主页 >> 详细内容

NetLooker上网行为管理系统
Net Looker网络行为分析系统是中科同向互联网管理解决方案的核心，作为完全拥有自主知识产权的网络 行为分析管理系统，集成先进的软硬件体系构架，配以先进的行为分析引擎、灵活多样的管理控制策略， 实时分析网络活动，并生成丰富的统计报表。能够满足企事业单位、政府机关、金融电信、石油能源、学 校教育行业等各种Internet 互联网使用单位的网络行为监控需求。Net Looker网络行为分析系统具有如 下功能：  网络行为记录和分析 包括WEB 访问、邮件、聊天、文件共享、P2P 协议、网络游戏  基于策略的访问控制 基于时间段、部门和用户、应用协议控制用户的上网行为  实时信息管理 当前数据流、当前在线用户、当前聊天用户的管理  报警、阻断和日志 根据用户设置的规则和关键字，采用邮件、日志报警形式 对于敏感内容的访问，直接进行阻断  丰富的报表 流量－时间报表、网络使用TOP-N 排名报表、网络使用高峰曲线报表、应用协议报表，让管理员对网络总 体应用和当前使用情况有更加深刻的认识。 NetLooker能够给用户带来如下好处：  透彻理解网络使用情况，防止互联网滥用，便于互联网管理  提高工作效率和网络使用效率 通过网络使用TOP-N 排名报表、上网时间统计报表、上网时间高峰段报表，管理员能够确切的知道每个局 域网用户使用网络的时间、流量、排名，并据此制定相应的管理策略，提高互联网使用效率。  避免公司重要资料、私密资料泄密。并可以根据保留的数据流信息，取证用户的网络访问行为。  避免网络行为监控带来的道德、法律风险。 2.2 体系结构 本产品基于LyxOS 网络分析系统，实时准确的监测和记录网络2到7层网络协议和应用数据信息，极大地保 证了系统监测和记录的完整性。系统具有如下特性：  自主知识产权的LyxOS；  模块化高速数据通讯应用平台（USAP）；  专家会诊系统（ECS）。 系统核心架构如下图所示： 产品特性 单点部署方式  旁路接入：对现有网络应用和网络拓扑不产生任何影响，不占用网络带宽。隐藏IP模式，用户无法发现系统，更无法攻击系统。  网桥/路由:透明模式，不改变网络拓扑结构。路由模式节约网络设备部署费用。  联动模式：与 Netoray 系列多功能网关联动，更加强大的安全、管控能力。 集中管理方式  分布式部署、集中管理 LyxCM（LYX Central Management） 部署方式是：在某一点的部署情况类似于单点的部署方式，但多个单点一起部署后将会给系统管理带来诸多不便，对此中科同向给出了分布部署、集中管理的解决方案：即在每一个信息采集点按照实际需要分别部署一台NetLooker设备作为网络行为分析终端，然后在集团的中心机房部署一套管理平台，同时每一终端的管理权限交给中心机房的管理平台进行管理（管理方式可选）。管理平台可以针对所有受控终端进行管理，管理类别包括：策略下发、日志上传、日志查询等。  采用高性能抓包分析引擎 --- LyxOS  基于自主知识产权LyxOS的USAP平台，能够实时捕获和分析网络报文。  高性能的报文分析、记录和管理控制引擎，满足企业级用户所需。 运用了高效的零拷贝技术  改善数据分析过程，减少数据复制过程，降低CPU负载，提高系统效率。  减少数据拷贝过程中因资源占用而导致的数据丢包现象。   基于WEB 的管理控制策略  方便易用，配备多样性的图表，所见即所得。  丰富的统计报表功能，避免用户二次分析数据。  灵活多样的管理控制策略。  深入独特的数据分析技术  普通报文检测的识别方式：应用和协议识别是通过IP包头中的“五元组”即源、目标地址，协议类型，源、目的端口号信息来确定前数据包的类别；但随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能够真正判断流量中的应用类型，基于开放端口、随机端口甚至采用加密方式进行传输的应用类型在目前的网络中比比皆是。端口匹配的方法虽然十分简单，但是它的局限性是十分明显的，如，目前流传比较广泛的大多数P2P应用允许用户手动选择随意的端口号来设置默认的端口号；此外，许多新出现的P2P应用倾向于使用随机的端口号，这就使得端口号不可预测；还存在一种趋势，那就是P2P应用开始使用其他熟识应用的默认端口号（例如端口号80）来伪装自己的功能端口。在这种情况下，传统的应用和协议识别逐渐显得捉襟见肘。    DPI：  即“Deep Packet Inspection”，称为“深度包检测”。与普通的报文分析层次相比较而言的，DPI不仅分析IP包头的五元组，包括源地址、目的地址、源端口、目的端口以及协议类型，而且，还增加了应用层分析，识别各种应用及其内容，如下图所示：    DFI：即“Deep/Dynamic Flow Inspection”深度/动态流检测技术，DFI技术是一种较新的应用流量分析技术，与DPI进行应用层的载荷（payload）分析匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。它通过应用流的平均速率、流持续时间、字节数、包长等流特征信息来实现应用流量的识别。即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130～220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。  LYX：鉴于DPI在应用区分、识别精度、功能扩展等方面优势明显，而DFI在对新应用和加密协议的识别方面有一定的优势。中科同向采用了以DPI分析技术为主，辅助于传统普通报文分析和DFI技术来处理分析加密应用协议的方式来综合分析数据包。即综合分析应用层特征值和应用协议行为；UDP/TCP 端口、端口范围和端口列表；IP 地址、地址范围、子网或主机列表；MAC地址；VLAN标签、MPLS 标签、IP PRECEDENCE、MPLS EXP；传输方向等。以此来达到精确分析应用和协议的目的。  专利技术X-block 技术 特别为互联网的内容风险而考虑设计的X－block 阻断技术，给您提供的多样性的网络阻断、报警功能，结合上述提到的DPI、DFI技术，为您免遭有害和不适当的网络威胁给予了最大程度的安全保障。它将高质量的内容识别，适应性的推理技术，灵活的配置及全面的报告分析融为一体，最大优化您的网络资源利用率。 准确完善URL分类库     系统中集成了默认的URL分类库，这些分类库是根据中国的当前情况而进行了合理的采集及分类，符合我国用户的网络使用环境的需求。目前URL分类库已进行准确分类的域名达到500余万条，是由中科同向公司组织专门的团队进行人工分类的，并参照国内专业机构所提供的专业数据，分类结果较为准确，所涵盖的URL地址类型也较为全面，基本覆盖了在国内用户中有一定访问量的URL地址。  定期更新URL及应用库     为保证URL分类库的准确性及实时性，系统会定期更新URL分类库；由于系统是基于应用对数据进行分析的，因此在当前诸如MSN、QQ等即时聊天软件，钱龙、大智慧等股票软件以及P2P下载软件等等的应用特征码不断更新的情况下，也会定期更新系统     系统中集成了默认的URL分类库，这些分类库是根据中国的当前情况而进行了合理的采集及分类，符合我国用户的网络使用环境的需求。目前URL分类库已进行准确分类的域名达到500余万条，是由中科同向公司组织专门的团队进行人工分类的，并参照国内专业机构所提供的专业数据，分类结果较为准确，所涵盖的URL地址类型也较为全面，基本覆盖了在国内用户中有一定访问量的URL地址。 定期更新URL及应用库     为保证URL分类库的准确性及实时性，系统会定期更新URL分类库；由于系统是基于应用对数据进行分析的，因此在当前诸如MSN、QQ等即时聊天软件，钱龙、大智慧等股票软件以及P2P下载软件等等的应用特征码不断更新的情况下，也会定期更新系统
监控产品录入：admin    责任编辑：admin
	上一个监控产品： 资产报表 下一个监控产品： 没有了
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】