Back to All Blog

Aprimorando a precisão do NetFlow: apresentando a suavização ativa do fluxo de rede e a calibração ativa do fluxo de rede da Nexusguard

Nexusguard
-
Compartilhar com:
In this article:

Garantir o monitoramento preciso do tráfego para aplicativos corporativos é vital. No entanto, muitas vezes surgem desafios, levando a imprecisões na análise de dados do NetFlow. Isso inclui:

  • Razões de amostragem incorretas,
  • Configurações incorretas dos parâmetros de tempo de amostragem
  • Horários de roteador incorretos
  • Diversos comportamentos de amostragem de roteadores

Para combater esses problemas, a Nexusguard está apresentando o recém-desenvolvido Nexusguard Active NetFlow Smoothing e o Nexusguard Active NetFlow Calibration para aprimorar a precisão dos dados. Vamos primeiro examinar os problemas acima mencionados mais de perto.

Desafios da análise de dados do NetFlow

Desafio 1: Proporções de amostragem incorretas

Normalmente, uma taxa de amostragem aumentada aumenta a precisão da reconstrução do perfil de tráfego. No entanto, surgem desafios práticos:

  1. Limitações de hardware do roteador:
    Alguns roteadores enfrentam restrições na configuração de uma taxa de amostragem ideal devido às limitações de hardware.
  2. Altos custos de modificação:
    Ajustar a taxa de amostragem pode resultar em despesas substanciais.
  3. Aumento da carga do roteador:
    Uma taxa de amostragem excessivamente alta pode sobrecarregar o roteador do cliente, potencialmente levando a uma amostragem imprecisa do NetFlow. Por exemplo, surgiram casos em que uma taxa de amostragem de 1:1 fez com que os roteadores exportassem dados incorretos do NetFlow. Além disso, um alto FPS (fluxo por segundo) aumenta os custos operacionais para os usuários.
  4. Distorção de dados:
    Por outro lado, uma taxa de amostragem muito baixa pode distorcer a precisão dos dados.

Desafio 2: Configurações incorretas dos parâmetros do tempo de amostragem (tempo limite ativo/inativo)

Os parâmetros de tempo limite ativo/inativo desempenham um papel crucial na geração de fluxo, moldando significativamente a forma como os fluxos são processados. Especificamente:

Um fluxo fica pronto para exportação sob duas condições:

  1. Permanece inativa por um período definido (ou seja, nenhum pacote novo recebido pelo fluxo), normalmente 15 segundos para roteadores Cisco.
  2. Para fluxos de longa duração (ativa), com duração além do cronômetro ativo (por exemplo, durante downloads de FTP estendidos), definido em 30 minutos para roteadores Cisco.

Além disso, um fluxo é sinalizado para exportação quando sinalizadores TCP específicos indicam o término do fluxo (por exemplo, sinalizadores FIN, RST).

Normalmente, o Tempo limite ativo é configurado em 60 segundos, permitindo o monitoramento do tráfego de conexões de longa duração com uma granularidade em nível de minuto.

No entanto, devido a várias restrições, os roteadores do cliente nem sempre seguem as configurações recomendadas. Nesses casos, os dados de tráfego coletados pelo Netflow podem perder a precisão. Um sintoma evidente são os picos inesperados de tráfego após o término da conexão.

Essa discrepância pode criar disparidades entre os gráficos de tráfego baseados em Netflow e o tráfego real, potencialmente levando a alarmes falsos acionados pela percepção de eventos anômalos.

Desafio 3: Tempos de roteador incorretos

Configurações incorretas de horário no roteador de um cliente podem resultar em imprecisões nos dados do NetFlow. Isso pode se manifestar em dois cenários:

  1. Atraso na chegada do NetFlow:
    Os dados do NetFlow chegam depois do tempo de processamento atual.
  1. Chegada antecipada do NetFlow:
    Os dados do NetFlow chegam antes do tempo de processamento atual.
Figura 1 - Ambos os cenários resultam em imprecisões no gráfico de tráfego

Desafio 4: Comportamentos diversos de amostragem de roteadores

Quando o Tempo limite ativo Se configurado com precisão, espera-se que o roteador exporte dados para uma conexão de longa duração em intervalos de um minuto até que a conexão termine. No entanto, certas marcas ou modelos de roteadores, como a Juniper, podem lidar com conexões de longa duração de forma diferente. Após o término dessas conexões, esses roteadores podem agregar todo o tráfego da conexão no pacote final do NetFlow.

Esse comportamento pode resultar em:

Picos de tráfego: picos repentinos no gráfico de tráfego causados pela agregação do tráfego em um único registro do NetFlow.

Contagem dupla: O tráfego da conexão longa é calculado duas vezes, primeiro durante as exportações periódicas e depois novamente na exportação final, resultando em métricas de tráfego imprecisas.

Essas discrepâncias podem distorcer a análise de tráfego e exigir medidas corretivas para garantir um monitoramento preciso.

Suavização ativa do NetFlow do Nexusguard

Nexusguard's Algoritmo de suavização do NetFlow emprega uma combinação de ajustes ativos e passivos para distribuir uniformemente os dados de tráfego e resolver anomalias. A ativação do recurso de suavização solicita que o algoritmo gerencie especificamente Registros do NetFlow que excedem 60 segundos segmentando-os em intervalos menores e redistribuindo o tráfego. As etapas são as seguintes:

Visão geral do algoritmo

Etapa 1: Cálculo das principais métricas

Número de slots:

Essa métrica estabelece a contagem de intervalos de 60 segundos abrangidos pelo registro do NetFlow.

Tráfego normalizado:

O fluxo de tráfego (medido em pacotes por segundo ou bits por segundo) é padronizado nos intervalos calculados.

Etapa 2: facilitar o tráfego em intervalos

Implementação do Active NetFlow Smoothing

Projetado especificamente para enfrentar os desafios 2 e 4 mencionados acima, o Active NetFlow Smoothing da Nexusguard elimina as configurações de tempo de amostragem fora de sincronia, ao mesmo tempo em que implementa medidas corretivas para mitigar os efeitos de picos de tráfego e problemas de contagem dupla que podem surgir de determinadas marcas de roteadores durante a agregação de métricas de tráfego.

Enfrentando o desafio 2

O tratamento de cada registro do NetFlow ii entre os horários de início e término envolve o ajuste dos valores de tráfego por intervalo para uma distribuição uniforme:

NetFlow (i) BPS/PPS suavizado = BPS/PPS original do NetFlow + tráfego normalizado

Esse processo garante que os valores do tráfego sejam adequadamente modificados para obter uma distribuição uniforme do tráfego.

Enfrentando o desafio 4

Lidar com o NetFlow no final das contas exige uma abordagem distinta:

NetFlow suavizado (horário de término) BPS/PPS = BPS/PPS original do NetFlow + tráfego normalizado

A suavização específica do valor do tráfego para o intervalo final aborda questões de agregação, garantindo consistência na distribuição geral do tráfego.

Benefícios do algoritmo

  1. Distribuição uniforme: evita picos de tráfego ao redistribuir os dados de fluxo durante toda a duração.
  2. Correção de anomalias: aborda problemas como tráfego agregado no final de fluxos longos.
  3. Precisão aprimorada: fornece uma representação mais precisa e realista das tendências de tráfego.
  4. Escalabilidade: lida com fluxos padrão e valores atípicos de forma eficaz, sem sobrecarga computacional significativa.

O algoritmo garante gráficos de tráfego mais suaves e aprimora a confiabilidade das análises conduzidas pelo NetFlow.

Figura 2 - Dados do NetFlow suavizados

Por meio da utilização do Active NetFlow Smoothing, os desafios 2 e 4 mencionados acima podem ser resolvidos de forma eficaz, conforme ilustrado pela curva verde no gráfico abaixo.

Figura 3 - Distribuição otimizada do NetFlow

Calibração ativa do NetFlow do Nexusguard

Adaptada especificamente para enfrentar os desafios 1 e 3 mencionados acima, a tecnologia Active NetFlow Calibration da Nexusguard foi criada para aprimorar a precisão do tráfego, mesmo em cenários com baixas taxas de amostragem, além de corrigir e alinhar as configurações de tempo do roteador com precisão.

O algoritmo de calibração automática do Nexuguard funciona principalmente por meio dos seguintes métodos:

  1. Preenchimento automático (preenchimento fixo)
    Ao comparar o tráfego SNMP, o algoritmo aplica automaticamente o preenchimento para reduzir os erros inerentes à amostragem do NetFlow. Isso ajuda a enfrentar o Desafio 1, minimizando as discrepâncias causadas por imprecisões na amostragem.
  2. Detecção e ajuste de tempo
    O algoritmo detecta a data e hora dos dados do NetFlow e a ajusta automaticamente para restaurar a hora real do evento. Esse método resolve o Desafio 3, garantindo que os dados do NetFlow estejam alinhados com o tempo real em que os eventos ocorreram.

Essas técnicas melhoram muito a precisão dos dados do NetFlow e garantem uma análise confiável do tráfego.

Não deixe que imprecisões comprometam seus insights de rede. Adote as tecnologias Active NetFlow da Nexusguard para uma análise de tráfego confiável e precisa. Para obter mais informações, fale com um de nossos especialistas em segurança hoje.

Protect Your Infrastructure Today

Explore Nexusguard Edge Protection Solutions Today
Start Conversation

Related Articles

8 min read

CISA emite aviso sobre vulnerabilidades exploráveis no popular software DNS BIND 9

O Nexusguard oferece soluções de segurança completas e confiáveis que inspiram total confiança na proteção de sua rede e aplicativos. Ao implementar práticas rigorosas de fortalecimento da segurança e inspeções meticulosas, mitigamos com sucesso a ameaça de vulnerabilidades de alta gravidade, garantindo que seus ativos sejam protegidos com o mais alto nível de segurança.
View Details
DDoS,Multi-vector attack
8 min read

In New Cyber Attack Trend, DDoS Attacks Now Last Longer

According to Nexusguard's research, DDoS attacks are now lasting longer and have become more complex. Click here for more information now!
View Details
8 min read

Da proteção à responsabilidade: um ano que mudou silenciosamente a cibersegurança

As interrupções em 2025 transformaram a cibersegurança em responsabilidade. A confiança veio da explicação, não apenas da prevenção. 2026 é sobre propriedade.
View Details