[솔루션 리뷰(Solution Review)] Flowmon networks - Flowmon

 FlowMon brief.pdf

제조사 정보

2007년 설립된 체코 회사 Flowmon Networks

전세계 600개 이상 고객

2016년 가트너 매직 쿼드런트 등재

솔루션 주요 속성

• Security(ADS - Anomaly Detection System)
• NPM(Network Performance Monitoring)
• APM(Application Performance Monitoring)
• DDOS Mitigation

주요 기능

• Flow 모니터링
  NetFlow 및 IPFIX Standard 기반으로 네트워크 트래픽을 Mirror 형태로 받아, 실제 네트워크 행위에 대한 가시성(Timing, Duration, Frequency, Protocol, IP, Bandwitdth 등)에 대한 상세한 정보를 제공한다, IPFIX Standard 를 활용함으로써, 실제 기존 NetFlow 기반 제품에 비해 많은 데이터를 제공받기 때문에 볼 수 있는 영역한계가 크다. 실제 페이로드가 포함된 패킷이 NetFlow 로 전환되면, 500:1 의 비율로서 저장된다.
       - NetFlow v5: IPv6 트래픽, MAC 주소, VLANs 및 기타 확장 필드 미 지원 
       - NetFlow v9: 템플릿 기반, IPv6 등, NetFlow v5 미 지원 항목 모두 지원    
       - IPFIX: NetFlow v9 의 Extended 버전, 다양한 가변 필드 지원 (e.g. HTTP hostname, HTTP URL, 등등)
  
  
• Security 부분
  휴리스틱 엔진을 통해 Known-bad 에 대한 패턴 기반 탐지 기능을 제공하며, Network Behavior Analysis(NBA) 모듈을 통해 머신러닝을 통한 어노멀리 디텍션을 제공한다. 실제 머신러닝으로 베이스라인을 생성해, 베이스라인과 상이한 행위가 발생 시 Alert 을 발생 시킨다. Flow에서 제공되는 각종 인자들을 활용해 조합된 룰을 통해 공격 유형을 정의하고 탐지 해 낼 수 있다, 사용자 정의도 가능하다(정규표현식 활용가능), 평판 DB를 활용한 평판 정보 도 제공한다. 
  
  
• Application 성능 모니터링
  수집된 트래픽을 분석해, 네트워크 구간 뿐만 아니라, 각 애플리케이션이 처리하는 시간에 대한 성능 모니터링 기능이 부가되어 있으며 사용자가 접하기 쉬운 환경으로 제공된다.
  
  
• DDoS 방어
  미러링 된 패킷 중, DDOS 로 판단 시, BGP를통해 DDoS 대피소 등의 PoP 으로 트래픽 라우팅을 우회시키는 기능.
  
  
• Visualization & Tracking
  수집된 트래픽을 분석해, 이벤트 근원지를 중심으로 하는 비주얼 뷰를 제공한다. 악성코드사내 유포 와 같은 사고에서 유포 지 찾는데 있어서, 유용하다.

데이터 플로우(기본적 흐름)

1. 탐지가 필요한 구간에 대해 네트워크 탭 또는 스위치로부터 트래픽을 미러링 받아 복사된 트래픽을 Probe 장비로 보냅니다.

2. Probe 에서는 패킷을 취합하여 설정을 기반으로 Flow 정보를 추출하고, 이를 Collector 장비의 서비스 포트로 전달합니다.

3. Collector 에서는 수집된 플로우 정보 내의 네트워크 정보들을 기반으로 NPM / APM / ADS 모듈을 통해 이벤트를 표현합니다.

제품 특징

 - 풀 패킷 저장이 아닌 플로우 추출 방식

 - Probe 라는 센서 역할 장비와 헤드 역할을 하는 Collector 장비 두가지로 분류되는 구성으로, 트래픽 수집이 필요한 구간 별 Probe 배치를 통해 유연한 구성이 가능

 - 인라인 구성 장비가 아니므로 인프라 영향도 낮음