Genin ATM 6000全网流量分析与安全监测系统（异常流量分析系统）

流量流向分析、DDoS攻击侦测、异常行为告警、在线立即侦错与排除的完全解决方案。

概述： GenieATM 6000 系列是一个基于全网流量采集来进行网络流量探勘，并进一步检测异常流量的分析系统。不但可自动产生各类流量流向分析报表，还能及时地侦测来自网内及网外的网络异常行为、DoS/DDoS攻击、路由的不正常状态等等，在它们对网络服务造成巨大的危害之前，及时通知网络维运人员。GenieATM 6000 同时提供强大的在线侦错与流量鉴识工具，并且支持多种第三方设备的整合方式，可迅速阻绝异常流量，防止灾害的形成或扩散。

应用效益

分布式部署，集中式管理：GenieATM 6000 的分布式部署架构，大范围地采集到网络的流量信息，又能简化流量分析系统的管理与设定。而根据网络与流量的规模，可阶段性配置或调整采集设备，有效降低客户的整体持有成本(TCO)。

Traffic Mining 流量探勘分析与报表：GenieATM 6000 内建强大的流量分析引擎，能快速进行分类、统计、排序等运算，并做成报表：

˜         通过智能网络分析模型，可迅速准确地分出本网、邻网、子网、骨干网、客户网等各类流量，自动产生流量流向报表。

˜         自行组合过滤条件进行流量分析，自订符合需求的TopN报表与监测。

˜         可自动分析子网、邻网之间的流量流向，做成流量矩阵报告。

˜         可列出应用、协议+端口号、TOS值、或封包大小等成分的排名及百分比。

˜         TopN动态排名：可指定任意时段，寻找该区段的TopN排名。内建流量比对加速引擎，在高流量的网络环境下，也能准确分析。

Anomaly Detection 异常侦测：GenieATM 6000 可以比对流量中的标头信息，配合异常流量侦测引擎来判定网络中是否有DDoS恶意攻击或是蠕虫感染的流量；也可以针对特定的监测范围，判定是否有不正常的巨大流量，致使网络质量下降。这些针对全网流量的异常侦测与分析涵盖了：

˜         流量突增：可侦测某个范围，是否突然产生了异于平日的巨大持续流量，藉以找出不明的网络攻击 (Zero-Day Attacks)。

˜         蠕虫：可侦测一些已知其流量特性的蠕虫感染，如MS Blaster，Sasser，Code Red，SQL Slammer 等等。

˜         DDoS攻击：可判定出网络协议的异常如TCP SYN Flooding，UDP Flooding，ICMP Flooding 及其它网络行为异常，并列举攻击者、受害主机、以及受影响的网络设备。

˜         网络设备异常：能够侦测设备的效能、网络接口的流量速率、频宽使用是否满载、实体层传送错误封包、丢包、过多广播流量等异常。

˜         BGP路由异常：可侦测BGP信息的突增、BGP信息更新过于频繁等。

独特的实时在线侦错：GenieATM 6000系统内建灵活有效的在线快速除错工具，不仅具备弹性多样的分析条件选择、也提供各种流量特征的Top-N排序，更能逐次缩小异常流量的范围，准确地找出问题流量。系统还能将问题流量的特征化为策略，如设备的存取控制列表(ACL)指令，有效解决问题。

˜         Mitigation 异常的解决对策：GenieATM 6000 在异常发生后，可以实时告警、通知、并提供一系列的工具协助管理者进行在线侦错、流量留存、回溯分析等等；另外，GenieATM 还可与流量清洗设备或是路由设备整合，直接截断恶意攻击的流量，保护骨干网络频宽：

˜         告警与通知：可自动产生正常流量基线 (Baseline)，而在异常事件发生时发出告警，并透过eMail、syslog、或是SNMP Trap发出通知。

˜         在线侦错：能够与系统的在线快速除错工具连结，针对异常流量找出原因。

˜         流量鉴识：可留存异常事件发生时的原始流量，作为日后鉴识分析之用。

˜         报表重建：可根据历史流量，重新自定条件分析报表，以回溯追踪过去的网络行为。

˜         异常缓解：支持以路由器的ACL或黑洞路由的设定、结合Cisco Guard流量清洗设备、或是通过Juniper的Flow-spec机制，直接截断恶意攻击的流量，达到异常缓解的目的。

产品规格