NetDefenderManager - 异常流量分析系统

在一些企业或组织中，即使部署了防火墙和入侵检测系统（IDS），依然避免不了成为黑客的攻击目标。因为这些系统只是读取数据报文的包头，然后进行签名匹配，因而无法检测出某些高级的网络攻击，例如DDoS攻击和零日漏洞攻击（Zero-day）。因此，企业仍需要先进的安全分析及防护措施，以帮助他们应对这种复杂的攻击，从而保障网络和数据中心的安全运行。

NetDefenderManager（NDP）是基于网络流的网络行为异常检测（NBAD）软件，分析数据包流，以检测恶意的异常流量对网络的攻击。NDP支持的流技术包括思科的NetFlow v5、v7和v9，sFlow，CFLOW，J-Flow，IPFIX，NetStream等。NDP收集和分析通过网络流技术输出的流量数据，针对恶意流量，运用先进的规则和模式来识别入侵或攻击行为。

NDP系统的关键目标：

• 实时监控网络的安全状态
• 监控网络内部和外部的安全威胁
• 分析错误的源/目的地址，DDoS攻击，网络扫描/网络嗅探，异常流量
• 找出攻击网络的匿名流量数据
• 检举详细的攻击证据
• 异常时通过Email或短信通知

主要功能：

实时攻击检测

NDP通过连续流分析引擎，能够找出恶意攻击网络的数据流。使用模式匹配找到攻击者，并将他们进行适当的分类，包括：DDoS攻击，错误的源/目的，网络嗅探，异常流量。

深入分析事件详情

事件详情分析提供了关于各类事件的种种细节。详情信息包括事件名称，不法份子IP地址，目标IP地址，连接标识，端口，协议等等。通过点击路由器，可以提供映射后的目的-源IP、应用、端口、协议等细节信息。图形化的界面提供源地址、目的地址使用情况的信息；根据网络终端的分布模式和网络扫描的方式（主机/端口），在信息栏中可以实现攻击模式匹配。

事件概览

事件清单仪表板提供了一个所有事件的列表以及事件的详细信息，如问题名称、不法者、攻击目标、攻击频次、严重程度、攻击时间等。通过这个视图，你可以通过定义规则来忽略某些事件，也可以忽略正常的可信任数据流，从而不被计入。

过滤事件，生成报表

基于所需的特定时间段生成报表，以查看可疑流。通过定义规则，以查看网络流的路径，跟踪问题的确切位置。高级报表可以轻松地分析系统所获取的数据，从而大大节省管理员时间。

通过Email和短信发送告警信息

使用告警通知配置文件可以创建基于电子邮件和短信的通知方式。添加告警配置，并生成触发告警的条件，这样在发生网络攻击时，就可以及时通知管理员，通过对攻击行为采取适当的行动，就可以有效保护企业的数据和网络。