起时间,发起客户端IP,响应服务器IP的查询与检索 | |
HTTP | 支持HTTP请求方法、URL、返回码、域名、响应时间、页面响应时间的查询与检索,支持识别自定义周期内的所有URL及请求数量 | |
Oracle | 支持Oracle、MySQL、MongoDB、DB2等请求方法、语句、返回码、响应时间分析的查询与检索 | |
安全分析 | ICMP扫描 | 支持识别ICMP的返回错误,并根据请求量排序IP地址 |
ARP风暴 | 支持排序ARP请求量最大的IP及MAC | |
实时威胁检测 | 支持基于恶意域名库的攻击检测,支持Web攻击、SQL注入、钓鱼网站、木马病毒、僵尸网络、DGA域名、恶意网站等攻击类型检测 | |
支持基于恶意IP地址库的攻击检测,互联网恶意攻击来源IP统计及展示,并显示攻击来源相应国家及地区 | ||
Web高级检测 | 可以检测SQL注入攻击,跨站脚本攻击(XSS),文件注入攻击, 目录遍历攻击,PHP/Node.js/Java代码注入攻击等各种Web攻击手段保存所有HTTP访问的原始数据包,提供溯源取证。 | |
恶意文件还原和检测 | 对HTTP、SMTP、FTP,SMB,NFS多种协议传输的文件进行还原 | |
支持对还原文件进行安全检测,支持AV引擎对高危文件进行检测的功能,对扫描出的文件病毒分级分类、提供文件属性内容 | ||
勒索病毒 | 支持对网络中勒索病毒的检索,定位感染客户端 | |
网络爬虫检测 | 支持对主页网站爬虫行为的监测预警能力。可根据爬虫的请求量最大客户端、请求次数、数据量等进行统计等 | |
告警 | 基线告警 | 支持上述统计指标的阈值告警,并可设定上/下阈值。支持自定义周期基线的颗粒度、周期,支持上述统计指标的基线上下偏移量告警,并可设定上/下偏移量 |
告警输出 | 支持syslog、SNMP、Email、短信网关、微信等方式发送告警 | |
性能报表 | 自定义报表 | 支持所见即所得的自定义报表,可设定应用的时序图、快照、表格 |
周期报表 | 支持日、周、月报表自定生成,并通过Email自动发送 | |
报表输出 | 支持报表PDF导出 | |
大屏展示 | 定制化大屏 | 定制化大屏 |
组网应用
旁路部署,不影响业务,分流采集和数据分析均支持单机或分布式部署。
· 支持1-80Gbps的线速数据存储和分析;
· 支持长期网络数据挖掘和数据取证;
· 支持多种协议数据包解码和分析;
· 兼容性好、可扩展强。